企業(yè)網(wǎng)絡(luò)信息安全整體解決方案

1、企業(yè)網(wǎng)絡(luò)信息安全整體解決方案.2一,完善,優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu) TOC o 1-5 h z 1、域結(jié)構(gòu)管理模式22、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)23、三層交換與VLAN結(jié)合34、企業(yè)網(wǎng)管軟件3 HYPERLINK l bookmark24 o Current Document 二構(gòu)建全方位的數(shù)據(jù)泄漏防護(hù)系統(tǒng)51、文檔安全管理系統(tǒng).62、企業(yè)U盤(pán)認(rèn)證系統(tǒng)73、打印監(jiān)控系統(tǒng)8 HYPERLINK l bookmark51 o Current Document 三、建立一體化的本地/異地備份與容災(zāi)體系9 HYPERLINK l bookmark59 o Current Document 四，建立防火墻、防入侵及

2、一體化安全網(wǎng)關(guān)解決方案101、趨勢(shì)科技防毒墻-服務(wù)器版（SP） : 112、 Juniper 防火墻：11隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，在計(jì)算機(jī)上處理的業(yè)務(wù)也由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡(jiǎn) 單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等，發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)企業(yè)外部網(wǎng)和全球互聯(lián)網(wǎng)的 企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享.在計(jì)算機(jī)連接能力連接范圍大幅度提高的同時(shí)，基于網(wǎng) 絡(luò)連接的內(nèi)部網(wǎng)絡(luò)安全、數(shù)據(jù)信息安全、資源分配以及員工工作效率低下等問(wèn)題也日益突出。為了解決 企業(yè)面臨的這些問(wèn)題，我們可以從幾方面入手：首先，完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)；其次，構(gòu)建全方 位的數(shù)據(jù)泄漏防護(hù)系統(tǒng);再次，建立一

3、體化的本地/異地備份與容災(zāi)體系；最后，建立防火墻、防入侵及一 體化安全網(wǎng)關(guān)解決方案，達(dá)到凈化企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境提升員工工作效率的目的。一、完* 優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)在規(guī)劃和設(shè)計(jì)企業(yè)總體網(wǎng)絡(luò)架構(gòu)時(shí)，應(yīng)從企業(yè)應(yīng)用為最基本出發(fā)點(diǎn)，將企業(yè)當(dāng)前和各類應(yīng)用和將來(lái)會(huì) 上的應(yīng)用都必需全部考慮進(jìn)來(lái)，特別是要為企業(yè)業(yè)務(wù)的擴(kuò)展留下足夠的帶寬和可擴(kuò)展的空間。這些方面 直接關(guān)系到企業(yè)網(wǎng)絡(luò)架構(gòu)中各類網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)、安全網(wǎng)關(guān)、服務(wù)器等）的采購(gòu)決策，以及決 定企業(yè)互聯(lián)網(wǎng)總出口帶寬的大小和企業(yè)網(wǎng)絡(luò)的最終拓?fù)浼耙?guī)模。同時(shí)網(wǎng)絡(luò)架構(gòu)應(yīng)當(dāng)具有很高的靈活性和 可擴(kuò)展性，可以隨意增加或縮減單元。另外還應(yīng)當(dāng)考慮企業(yè)當(dāng)前的技術(shù)條件是

4、否滿足對(duì)網(wǎng)絡(luò)進(jìn)行可控和 可管理的要求。下面我們就分幾方面來(lái)優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)。1、域結(jié)構(gòu)管理模式在很多小型企業(yè)公司內(nèi)部的網(wǎng)絡(luò)還是采用對(duì)等網(wǎng)模式（工作組），在這種工作模式下任何一臺(tái)電腦只 要接入網(wǎng)絡(luò)，其他機(jī)器就都可以訪問(wèn)共享資源，如共享上網(wǎng)等。盡管對(duì)等網(wǎng)絡(luò)上的共享文件可以加訪問(wèn) 密碼，但是非常容易被破解。在由Windows 9x構(gòu)成的對(duì)等網(wǎng)中，數(shù)據(jù)的傳輸是非常不安全的。同時(shí)也無(wú)法對(duì)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)進(jìn) 行集中化的管理，導(dǎo)致數(shù)據(jù)泄漏.這時(shí)候我們就需要在公司內(nèi)至少配置一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的 電腦和用戶的驗(yàn)證工作,相當(dāng)于一個(gè)單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡(jiǎn)

5、寫(xiě)為DC） ”. 域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。當(dāng)電腦聯(lián)入網(wǎng)絡(luò) 時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確. 如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄。不能登錄，用戶就不能 訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對(duì)等網(wǎng)用戶的方式訪問(wèn)Windows共享出來(lái)的資源，這樣就在 一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。域控制器的功能除了上面說(shuō)到的可以做身份驗(yàn)證之外，還可以對(duì)屬于 域的所有計(jì)算機(jī)的操作權(quán)限（安裝/卸載軟件、更改IP地址、更改計(jì)算機(jī)設(shè)置等）進(jìn)行有效的控制，以達(dá) 到集中化管理的目的

6、。2、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)組網(wǎng)方式:樹(shù)形組網(wǎng)方案該方案引入二級(jí)聯(lián)網(wǎng)方式，骨干層交換機(jī)采用了高性能的千兆級(jí)二層交換機(jī)，連接服務(wù)器、路由器與網(wǎng)絡(luò) 打印機(jī)。二級(jí)交換機(jī)采用24+2 口交換機(jī)，其中的兩個(gè)端口為1000M，用于接入骨干交換機(jī)，其余10/100M 端口連接相對(duì)分散的桌面用戶。方案特點(diǎn)：二級(jí)聯(lián)網(wǎng)方式更好的將數(shù)據(jù)通過(guò)骨干交換機(jī)分散處理，它與服務(wù)器之間通過(guò)1000M高速交換 端口連接，以滿足大容量數(shù)據(jù)傳輸?shù)囊?。骨干交換機(jī)和二級(jí)分交換機(jī)的連接則采用了快速以太網(wǎng)通道 (FEC)技術(shù)，有效的擴(kuò)展了網(wǎng)絡(luò)的帶寬。這項(xiàng)技術(shù)能夠把2-4個(gè)物理鏈路聚合在一起，在全雙工工作模 式下達(dá)到400-800M的帶寬,FEC

7、技術(shù)能夠充分利用現(xiàn)有設(shè)備實(shí)現(xiàn)高速數(shù)據(jù)傳遞。同時(shí)該方案具有結(jié)構(gòu)簡(jiǎn)單 靈活，非常便于擴(kuò)充。而且所需電纜長(zhǎng)度很短，減少了安裝費(fèi)用，易于布線和維護(hù)工作。3、三層交換與VLAN結(jié)合很多企業(yè)在網(wǎng)絡(luò)設(shè)計(jì)初期采用二層交換技術(shù)的網(wǎng)絡(luò)架構(gòu)，核心交換機(jī)采用二層交換技術(shù)，在原先只有幾 十到100多臺(tái)工作站的情況下，網(wǎng)絡(luò)性能較理想。但是隨著網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，工作站增加到200臺(tái) 左右時(shí)，網(wǎng)絡(luò)性能明顯下降。另外，對(duì)于這種網(wǎng)絡(luò)，很容易發(fā)生諸如網(wǎng)卡故障等原因引起的網(wǎng)絡(luò)廣播風(fēng) 暴，而且一旦發(fā)生廣播風(fēng)暴，很難查找故障點(diǎn)，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓，網(wǎng)絡(luò)維護(hù)工作量很大。如果我們采 用三層交換技術(shù)的網(wǎng)絡(luò)架構(gòu)，同時(shí)在局域網(wǎng)內(nèi)劃分若干VLAN(

8、虛擬網(wǎng))后，網(wǎng)絡(luò)性能將大為改善。這是因 為三層交換技術(shù)就是“二層交換技術(shù)+路由轉(zhuǎn)發(fā)”。它解決了二層交換技術(shù)不能處理不同IP子網(wǎng)之間的 數(shù)據(jù)交換的缺點(diǎn),又解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問(wèn)題.再配合VLAN技術(shù)將將局域網(wǎng)內(nèi) 的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)不同的網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。這樣有三個(gè)好處： 一是提高網(wǎng)絡(luò)安全性，不同VLAN的數(shù)據(jù)不能自由交流，需要接受第三層的檢驗(yàn)，因此，在一定程度上加 強(qiáng)了虛網(wǎng)間的隔離，有效防止外部用戶入侵，提高了安全性。二是隔離廣播信息，劃分VLAN后，廣播域 縮小，有利于改善網(wǎng)絡(luò)性能，能夠?qū)V播風(fēng)暴控制在一個(gè)VLAN內(nèi)部，同時(shí)使網(wǎng)絡(luò)管理趨于簡(jiǎn)

9、單。三是增 強(qiáng)網(wǎng)絡(luò)應(yīng)用的靈活性，VLAN是在一個(gè)有多臺(tái)交換機(jī)的局域網(wǎng)中統(tǒng)一設(shè)定的，這使得用戶可以不受所連交 換機(jī)的限制，不論用戶節(jié)點(diǎn)移動(dòng)到局域網(wǎng)中哪一臺(tái)交換機(jī)上，只要仍屬于原來(lái)的虛網(wǎng)，則應(yīng)用環(huán)境沒(méi)有任 何改變。注：骨干交換機(jī)應(yīng)該采用高帶寬的千兆以上交換機(jī)。因?yàn)樗蔷W(wǎng)絡(luò)的樞紐中心，重要性突出。在大中型企 業(yè)中核心層設(shè)備采用雙機(jī)冗余熱備份是非常必要的，也可以使用負(fù)載均衡功能，來(lái)改善網(wǎng)絡(luò)性能。即兩 臺(tái)核心交換機(jī)正常情況下都參與工作，當(dāng)其中的任何一臺(tái)發(fā)生故障時(shí),另外一臺(tái)可以自動(dòng)、無(wú)縫地接管它 的工作，無(wú)需人工干預(yù)故障切換。全面提高網(wǎng)絡(luò)對(duì)突發(fā)事故的自動(dòng)容錯(cuò)能力，最小化網(wǎng)絡(luò)的失效時(shí)間。4、企業(yè)網(wǎng)管軟件企業(yè)

10、網(wǎng)絡(luò)架構(gòu)在經(jīng)過(guò)以上三個(gè)步驟的部署以后比較完善了，但是還缺乏有效的企業(yè)網(wǎng)絡(luò)管理軟件來(lái)對(duì)網(wǎng) 絡(luò)設(shè)備進(jìn)行管理，針對(duì)這種情況我們可以配置一套“方正網(wǎng)略網(wǎng)絡(luò)架構(gòu)管理系統(tǒng)，它在整合了傳統(tǒng)網(wǎng)管 軟件功能的同時(shí)，重點(diǎn)突出了方便、實(shí)用的特點(diǎn)，幫助企業(yè)管理人員維護(hù)好自身的網(wǎng)絡(luò)。通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備 的管理、網(wǎng)絡(luò)狀態(tài)的分析、設(shè)備性能的監(jiān)測(cè)以及各種故障事件的診斷和快速修復(fù)，為企業(yè)提供一個(gè)穩(wěn)定 可靠的網(wǎng)絡(luò)環(huán)境.方正網(wǎng)略NetInWay Pro充分考慮了當(dāng)前企業(yè)級(jí)網(wǎng)管軟件的用戶需求，將系統(tǒng)分為以下四大功能模塊， 每個(gè)模塊的功能如下： IP管理（網(wǎng)絡(luò)IP資源保護(hù)、非法1?接入阻斷、定期統(tǒng)計(jì)IP使用情況，回收長(zhǎng)期不使用IP）設(shè)備管

11、理（網(wǎng)絡(luò)拓?fù)渥詣?dòng)生成、遠(yuǎn)程查詢網(wǎng)絡(luò)設(shè)備的資源使用情況和網(wǎng)絡(luò)設(shè)備連接狀況）性能分析（網(wǎng)絡(luò)流量的圖形化顯示、實(shí)時(shí)監(jiān)控設(shè)備端口的PPS、對(duì)內(nèi)網(wǎng)有害流量進(jìn)行阻斷）故障管理（檢測(cè)IP故障、設(shè)備故障、流量故障、蠕蟲(chóng)故障）NetInWay Pro版本采用了簡(jiǎn)單明了的用戶界面，如下圖所示.在此用戶界面中，把主要功能（IP管理、 設(shè)備管理、性能分析、故障管理）包含在同一界面中，方便用戶使用?，F(xiàn)在對(duì)方正網(wǎng)略NetInWay Pro做個(gè)簡(jiǎn)單介紹：1、IP管理全面了解整個(gè)網(wǎng)絡(luò)的設(shè)備運(yùn)行情況、IP地址資源使用情況，對(duì)IP地址資源進(jìn)行有效的管理。對(duì)接入網(wǎng) 絡(luò)的計(jì)算機(jī)進(jìn)行認(rèn)證和管理，禁止未認(rèn)證的計(jì)算機(jī)私自接入網(wǎng)絡(luò)，保障網(wǎng)絡(luò)

12、的安全運(yùn)行。方便的IP地址資源分配管理、實(shí)時(shí)的IP故障監(jiān)測(cè)與報(bào)警、有效的故障響應(yīng)策略,使企業(yè)真正感受和掌 握網(wǎng)絡(luò)資源的運(yùn)動(dòng)脈搏！對(duì)于新入網(wǎng)的設(shè)備，在入網(wǎng)申請(qǐng)到IP地址的時(shí)候，系統(tǒng)將記錄并根據(jù)此設(shè)備的使用情況。如果此設(shè)備想 占用網(wǎng)絡(luò)中已經(jīng)被使用的IP，系統(tǒng)將產(chǎn)生報(bào)警,如下圖所示：2、設(shè)備管理NetInWay Pro提供了對(duì)網(wǎng)絡(luò)重要設(shè)備的系統(tǒng)信息、流量信息進(jìn)行監(jiān)控和管理的功能， 設(shè)備管理的主要功能如下：支持網(wǎng)絡(luò)視圖功能，自動(dòng)搜索網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并生成網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、服務(wù)器、打印機(jī)等）進(jìn)行實(shí)時(shí)狀態(tài)監(jiān)控；遠(yuǎn)程查詢服務(wù)器的CPU、內(nèi)存以及硬盤(pán)的利用率和內(nèi)存中的運(yùn)行進(jìn)程信息；遠(yuǎn)程查

13、詢網(wǎng)絡(luò)設(shè)備的連接狀態(tài)、Hop數(shù)目、連接路徑情況等信息；監(jiān)控網(wǎng)絡(luò)設(shè)備端口的PPS，及時(shí)檢測(cè)和阻斷蠕蟲(chóng)或內(nèi)網(wǎng)異常流量猛增設(shè)備.在設(shè)備管理中，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用圖示方式表示，拓?fù)浣Y(jié)構(gòu)自動(dòng)發(fā)現(xiàn)，企業(yè)網(wǎng)絡(luò)架構(gòu)一目了然；同時(shí)可以 迅速的看出網(wǎng)絡(luò)的狀態(tài)（正?；蚬收系龋?。對(duì)于超過(guò)臨界值或請(qǐng)求PPS無(wú)應(yīng)答時(shí)，節(jié)點(diǎn)顏色將變紅，并被 隔離。及時(shí)把握網(wǎng)絡(luò)拓?fù)浜凸?jié)點(diǎn)的改變；圖形化的網(wǎng)絡(luò)統(tǒng)計(jì)數(shù)據(jù)顯示，有助于規(guī)劃長(zhǎng)期網(wǎng)絡(luò)發(fā)展.同時(shí)，NetInWay Pro還可以全天候24小時(shí)監(jiān)控?cái)?shù)千個(gè)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)，如應(yīng)答時(shí)間、損失率、生 存時(shí)間等，如檢測(cè)到故障，將實(shí)時(shí)報(bào)警并通知管理者。3、性能分析NetInWay Pro性能分析是以S

14、NMP為基礎(chǔ)，執(zhí)行網(wǎng)絡(luò)監(jiān)控。監(jiān)控信息是以日、周、月、年為周期記錄日 志.性能分析包括：網(wǎng)絡(luò)流量監(jiān)控和實(shí)時(shí)網(wǎng)絡(luò)利用率查詢.性能分析模塊對(duì)網(wǎng)絡(luò)設(shè)備和鏈路情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)和處理網(wǎng)絡(luò)故障；對(duì)出現(xiàn)故障的節(jié)點(diǎn)進(jìn)行 隔離，引導(dǎo)管理員快速定位、排除網(wǎng)絡(luò)故障；自動(dòng)生成帶寬使用情況的圖表，用于長(zhǎng)期趨勢(shì)分析和制定 帶寬使用計(jì)劃，并可優(yōu)化自身的網(wǎng)絡(luò)應(yīng)用，根據(jù)所提供的精確而及時(shí)的數(shù)據(jù)作出軟硬件升級(jí)計(jì)劃的決定.4、故障管理NetInWay Pro故障管理完成網(wǎng)絡(luò)故障（IP故障、設(shè)備故障、流量故障、WDI故障）的及時(shí)發(fā)現(xiàn)和報(bào)警， 具體功能如下：故障瀏覽及定期刷新故障分類、排序、統(tǒng)計(jì) 故障報(bào)警，并通知管理員瀏覽故障

15、的用戶權(quán)限管理?xiàng)l件查詢歷史故障功能NetInWay Pro提供了各種詳細(xì)報(bào)告（IP狀態(tài)報(bào)告書(shū)、設(shè)備狀態(tài)報(bào)告書(shū)、流量分析報(bào)告書(shū)、故障情況報(bào) 告書(shū)）的多種模板.在完成了上述四個(gè)步驟的部署之后就完成了企業(yè)網(wǎng)絡(luò)架構(gòu)的完整設(shè)計(jì)方案，接下來(lái)將對(duì)企業(yè)網(wǎng)絡(luò)信息安 全整體解決方案的其他部分進(jìn)行闡述。二構(gòu)建全方位的數(shù)據(jù)泄漏防護(hù)系統(tǒng)近年來(lái)，泄密案件日益成為企業(yè)管理者的夢(mèng)魘。各種數(shù)據(jù)泄露事件越演越烈，不僅給企業(yè)帶來(lái)嚴(yán)重的 直接經(jīng)濟(jì)損失，而且在品牌價(jià)值、投資人關(guān)系、社會(huì)公眾形象等多方面造成損害。為防止數(shù)據(jù)外泄，企業(yè) 往往不惜花巨資購(gòu)進(jìn)防火墻、入侵檢測(cè)、防病毒、漏洞掃描等網(wǎng)絡(luò)安全產(chǎn)品，以為可以高枕無(wú)憂了。其 實(shí)，這種想法

16、是錯(cuò)誤而且極其危險(xiǎn)的。FBI和CSI對(duì)484家公司進(jìn)行了網(wǎng)絡(luò)安全專項(xiàng)調(diào)查，調(diào)查結(jié)果顯示:超過(guò)85%的安全威脅來(lái)自公司內(nèi)部。在損失金額上，由于內(nèi)部人員泄密導(dǎo)致了 6056。5萬(wàn)美元的損失，是黑客造成損失的16倍，是病毒造成 損失的12倍。因此，企業(yè)在加強(qiáng)網(wǎng)絡(luò)安全建設(shè)和信息安全管理的基礎(chǔ)上，必須采用先進(jìn)的數(shù)據(jù)泄露防護(hù)（DLP）體 系防止企業(yè)敏感資料泄密。在經(jīng)過(guò)之前幾個(gè)月時(shí)間對(duì)各種防泄密產(chǎn)品的了解、測(cè)試，建議采用巨石數(shù)據(jù)泄露防護(hù)系統(tǒng)。它基于“事 前防范，事中控制，事后審計(jì)”的基本思路，以密碼技術(shù)為支撐、以身份認(rèn)證為基礎(chǔ)、以數(shù)據(jù)安全為核心、 以監(jiān)控審計(jì)為依據(jù)，通過(guò)對(duì)數(shù)據(jù)的創(chuàng)建、流轉(zhuǎn)、銷毀的全過(guò)程監(jiān)控，

17、從數(shù)據(jù)存儲(chǔ)、網(wǎng)絡(luò)傳輸?shù)葘用嬷郑?覆蓋數(shù)據(jù)安全的各個(gè)方面,構(gòu)建全方位的數(shù)據(jù)泄漏防護(hù)系統(tǒng)。各子系統(tǒng)功能簡(jiǎn)介:數(shù)據(jù)存儲(chǔ)安全文檔安全管理系統(tǒng)HSKey采用透明加解密技術(shù)，在不知不覺(jué)中自動(dòng)完成文件加密?？茖W(xué)、完善的解密審批流程，防止機(jī)密文件非法外泄。精確控制外發(fā)出去的文件的使用權(quán)限，不再“覆水難收”精細(xì)的文件權(quán)限控制，確保加密文件的合法使用企業(yè)11盤(pán)認(rèn)證系統(tǒng)HSUCS完善的U盤(pán)認(rèn)證體系，防止未認(rèn)證的U盤(pán)在企業(yè)內(nèi)部使用。文件打印安全打印監(jiān)控系統(tǒng)HSPrtMon支持打印內(nèi)容監(jiān)控，提供全方位的打印監(jiān)控和打印管理功能十幾種報(bào)表類型從費(fèi)用、負(fù)荷等全方面反映打印情況。文檔安全管理系統(tǒng)實(shí)現(xiàn)功能HS-Key是HSDL

18、P體系的基礎(chǔ)核心軟件，用于對(duì)企業(yè)的機(jī)密文件資料進(jìn)行加密保護(hù),有效防止員工 主動(dòng)泄密或無(wú)意間的數(shù)據(jù)泄露。HSKey通過(guò)文件加密、權(quán)限管理、流程管理，以及與AD域和企業(yè)現(xiàn)有的管理系統(tǒng)的緊密結(jié)合，來(lái) 達(dá)到企業(yè)對(duì)文件安全性和管理人性化的雙重要求。文檔安全管理系統(tǒng)功能特點(diǎn):功能特點(diǎn)說(shuō)明文件自動(dòng)加密，無(wú)需人工干預(yù)HS-Key采用透明加解密技術(shù)，可以在用戶沒(méi)有感覺(jué)的情況下,完成文 件的自動(dòng)加密。精細(xì)權(quán)限控制，控制文件流轉(zhuǎn)既可控制文件內(nèi)容復(fù)制、拖拽、打印、截屏等操作。也可對(duì)文件（本 地磁盤(pán)網(wǎng)絡(luò)磁盤(pán)移動(dòng)磁盤(pán)文件等）和文件夾的操作進(jìn)行分權(quán)限/分 級(jí)/分用戶控制。集成管理系統(tǒng)，完美融合流程可與Windows域用戶完

19、美結(jié)合.同時(shí)可以和企業(yè)的OA/PDM/ERP等管理 系統(tǒng)進(jìn)行緊密的集成，進(jìn)行組織架構(gòu)的導(dǎo)入同步,工作流程融合等。開(kāi)放策略管理，輕松擴(kuò)展需求用戶可根據(jù)需求，任意添加需加密監(jiān)控的應(yīng)用程序和文件類型，無(wú) 需一次開(kāi)發(fā)即可適應(yīng)未來(lái)環(huán)境，為用戶節(jié)約投資成本。解密審批流程，貼合企業(yè)管理加密文件或郵件附件，必須經(jīng)過(guò)解密審批流程或者郵件解密流程方 能正常完成解密外發(fā)。外發(fā)文件控制，覆水亦可收回可以對(duì)外發(fā)離開(kāi)企業(yè)的文件的讀寫(xiě)權(quán)限、打開(kāi)次數(shù)、打開(kāi)時(shí)間、復(fù) 制截屏等操作權(quán)限進(jìn)行精確控制.強(qiáng)制或不強(qiáng)制，部門區(qū)別對(duì)待可以根據(jù)不同部門的加密需求選擇是否強(qiáng)制加密，如技術(shù)部門可以 強(qiáng)制進(jìn)行全盤(pán)加密，銷售部門可以有選擇的加密。黑

20、白名單功能，加強(qiáng)安全管理可對(duì)信任的郵箱設(shè)置為白名單，加密文件發(fā)往白名單郵箱時(shí)自動(dòng)解 密，發(fā)往黑名單郵件時(shí)自動(dòng)拒絕發(fā)送;可對(duì)與工作無(wú)關(guān)的聊天程序、 游戲等程序做控制，禁止運(yùn)行和啟動(dòng)，實(shí)現(xiàn)應(yīng)用程序黑白名單的管 理效果。離網(wǎng)工作控制，外出亦可控制有效控制離網(wǎng)工作電腦的使用權(quán)限，并可配合加密狗來(lái)實(shí)現(xiàn)指定的管 控功能.日志審計(jì)功能，追溯安全責(zé)任提供完善的事后追查和操作日志檢索功能，對(duì)于所有可能造成文件 泄密的途徑都可進(jìn)行追蹤和篩查。文檔安全管理系統(tǒng)實(shí)施部署圖：企業(yè)U盤(pán)認(rèn)證系統(tǒng)實(shí)現(xiàn)功能U盤(pán)的安全認(rèn)證可以有效防止非法U盤(pán)在企業(yè)（或政府）內(nèi)部的使用而導(dǎo)致的泄密問(wèn)題.UCS系統(tǒng)采用了先進(jìn)的 WDM驅(qū)動(dòng)技術(shù)、加密

21、技術(shù)和磁盤(pán)讀寫(xiě)權(quán)限控制技術(shù)，集U盤(pán)身份識(shí)別、數(shù)據(jù)加密和權(quán)限控制功能為一體，是目前功 能最強(qiáng)大、安全性最高的U盤(pán)認(rèn)證系統(tǒng)之一。企業(yè)。盤(pán)認(rèn)證系統(tǒng)功能特點(diǎn):功能特點(diǎn)說(shuō)明安全U盤(pán)制作將任何的普通U盤(pán)轉(zhuǎn)換為一個(gè)具有身份標(biāo)識(shí)，并且具有加密功能的U盤(pán). 該U盤(pán)插入到普通未授權(quán)的計(jì)算機(jī)中，U盤(pán)內(nèi)容無(wú)法讀取。U盤(pán)智能識(shí)別可自動(dòng)識(shí)別普通U盤(pán)和授權(quán)認(rèn)證U盤(pán)，未經(jīng)授權(quán)認(rèn)證的U盤(pán)無(wú)法在電腦上 使用；U盤(pán)身份識(shí)別經(jīng)過(guò)認(rèn)證的U盤(pán)使用時(shí)，必須再次輸入密碼，驗(yàn)證通過(guò)后方能正常使用；U盤(pán)統(tǒng)一管理所有經(jīng)過(guò)認(rèn)證的U盤(pán)在使用時(shí)，都可以通過(guò)總控臺(tái)進(jìn)行監(jiān)控和記錄；外網(wǎng)限制使用當(dāng)安全U盤(pán)帶回家中，由于無(wú)法進(jìn)行身份認(rèn)證,所以無(wú)法正常使用。U盤(pán)

22、使用權(quán)限控制控制指定的計(jì)算機(jī)對(duì)于U盤(pán)的只讀禁止使用權(quán)限.企業(yè)。盤(pán)認(rèn)證系統(tǒng)實(shí)施部署圖：打印監(jiān)控系統(tǒng)實(shí)現(xiàn)功能Web方式的打印監(jiān)控系統(tǒng)，支持打印內(nèi)容監(jiān)控,提供全方位的打印監(jiān)控和打印管理功能。十幾種報(bào)表類 型從費(fèi)用、負(fù)荷等全方面反映打印情況。完善的設(shè)定，可以讓企業(yè)在發(fā)生數(shù)據(jù)泄密時(shí)追溯到源頭。打印監(jiān)控系統(tǒng)主要功能特點(diǎn)：功能特點(diǎn)說(shuō)明打印事件記錄記錄每次打印的服務(wù)器、打印機(jī)、文檔名、用戶、計(jì)算機(jī)、打印字節(jié)數(shù)、打印頁(yè) 數(shù)、打印時(shí)間、紙張大小、色彩、打印費(fèi)用等信息。打印內(nèi)容保存完整保存每次打印任務(wù)的全部?jī)?nèi)容為Tiff圖像格式；可設(shè)定某打印機(jī)是否需要保存內(nèi)容及保存的分辨率；可設(shè)定某些用戶的打印內(nèi)容不要保存，哪怕是

23、打印到設(shè)定為需要保存內(nèi)容的打印機(jī)上；非PCL和PostScript打印機(jī)提供打印內(nèi)容保存，可在打印機(jī)上重新打印還原；客戶端認(rèn)證支持客戶端打印時(shí)彈窗輸入用戶名和密碼認(rèn)證；支持客戶端一機(jī)多用戶（多人共用一臺(tái)電腦）的打印監(jiān)控和計(jì)費(fèi)；支持按照打印項(xiàng)目進(jìn)行認(rèn)證、監(jiān)控和計(jì)費(fèi)；用戶配額設(shè)定固定配額和按照年、季、月、周、日打印配額；置透支方案，按照比例或金額設(shè)定透支上限；打印事件提醒可設(shè)定在打印開(kāi)始、打印成功和打印失敗時(shí)提醒打印人；提醒方式支持Windows系統(tǒng)消息；查詢與報(bào)表打印日志查詢，可按時(shí)間段、文檔名、用戶名、計(jì)算機(jī)名和打印機(jī)名；匯總統(tǒng)計(jì)報(bào)表，提供交叉表和主從表分析，提供表格形式的匯總報(bào)表，支持導(dǎo)出成

24、Excel 格式；任務(wù)分析報(bào)表，具體有文件類型打印統(tǒng)計(jì)、打印的頁(yè)數(shù)統(tǒng)計(jì)、紙張大小統(tǒng)計(jì)、打印色彩 統(tǒng)計(jì)和打印方式統(tǒng)計(jì)；負(fù)荷分析報(bào)表，具體有打印機(jī)日志統(tǒng)計(jì)、打印服務(wù)器日志統(tǒng)計(jì)、計(jì)算機(jī)打印日志統(tǒng)計(jì)和 用戶打印統(tǒng)計(jì)；時(shí)間分析報(bào)表，具體有24小時(shí)、天、周、季和年度分布分布；集中管理、認(rèn)證計(jì)費(fèi)任意多臺(tái)打印機(jī)均可納入管理，實(shí)現(xiàn)集中管理、集中認(rèn)證計(jì)費(fèi)，方便用戶對(duì)打印資源的 集中管理和成本控制；多級(jí)權(quán)限管理，靈活分配不同功能、不同角色的管理帳戶；打印簽核用戶的打印任務(wù)必須經(jīng)過(guò)管理員查看打印內(nèi)容，批準(zhǔn)后才送往打印機(jī)，適合敏感信息和 高成本打印機(jī)的全面監(jiān)控打印內(nèi)容存儲(chǔ)備份(附加模塊)。打印內(nèi)容存儲(chǔ)備份可以時(shí)時(shí)將保存

25、的打印內(nèi)容進(jìn)行自動(dòng)存貯備份,便于打印安全存檔和防災(zāi)。在企業(yè)內(nèi)部部署了HSDLP體系套件之后，所有敏感、機(jī)密的數(shù)據(jù)都被透明加密與外部之間設(shè)了一道 安全屏障.即使數(shù)據(jù)被員工以打印的方式帶出，也可以通過(guò)打印監(jiān)控系統(tǒng)執(zhí)行倒查機(jī)制找出泄密的源頭. 這樣就可以從多方面、最大限度的杜絕敏感、機(jī)密數(shù)據(jù)泄漏事件的發(fā)生幾率，降低企業(yè)的損失。三建立一體化的本地異地備份與容災(zāi)體系隨著企業(yè)對(duì)于數(shù)據(jù)可用性的依賴性越來(lái)越高，數(shù)據(jù)已成為企業(yè)最為寶貴的財(cái)富.要保證企業(yè)業(yè)務(wù)持續(xù) 的運(yùn)作和成功，就要保護(hù)基于計(jì)算機(jī)的信息。但是由于自然災(zāi)難或是人為錯(cuò)誤引發(fā)的業(yè)務(wù)宕機(jī)給企業(yè)造 成無(wú)可估量的損失，不能被企業(yè)所接受。因此，為企業(yè)的信息系統(tǒng)建

26、立起有效的備份與容災(zāi)體系，在發(fā)生 各類災(zāi)難時(shí)快速響應(yīng)、全力保證業(yè)務(wù)連續(xù)性，成為保證企業(yè)連續(xù)運(yùn)營(yíng)的關(guān)鍵。美國(guó)飛康CDP備份/容災(zāi)一體化解決方案，徹底改變了傳統(tǒng)的數(shù)據(jù)備份及災(zāi)難恢復(fù)方式，全面整合了 數(shù)據(jù)備份、系統(tǒng)恢復(fù)、災(zāi)難恢復(fù)、本地及異地容災(zāi)等多項(xiàng)功能。無(wú)論企業(yè)的應(yīng)用服務(wù)器發(fā)生任何意外， 例如，惡意的程序破壞、文件損毀、人為誤刪誤改、操作系統(tǒng)宕機(jī)、硬件故障，甚至整個(gè)機(jī)房毀于意外， 都可以完整保護(hù)整個(gè)信息系統(tǒng)，徹底解決所有傳統(tǒng)備份與容災(zāi)難題。幫助企業(yè)最大程度的使數(shù)據(jù)丟失最 少(RPO)，業(yè)務(wù)中斷時(shí)間最短(RTO)。飛康CDP備份/容災(zāi)一體化解決方案的特點(diǎn)：1分鐘立即驗(yàn)證并恢復(fù)備份傳統(tǒng)備份機(jī)制只能從備

27、份紀(jì)錄中確認(rèn)備份工作執(zhí)行成功，卻不能保證數(shù)據(jù)能夠用于正確恢復(fù).飛康 CDP在主機(jī)端就能快速轉(zhuǎn)換為快照磁盤(pán)并瀏覽快照內(nèi)容，通過(guò)iSCSI及FC與應(yīng)用服務(wù)器連結(jié)，一分鐘內(nèi)就 能檢查快照磁盤(pán)里的文件內(nèi)容，并直接加載數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行數(shù)據(jù)比對(duì)和恢復(fù)驗(yàn)證，完全不需要耗時(shí)的數(shù)據(jù) 回存過(guò)程，或占用服務(wù)器本身的磁盤(pán)空間，影響系統(tǒng)運(yùn)行.5分鐘恢復(fù)中斷的業(yè)務(wù)系統(tǒng)傳統(tǒng)備份機(jī)制保護(hù)下的服務(wù)器，一旦發(fā)生黑客/病毒攻擊、打補(bǔ)丁造成系統(tǒng)不穩(wěn)定、系統(tǒng)崩潰,就必須 經(jīng)過(guò)繁復(fù)且冗長(zhǎng)的回存過(guò)程，才能讓系統(tǒng)恢復(fù)正常運(yùn)行。利用飛康CDP的SANBoot功能，可以在意外發(fā)生 后，通過(guò)安裝在應(yīng)用服務(wù)器上的FC HBA或iSCSI HBA，在應(yīng)

28、用服務(wù)器重新開(kāi)機(jī)后接手本機(jī)硬盤(pán)，5分鐘內(nèi)就能恢復(fù)系統(tǒng)正常運(yùn)行，無(wú)需重新安裝操作系統(tǒng)和數(shù)據(jù)恢復(fù)過(guò)程。 10鐘讓故障服務(wù)器恢復(fù)運(yùn)行當(dāng)服務(wù)器因主板等硬件故障或遭遇自然災(zāi)害，導(dǎo)致整臺(tái)服務(wù)器無(wú)法運(yùn)行時(shí)，必須送修或更換備機(jī)，相 當(dāng)耗時(shí)費(fèi)力.飛康CDP利用虛擬服務(wù)器（如VMware）作為恢復(fù)平臺(tái)，采用P2V恢復(fù)機(jī)制，將CDP管理器內(nèi)的磁 盤(pán)快照，通過(guò)iSCSI直接提供給虛擬機(jī)使用，無(wú)需冗長(zhǎng)的文件系統(tǒng)轉(zhuǎn)換過(guò)程，更不用考慮硬件與驅(qū)動(dòng)程序 的兼容性，10分鐘內(nèi)就能從虛擬機(jī)上啟動(dòng)系統(tǒng)，快速恢復(fù)服務(wù)。立防火墻、防入侵及一體化安全網(wǎng)關(guān)解決方案由于在現(xiàn)今的網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力，因?yàn)椴《驹诰W(wǎng)絡(luò)中

29、存儲(chǔ)、傳 播、感染的方式各異且途徑多種多樣，因此計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。企業(yè)應(yīng)該 構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系。除了部署全網(wǎng)統(tǒng)一集中管理的網(wǎng)絡(luò)版殺毒軟件之外，還要在內(nèi)部網(wǎng)與外部網(wǎng) 之間，設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問(wèn)控制。兩者相輔相成是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是 最有效、最經(jīng)濟(jì)的措施。對(duì)于為什么在部署了網(wǎng)絡(luò)版殺毒軟件之后還要設(shè)置防火墻，可以這么理解：殺毒軟件之所以能殺毒， 純粹是根據(jù)病毒樣本的代碼特征來(lái)識(shí)別是否是病毒，但是對(duì)于未知的病毒或變種的病毒，由于這些病毒 木馬的特征沒(méi)有被殺毒軟件所掌握，因此殺毒軟件對(duì)它們既不能報(bào)警，也無(wú)法剿殺。所以我們就需要設(shè)置 防火墻來(lái)守護(hù)

30、企業(yè)網(wǎng)絡(luò)的大門（出入口）。舉個(gè)直觀的例子：企業(yè)內(nèi)部網(wǎng)絡(luò)就好比是座城堡，網(wǎng)絡(luò)管理員是這個(gè)城堡的最高統(tǒng)帥，殺毒軟件和 防火墻是負(fù)責(zé)安全的警衛(wèi)，各有分工。殺毒軟件負(fù)責(zé)對(duì)進(jìn)入城堡的人進(jìn)行身份鑒別，如果發(fā)現(xiàn)可疑人物 就隔離或者直接殺除;而防火墻則是門衛(wèi)，掌管網(wǎng)絡(luò)的各扇門（端口），對(duì)每一個(gè)進(jìn)出城堡的人都進(jìn)行檢 查，一旦發(fā)現(xiàn)沒(méi)有出入證的人就向網(wǎng)絡(luò)管理員確認(rèn)。因此，任何木馬或間諜軟件，或許可能在殺毒軟件 的眼皮底下偷偷記錄用戶帳號(hào)和密碼，可是由于防火墻把門看得死死的，再多的信息也傳不出去，從而保 護(hù)了企業(yè)網(wǎng)絡(luò)的安全。另外，對(duì)于黑客的攻擊，殺毒軟件是沒(méi)有任何辦法的，因?yàn)楹诳偷牟僮鞑痪哂腥魏翁卣鞔a，殺毒軟 件自然

31、無(wú)法識(shí)別，而防火墻可以把企業(yè)內(nèi)部網(wǎng)絡(luò)的每個(gè)端口都隱藏起來(lái)，讓黑客找不到入口，自然也就 保證了企業(yè)網(wǎng)絡(luò)的安全。針對(duì)上述情況，我們可以在企業(yè)服務(wù)器上部署趨勢(shì)科技防毒墻一服務(wù)器版（SP），監(jiān)控和查殺網(wǎng)絡(luò)內(nèi)部 的病毒、木馬.同時(shí)在網(wǎng)關(guān)處設(shè)置瞻博（Juniper SSG320MSH）硬件防火墻對(duì)進(jìn)出的信息進(jìn)行安全過(guò)濾， 以此構(gòu)建安全、無(wú)毒的局域網(wǎng)絡(luò)。趨勢(shì)科技防毒墻-服務(wù)器版用的產(chǎn)品架構(gòu)：ServerProtect是通過(guò)一個(gè)3層的結(jié)構(gòu)為網(wǎng)絡(luò)提供病毒防護(hù)：管理控制臺(tái)、信息服務(wù)器、標(biāo)準(zhǔn)服務(wù) 器.管理員可以利用管理控制臺(tái)配置信息服務(wù)器（IS），然后利用信息服務(wù)器控制IS域內(nèi)的標(biāo)準(zhǔn)服務(wù)器. 產(chǎn)品主要功能與特性：三

32、層式架構(gòu)執(zhí)行遠(yuǎn)程管理內(nèi)建完整的說(shuō)明功能工作管理導(dǎo)向作業(yè)支持趨勢(shì)EPS企業(yè)安全防護(hù)策略智能型處理行動(dòng)智能型掃描服務(wù)目錄或文件寫(xiě)保護(hù)功能趨勢(shì)TSC系統(tǒng)病毒清除程序集中式局域網(wǎng)管理Juniper防火墻介紹：Juniper提供了可擴(kuò)展的網(wǎng)絡(luò)安全解決方案，適用于包括寬帶移動(dòng)用戶、中小型企業(yè)Internet邊界、 大型企業(yè)的內(nèi)部網(wǎng)絡(luò)安全域劃分和控制，以至電子商務(wù)網(wǎng)站的服務(wù)器保護(hù)等等。Juniper全功能防火墻采 用實(shí)時(shí)檢測(cè)技術(shù)，可以防止入侵者和拒絕服務(wù)（denial-ofservice）的攻擊。同時(shí)，Juniper與國(guó)際各大 品牌廠商合作提供多種領(lǐng)先的安全技術(shù)的集成，包括深層檢測(cè)功能（Juniper）、防

33、病毒（卡巴斯基）、垃 圾郵件過(guò)濾（賽門鐵克）、和網(wǎng)頁(yè)過(guò)濾（美訊智）4種，并且可以提供試用的臨時(shí)許可license,可以讓用戶 在一定時(shí)間內(nèi)下載特征庫(kù)及使用該內(nèi)容安全更新。過(guò)了試用期后，用戶必須定購(gòu)年度服務(wù)來(lái)獲得最新的 入侵防護(hù)攻擊庫(kù)、病毒庫(kù)、并得到垃圾郵件和網(wǎng)頁(yè)過(guò)濾的定時(shí)更新。Juniper防火墻功能特點(diǎn)：深層檢測(cè)功能：深層檢測(cè)功能（Deep Inspection，簡(jiǎn)稱DI）是Juniper的防火墻操作系統(tǒng)ScreenOS里集成 的一個(gè)專門對(duì)網(wǎng)絡(luò)流量里的應(yīng)用層攻擊（包括網(wǎng)絡(luò)蠕蟲(chóng)、木馬和惡意軟件）進(jìn)行檢測(cè)的功能，其實(shí)就是將 Juniper的IPS/IDP的入侵檢測(cè)和防護(hù)的功能集成到Juniper防火墻的ScreenOS里面，對(duì)會(huì)話實(shí)施基于狀態(tài)的策略的同時(shí)進(jìn)行對(duì)應(yīng)用層攻擊特征的匹配，并且作出相應(yīng)的保護(hù)動(dòng)作.防病毒：防病毒也是一項(xiàng)內(nèi)容保護(hù)不可缺少的部分。深層檢測(cè)(DI)是對(duì)應(yīng)用層控制字段信息進(jìn)行攻擊特 征匹配(一般是蠕蟲(chóng)病毒或緩沖區(qū)溢出等攻擊)，而防病毒是針對(duì)文件里的攜帶的攻擊(包括間諜軟件、 廣告軟件、網(wǎng)絡(luò)釣魚(yú)軟件和鍵盤(pán)側(cè)錄軟件)進(jìn)行匹配的技術(shù)，而文件的傳遞一般依靠web、FTP的下載和 上傳，以及email附件等。通