公司信息安全規(guī)劃設(shè)計方案及對策

XX公司安全規(guī)劃案2016年3月

目錄TOC\o"1-3"\h\u第一章需求分析 31.1前言 31.2現(xiàn)狀分析 3第二章信息安全建設(shè)規(guī)劃 42.1設(shè)計思路 42.2建設(shè)目標(biāo) 42.3信息安全建設(shè)案 52.3.1終端整體安全規(guī)劃 52.3.2IT信息網(wǎng)絡(luò)安全建設(shè) 112.3.3IT信息數(shù)據(jù)建設(shè) 13第三章安全服務(wù)體系 22工程師的工作流程 22第一章需求分析1.1前言隨著互聯(lián)網(wǎng)和信息系統(tǒng)的飛速發(fā)展，具有黑客攻擊特征的新類型病毒的大量出現(xiàn)，特別是近幾年威脅攻擊更傾向于竊取核心資料或是從事系統(tǒng)破壞為目的，攻擊手法通常采取“低而緩”的式，攻擊行為往往在較長的時間不會被注意到,惡意軟件呈現(xiàn)出了定向化、多樣化、動態(tài)化的特點。用戶如果僅依靠單一的技術(shù)手段并無法有效全面控制安全風(fēng)險。同時IT環(huán)境變的越來越復(fù)雜,在日常維護(hù)工作中如對多樣化的終端，移動設(shè)備，應(yīng)用軟件以及多樣的系統(tǒng)進(jìn)行有效的管理，形成統(tǒng)一有效的管理網(wǎng)絡(luò)，提升管理效率，一個混亂無序的IT環(huán)境對于企業(yè)的信息安全也是存在巨大的安全漏洞，對于攻擊者來說可以利用的攻擊途徑相比一個統(tǒng)一的有效的IT架構(gòu)能更加輕松的攻破。2015我們身邊的安全事件：CharlieMiller和ChrisValasek歷時一年，研發(fā)出了一套可以攻破切諾基2014款吉普的工具，而且可以通過無線網(wǎng)絡(luò)進(jìn)行攻破。汽車入侵又出奇招：奧迪TT被攻破道瓊斯公司（DowJones）CEO承認(rèn)了公司數(shù)據(jù)泄露事件，有3500位用戶的數(shù)據(jù)（支付卡信息、通訊信息等）被黑客未授權(quán)訪問，并已向受影響的用戶發(fā)去了通知。喜達(dá)屋集團(tuán)表示，目前位于北美地區(qū)的54個酒店均發(fā)現(xiàn)了惡意軟件，該惡意軟件的目的是從支付終端和收銀機上竊取酒店用戶的銀行卡信息。 機鋒論壇2300萬用戶信息泄露?？低暡糠衷O(shè)備被境外IP控制，存重安全隱患大麥網(wǎng)600多萬用戶賬號密碼泄露，數(shù)據(jù)已被售賣過億用戶數(shù)據(jù)泄露，網(wǎng)易稱遭黑客“撞庫”1.2現(xiàn)狀分析目前XX沒有統(tǒng)一的終端防護(hù)軟件，無法集中管理終端防護(hù)工作；在網(wǎng)絡(luò)層面架設(shè)有傳統(tǒng)防火墻和行為管理設(shè)備；所有的服務(wù)器都可以連接外網(wǎng)；搭建了AD域控，但客戶端沒有加入域；對出差人員和外來訪客訪問網(wǎng)無有效的安全管理手段。綜上所述的現(xiàn)狀分析來看，XX的信息系統(tǒng)還沒有形成一套完整有效的安全防御體系，使公司更容易成為數(shù)據(jù)竊取和操控的受害者、造成關(guān)鍵業(yè)務(wù)中斷并導(dǎo)致公司損失。第二章信息安全建設(shè)規(guī)劃2.1設(shè)計思路針對現(xiàn)今各企業(yè)所面臨全新的安全威脅和挑戰(zhàn)，結(jié)合XX現(xiàn)有的信息安全體系，我公司通過從終端到網(wǎng)絡(luò)以及數(shù)據(jù)等多個面建立一整套安全防御體系，全面評估攻擊對企業(yè)部網(wǎng)絡(luò)的滲透圍和造成損失，準(zhǔn)確消除攻擊給企業(yè)造成的破壞，同時也可以提高企業(yè)信息安全的管理效率以及保障數(shù)據(jù)在企業(yè)部和外部流轉(zhuǎn)的安全性。2.2建設(shè)目標(biāo)部署終端防病毒軟件，并進(jìn)行網(wǎng)絡(luò)接入合規(guī)性檢查，保證IT系統(tǒng)免于受到攻擊；建立在網(wǎng)絡(luò)邊界位置履行對人員和設(shè)備進(jìn)行準(zhǔn)入控制，將端點修復(fù)到可信狀態(tài)，確保接入網(wǎng)訪問公司資源的終端符合IT管理策略；建立形成統(tǒng)一的終端運維管理平臺，提升IT管理的效率；建立一種全新的，發(fā)現(xiàn)、劃分處理優(yōu)先級并補救所有端點中高級攻擊的高級威脅防護(hù)；應(yīng)用業(yè)務(wù)數(shù)據(jù)集中存儲、集中備份，使用專業(yè)的數(shù)據(jù)備份恢復(fù)技術(shù)，提供更安全的數(shù)據(jù)保護(hù)；建立完善的安全防護(hù)及管理體系，應(yīng)對外部威脅和部威脅，形成業(yè)務(wù)系統(tǒng)的快速恢復(fù)機制，減少因IT系統(tǒng)停頓對公司主營業(yè)務(wù)的影響和損失；建立核心數(shù)據(jù)管理統(tǒng)一防泄密平臺，監(jiān)控核心業(yè)務(wù)數(shù)據(jù)的生產(chǎn)、傳播和使用環(huán)節(jié)；2.3信息安全建設(shè)案2.3.1終端整體安全規(guī)劃2.3.1.1終端安全防護(hù)系統(tǒng)實踐證明，完整有效的終端安全解決案包括技術(shù)、管理和服務(wù)三個面容。防病毒技術(shù)的部署和實施是“實現(xiàn)用戶個人的廣義病毒和攻擊的防護(hù)”的主要力量。傳統(tǒng)的病毒防護(hù)案往往以技術(shù)為主，但是僅僅依靠技術(shù)是有其局限性，因此指望一套防病毒軟件解決所有的病毒問題是不現(xiàn)實的；同時，對于XX這樣的大型企業(yè)，防病毒的管理性要求甚至比查殺病毒的能力顯得更為重要，如果不能做到全網(wǎng)防病毒的統(tǒng)一管理，再強的防病毒軟件也不能發(fā)揮應(yīng)有作用。此外，我們重點提出“服務(wù)”的根本原因是基于一個判斷：即沒有任防病毒廠家能夠做到對所有已知病毒和未知病毒的快速準(zhǔn)確查殺。服務(wù)是產(chǎn)品的一種補充。因此，產(chǎn)品＋管理＋服務(wù)的組合才能在根本上保證病毒防護(hù)的可靠性。技術(shù)層面因此，必須從“主動防御”這一觀點出發(fā)，建立一個覆蓋全網(wǎng)的、可伸縮、抗打擊的終端防護(hù)體系。相對于被動式病毒響應(yīng)技術(shù)而言，主動式反應(yīng)技術(shù)可在最新的惡意軟件沒有出現(xiàn)之前就形成防御墻，靜侯威脅的到來而能避免威脅帶來的損失?！爸鲃臃烙敝饕w現(xiàn)在以下幾個面：使用以應(yīng)用程序為中心的防火墻來阻止蠕蟲，木馬和黑客，防止其利用漏洞，非法攻擊終端；網(wǎng)絡(luò)威脅防護(hù)可分析傳入數(shù)據(jù)流，及時阻止威脅通過網(wǎng)絡(luò)攻擊終端；主動檢測威脅技術(shù)將存在風(fēng)險的文件與安全的文件區(qū)分開來，可提高惡意軟件的檢測速度和準(zhǔn)確性，掃描偷渡式下載和以瀏覽器漏洞為目標(biāo)的攻擊，能實時監(jiān)控應(yīng)用程序行為并阻止目標(biāo)性攻擊和零日威脅；智能的應(yīng)用程序控制，控制文件和注冊表訪問權(quán)限，以及設(shè)置允進(jìn)程如運行；可用于限制對選定硬件的訪問，并控制哪些類型的設(shè)備可以上傳或下載信息的外設(shè)控制。外設(shè)控制可以結(jié)合應(yīng)用程序控制，提供更靈活的控制策略。管理層面—入網(wǎng)準(zhǔn)入控制在管理層面上需要實現(xiàn)兩個目標(biāo)：“技術(shù)管理化”與“管理技術(shù)化”。技術(shù)管理化要求對以上這些安全技術(shù)進(jìn)行有效的管理，使其真正發(fā)揮作用。通過統(tǒng)一、集中、實時地集中管理，構(gòu)建堅固的技術(shù)保障體系。管理技術(shù)化體現(xiàn)在終端的策略和行為約束，把停留在口號階段的“三分技術(shù)、七分管理”變成可操作控制程序，這就需要輔以技術(shù)手段，通過準(zhǔn)入控制等技術(shù)把對最終用戶的管理要求真正落實下去。根據(jù)XX現(xiàn)狀，在企業(yè)辦公網(wǎng)中無法確定現(xiàn)在網(wǎng)絡(luò)中有多少各種設(shè)備、終端，是什么種類；無法確定入網(wǎng)終端的安全狀況、合法性；無法確定此時有哪些人員入網(wǎng)訪問，訪問了種資源；機構(gòu)的安全規(guī)無法得到有效遵從；私接hub及無線路由器無法進(jìn)行有效的管理；無法迅速安全定位到終端設(shè)備和使用者。此案將從以下幾個面解決上述問題。邊界控制管理在當(dāng)今的計算環(huán)境中，公司和網(wǎng)絡(luò)管理員面臨著峻的挑戰(zhàn)，即為不斷擴(kuò)大的用戶群提供訪問公司資源的權(quán)限?，F(xiàn)在，維護(hù)網(wǎng)絡(luò)環(huán)境完整性的任務(wù)面臨著前所未有的挑戰(zhàn)。準(zhǔn)入技術(shù)可以與AD域系統(tǒng)聯(lián)動，在連接到資源以前驗證端點的健康狀況，而且在端點連接到資源之后，要對端點進(jìn)行持續(xù)驗證?？梢源_保在允端點連接到公司LAN、WAN、WLAN或VPN之前遵從IT策略。利用各種網(wǎng)絡(luò)控制技術(shù)，實現(xiàn)在各種網(wǎng)絡(luò)環(huán)境下適應(yīng)性，準(zhǔn)入系統(tǒng)能夠幫助用戶快速實現(xiàn)，對于網(wǎng)邊界的規(guī)劃?？梢詫崿F(xiàn)基于接入層邊界的控制和基于重要資源邊界的控制。人員認(rèn)證管理入網(wǎng)流程管理系統(tǒng)能夠提供廣泛的身份認(rèn)證功能，以及基于人員角色的權(quán)限控制功能，從而在識別、授權(quán)、審計等多個角度對網(wǎng)邊界設(shè)立好人員管理的第一道防線。設(shè)備規(guī)管理準(zhǔn)入系統(tǒng)通過設(shè)備識別、用戶認(rèn)證、防病毒軟件健康保障、系統(tǒng)補丁健康保障來規(guī)入網(wǎng)終端的合規(guī)性，同時可以進(jìn)行持續(xù)的監(jiān)控，一旦發(fā)現(xiàn)問題，可以精確定位。操作行為管理準(zhǔn)入系統(tǒng)可以針對人員和設(shè)備入網(wǎng)后的行為、狀態(tài)變更、維護(hù)等綜合管理。能夠在用戶及設(shè)備入網(wǎng)后，提供機構(gòu)管理策略的延展性，可配置的策略能夠搭建用戶/設(shè)備入網(wǎng)后的全面管理規(guī)視角報表管理準(zhǔn)入系統(tǒng)提供多種查看安全威脅點的法和式。系統(tǒng)使用人員可以從自己關(guān)注的起始點出發(fā)逐級進(jìn)行查看。所有安全狀態(tài)均提供了豐富的報表輸出。部署式入網(wǎng)規(guī)管理系統(tǒng)設(shè)備采用旁路模式部署在匯聚層交換機或者核心路由交換器旁，采用策略路由技術(shù)與核心交換機進(jìn)行聯(lián)動管理，實現(xiàn)對網(wǎng)終端的準(zhǔn)入控制。技術(shù)特點每當(dāng)用戶連接網(wǎng)絡(luò)時，確認(rèn)公司管理終端是否符合公司策略，根據(jù)檢查結(jié)果授予或者拒絕其接入權(quán)限。網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)可以與防病毒系統(tǒng)聯(lián)動，自動下載和安裝任缺失的病毒特征庫，防火墻策略，入侵檢測特征庫，軟件補丁和安全工具，將公司端點修復(fù)到可信狀態(tài)。支持多樣化的身份認(rèn)證式，既提供用戶名、密碼身份認(rèn)證也支持與LDAP、USB-KEY、手機短信、EMAIL、AD域等第三身份認(rèn)證系統(tǒng)聯(lián)動。入網(wǎng)規(guī)管理系統(tǒng)除了在邊界位置履行對人員和設(shè)備進(jìn)行準(zhǔn)入控制，還提供對人員和設(shè)備入網(wǎng)后的行為、狀態(tài)變更、維護(hù)等綜合管理，如違規(guī)外聯(lián)管控、對用戶各種操作的監(jiān)控和響應(yīng)。入網(wǎng)規(guī)管理系統(tǒng)擁有豐富的安全檢查規(guī)，不僅包含殺毒軟件檢查、補丁檢查、IP/MAC綁定等規(guī)檢查，也包含桌面客戶端運行狀態(tài)檢查、域用戶檢查、必須/禁止安裝軟件檢查等個性化安全檢查項，通過對終端進(jìn)行安全檢查，并提供一鍵式智能修復(fù)，在加固終端安全防護(hù)能力的同時，節(jié)約了運維成本，提高了工作效率。管理員可以事先配置來賓可以訪問的資源，比如只能上互聯(lián)網(wǎng)、收發(fā)等。這樣基于應(yīng)用控制來賓訪問權(quán)限，可以很好地解決既滿足業(yè)務(wù)需要，又很好地保護(hù)好用戶網(wǎng)資源。在現(xiàn)有的網(wǎng)絡(luò)環(huán)境中已在思科防火墻建立了VPN，使用SSL協(xié)議完成用戶的遠(yuǎn)程接入，使出差或者第三人員等這樣的移動辦公人員可以安全、便、快捷的登錄網(wǎng)工作，同時網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)可以對VPN接入用戶進(jìn)行身份認(rèn)證、終端合規(guī)性檢查，確保符合IT策略的終端接入網(wǎng)絡(luò)，訪問資源。2.3.1.2統(tǒng)一的終端運維管理平臺隨著計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷深入，對于網(wǎng)絡(luò)的安全性、可靠性的要求也越來越高，計算機網(wǎng)絡(luò)的管理、維護(hù)和運行變得越來越復(fù)雜。這就迫切需要有先進(jìn)的網(wǎng)絡(luò)管理平臺予以支撐。終端運維管理系統(tǒng)在安全性上也提供了完整的解決案。其基于證書授權(quán)的安全管理策略，形成了部網(wǎng)絡(luò)的一個強大的安全屏障，可以抵御各種形式的非法入侵。主要功能資產(chǎn)信息管理（軟件、硬件信息，及用戶定制信息等）漏洞管理（統(tǒng)一的補丁下載、修復(fù)與殺毒軟件病毒定義更新等）軟件分發(fā)（統(tǒng)一的軟件分發(fā)等）遠(yuǎn)程協(xié)助（遠(yuǎn)程的控制、文件傳輸?shù)龋┵Y產(chǎn)管理硬件資產(chǎn)桌面管理系統(tǒng)可以將客戶端的所有的硬件信息自動收集到服務(wù)器的管理數(shù)據(jù)庫中。如BIOS、主板、CPU、存、硬盤、網(wǎng)絡(luò)配置、操作系統(tǒng)版本等等。這使得系統(tǒng)管理員隨時可以對所管理的客戶端的硬件情況了如指掌。軟件資產(chǎn)軟件同樣是資產(chǎn)信息的重要部分。軟件的變化對于系統(tǒng)管理員來說更是無法管理。而通過軟件信息的自動收集，不僅能夠及時掌握每臺客戶機的系統(tǒng)軟件信息，而且可以自動獲得應(yīng)用軟件信息，滿足軟件正版化需求。漏洞管理自動下載漏洞特征及補丁程序?qū)β┒刺卣骷把a丁程序的自動下載。只要根據(jù)需要，制定好自動下載的計劃（如：每天、每、每月），系統(tǒng)便會自動的從服務(wù)器群上下載最新的漏洞特征及補丁程序。自動分發(fā)安裝系統(tǒng)安全補丁對于檢測到的系統(tǒng)安全漏洞可以實現(xiàn)自動分發(fā)安裝，通過計劃任務(wù)對客戶端PC進(jìn)行推送或者修復(fù)安裝，減輕Internet接入的網(wǎng)絡(luò)負(fù)擔(dān)、提高了效率，且性能穩(wěn)定。補丁安裝考慮盡量減少對用戶的影響，在進(jìn)行自動分發(fā)的同時，可以支持靜默式安裝。可以在用戶沒有任感覺的情況下，為其安裝上所有的操作系統(tǒng)補丁。軟件分發(fā)管理策略可以根據(jù)管理的需要，基于不同的協(xié)議進(jìn)行軟件分發(fā)；支持?jǐn)帱c續(xù)傳功能，對于分發(fā)一些大型的應(yīng)用軟件，例如：Office、ERP客戶端軟件等，這一特點十分重要；支持推（push）和拉（pull）兩種軟件分發(fā)的式?？梢詾榭蛻舳伺渲萌蝿?wù)完成功能。在分發(fā)過程中，支持多種網(wǎng)絡(luò)帶寬優(yōu)化及控制技術(shù)。通過這樣的管理策略，則可以使得對桌面系統(tǒng)的管理更加規(guī)、高效、可靠。通過計劃任務(wù)和策略實現(xiàn)軟件分發(fā)安裝軟件分發(fā)作為計劃任務(wù)來處理，既可以立即執(zhí)行，也可以根據(jù)需要，安排在某一特定時間執(zhí)行。遠(yuǎn)程協(xié)助遠(yuǎn)程控制通過遠(yuǎn)程控制功能，系統(tǒng)管理員可以在信息中心直接獲取客戶端的顯示數(shù)據(jù)，并在控制臺上顯示出來。這就將客戶端的PC虛擬到信息中心。系統(tǒng)管理員可以對客戶端進(jìn)行完全的操作，與現(xiàn)場進(jìn)行操作效果相當(dāng)。遠(yuǎn)程控制功能可以在不登錄網(wǎng)絡(luò)的情況下，先于操作系統(tǒng)啟動。支持同時對多個客戶端進(jìn)行遠(yuǎn)程控制。遠(yuǎn)程控制還可以設(shè)置為需要客戶端授權(quán)的式。通過遠(yuǎn)程控制，大大提高了工作效率。文件傳輸與快捷式進(jìn)行遠(yuǎn)程管理時，文件傳輸是必不可少的。這里的文件傳輸，并非通過共享的式，而是能夠超越網(wǎng)絡(luò)系統(tǒng)設(shè)定的權(quán)限，進(jìn)行文件傳輸。這就進(jìn)一步提高了遠(yuǎn)程管理的效率。支持多管理員并發(fā)模式對于存在多個管理員、多個控制臺的情況，支持并發(fā)模式的遠(yuǎn)程控制。即：多個管理員，在不同的管理控制臺上，同時對多臺桌面電腦進(jìn)行遠(yuǎn)程在線幫助。2.3.1.3終端安全體系與AD域的聯(lián)動AD域與安全系統(tǒng)聯(lián)動的作用：統(tǒng)一的身份識別信息和組織架構(gòu)。目的是能快速的依據(jù)職能、崗位和個人姓名來建立管理策略，特別符合快速發(fā)展的公司，因為公司快速發(fā)展期人員變動非常大，第一人員增加迅速、第二崗位屬性變化快，建立一套整體的組織架構(gòu)和統(tǒng)一身份識別系統(tǒng)，對IT策略變化可以很好的進(jìn)行支撐。圖：AD域主DC服務(wù)器和備DC服務(wù)器部署圖根據(jù)公司的需要;在AD部署面的統(tǒng)一規(guī)劃，公司的域模型如下圖：可設(shè)多名管理員，該管理員負(fù)責(zé)維護(hù)其公司用戶?？筛鶕?jù)用戶部門的劃分：按用戶所在部門填加到該部門安全組，通過對該部門安全組的指向設(shè)定，控制用戶訪問部門、公司等各種權(quán)限級別的共享資源及門戶。2.3.2IT信息網(wǎng)絡(luò)安全建設(shè)2.3.2.1高級威脅防護(hù)事實上，無論是利用漏洞，還是通過社交騙局、網(wǎng)頁仿冒或各種手段相結(jié)合，如今幾乎所有的高級持續(xù)性威脅均利用端點系統(tǒng)侵入目標(biāo)企業(yè)。目標(biāo)性攻擊一旦進(jìn)入受害者的基礎(chǔ)架構(gòu)，就利用端點系統(tǒng)穿過網(wǎng)絡(luò)，竊取憑據(jù)，并與命令與控制服務(wù)器相連，達(dá)到破壞企業(yè)最關(guān)鍵系統(tǒng)和數(shù)據(jù)的目的。解決案ATP-高級威脅防護(hù)是發(fā)現(xiàn)、劃分處理優(yōu)先級并補救所有端點中高級攻擊的一種全新解決案。只需點擊按鈕，就可立即搜索、發(fā)現(xiàn)并補救全部端點系統(tǒng)中的任攻擊產(chǎn)物。發(fā)現(xiàn)高級攻擊并劃分優(yōu)先級ATP-高級威脅防護(hù)，將來自全球最大的威脅情報網(wǎng)絡(luò)的全球遙測數(shù)據(jù)與所有端點中的本地客戶數(shù)據(jù)相結(jié)合，讓躲避檢測的攻擊無處可遁；安全分析員可以在一個位置集中查看所有端點攻擊組件信息，包括威脅侵入企業(yè)的式、存在威脅的計算機清單、威脅創(chuàng)建的新文件以及下載的文件等等；同時分析員還可以通過搜索企業(yè)中的每一個端點尋找任感染跡象；此外，ATP-高級威脅防護(hù)可利用現(xiàn)部署的SymantecEndpointprotection，因此，對于已安裝代理的無需另行安裝任端點代理；ATP-高級威脅防護(hù)可進(jìn)行優(yōu)先處理排序，幫助安全分析員集中精力應(yīng)付重要的端點事件。修復(fù)快速有力一旦攻擊組件被確定為惡意，ATP-高級威脅防護(hù)即可快速修復(fù)。用戶只需要點擊按鈕就可快速清除整個端點中的任攻擊組件，并阻止其進(jìn)一步執(zhí)行；還可以直觀顯示攻擊的相關(guān)感染跡象，包括所有感染跡象相互之間如環(huán)環(huán)相扣的完整圖形化試圖；分析員可查看具體攻擊中所使用的全部文件、下載文件的所有IP地址以及安裝注冊表項等；分析員只需單擊按鈕即可按需對所有端點中的這些攻擊組件進(jìn)行修復(fù)主要功能和優(yōu)勢將來自全球最大威脅情報網(wǎng)絡(luò)的全球遙測數(shù)據(jù)與本地客戶數(shù)據(jù)相結(jié)合，讓躲避檢測的攻擊無處可遁；只需點擊按鈕，就可立即搜索、發(fā)現(xiàn)并補救企業(yè)全部端點中的任攻擊產(chǎn)物；借助賽門鐵克服務(wù)優(yōu)化安全、最大限度降低風(fēng)險、充分提高投資回報2.3.2.2電子網(wǎng)關(guān)可采用有效而準(zhǔn)確的實時反垃圾和反惡意軟件防護(hù)、目標(biāo)性攻擊防護(hù)、高級容過濾、數(shù)據(jù)泄露防護(hù)和可選電子加密技術(shù)，確保電子和生產(chǎn)力基礎(chǔ)架構(gòu)的安全。主要優(yōu)勢阻止超過99%的垃圾，誤報率不到百萬分之一，并實時自動更新；目標(biāo)性攻擊、惡意軟件和零日威脅防護(hù)；可以根據(jù)特定環(huán)境創(chuàng)建垃圾規(guī)則集，并通過便捷的報告功能來確定自定義規(guī)則的有效性；能夠?qū)ο⒒蚋郊恼嬲緮?shù)據(jù)采集指紋并加以識別，從而保護(hù)敏感的客戶端數(shù)據(jù)和寶貴的機密信息；保護(hù)公司聲譽、并管理與數(shù)據(jù)丟失、部監(jiān)管和法規(guī)遵從相關(guān)的風(fēng)險；實時有效防御新出現(xiàn)的威脅，以防造成終端；靈活、可配置、易于使用的電子網(wǎng)關(guān)虛擬版可以運行與客戶所選硬件環(huán)境中的VMware或Microsoft管理程序上。主要功能利用高效的個性化威脅檢測，提供最全面的防護(hù)功能；利用數(shù)據(jù)泄露防護(hù)和電子加密技術(shù)提高控制能力；通過簡化管理來降低成本和復(fù)雜性靈活性與選擇統(tǒng)一管理和控制2.3.3IT信息數(shù)據(jù)建設(shè)2.3.3.1數(shù)據(jù)備份一體化管理XX現(xiàn)有一套軟件備份系統(tǒng)，軟件備份系統(tǒng)可以保障基本的數(shù)據(jù)備份和恢復(fù)，但是軟件備份系統(tǒng)存在軟硬件無法統(tǒng)一管理以及服務(wù)需要多個廠商配合，所以建議可以在現(xiàn)有備份系統(tǒng)軟硬件服務(wù)即將到期時，用一體化的備份解決案無縫的替換現(xiàn)有的備份系統(tǒng)，在保持現(xiàn)有備份系統(tǒng)所有功能的前提下，通過一體化的備份系統(tǒng)優(yōu)化所有的軟硬件資源，對業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)的保護(hù)。存儲備份一體機的主要特點就是簡單的劃分備份架構(gòu)，將備份的軟件、備份的服務(wù)器和磁盤存儲介質(zhì)整合在一套設(shè)備上，將傳統(tǒng)的3層架構(gòu)邊變?yōu)閮蓪?，讓用戶可以像操作備份軟件一樣進(jìn)行操作，例如：設(shè)置策略、修復(fù)刪除的數(shù)據(jù)等。專用的磁盤備份設(shè)備以及單獨購買的備份軟件與存儲備份一體機相比，直接使用存儲備份一體機是更加實惠經(jīng)濟(jì)的選擇，可能很大程度上減少系統(tǒng)集成的復(fù)雜性，存儲備份一體機，就相當(dāng)于為自己的數(shù)據(jù)系統(tǒng)添加了集成服務(wù)，而且不會存在多個產(chǎn)品不兼容和故障面的問題，同時也簡化了用戶后期運維的難度。對于磁盤上面的數(shù)據(jù)可以進(jìn)行保護(hù)，增強了數(shù)據(jù)文件的訪問性能，讓數(shù)據(jù)的管理能力變的更加的可靠，使用存儲備份一體機可以更好的保證業(yè)務(wù)在運行的時候不會出現(xiàn)中斷的情況，對于環(huán)境所造成的故障，該設(shè)備會及時的做出解決案。案架構(gòu)一體化備份系統(tǒng)案優(yōu)勢在備份存儲介質(zhì)上采用了重復(fù)數(shù)據(jù)刪除技術(shù)，最大限度地節(jié)省了存儲空間；即便是首次本分也能獲得相當(dāng)高的去重率；而基于源端的去重，使得網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)量得到了大幅度的下降，節(jié)省了帶寬資源。一次性投入，當(dāng)需要增加新的備份節(jié)點時無需購買新的授權(quán)，節(jié)省費用。享受一體化服務(wù)，備份系統(tǒng)的所有軟硬件都由同一廠商提供服務(wù)支持，出現(xiàn)問題時，便于問題的查找和處理，不會出現(xiàn)“踢皮球”。2.3.3.2企業(yè)知識庫管理系統(tǒng)隨著企業(yè)信息化建設(shè)的推進(jìn)，企業(yè)已經(jīng)在兩個面進(jìn)行了較多的信息化應(yīng)用，一面是具體業(yè)務(wù)的數(shù)字化，一面是以公文流轉(zhuǎn)為主的日常辦公信息化。隨著這些工作的開展，企業(yè)電子信息數(shù)據(jù)主要以結(jié)構(gòu)化的數(shù)據(jù)庫和非結(jié)構(gòu)化的文檔數(shù)據(jù)庫為主，像圖紙、檔案、資料等電子文檔則沒有進(jìn)行規(guī)管理。企業(yè)知識庫管理系統(tǒng)能實現(xiàn)統(tǒng)一的數(shù)據(jù)中心，集中進(jìn)行文檔管理。文檔可以通過設(shè)置進(jìn)行共享，加快文檔的傳遞，整理為知識庫,為未來的員工提供寶貴的知識經(jīng)驗；對于機密文件和個人私密文件，可以通過權(quán)限控制杜絕他人訪問或者允個別訪問。文檔管理系統(tǒng)為企業(yè)帶來的價值安全：保護(hù)企業(yè)的文檔財富1.謹(jǐn)?shù)臋?quán)限體系，文件只被可的用戶使用；2.全過程的保護(hù)機制，文檔只讀預(yù)覽、版本管理、刪除恢復(fù)；3.全面的日志審計，文件的任操作都可追溯。高效：提高企業(yè)的辦公效率1.極速的文件引擎，節(jié)約90%的文件傳遞和查找時間；2.強大的文檔審批工作流，實現(xiàn)文檔工作標(biāo)準(zhǔn)化，提升60%的組織績效；3.高效的文件協(xié)同，連接每一個人的智慧。傳承：積累和傳承企業(yè)的知識資產(chǎn)1.海量存儲，集中管理企業(yè)所有的知識資產(chǎn)；2.系統(tǒng)文件永不丟失，歷史文件隨時查閱使用；3.讓每一個人都能享受精彩紛呈的知識成果。編輯：隨時隨地，移動辦公1.便捷的移動端，讓工作無限續(xù)航；2.支持IOS、Android移動平臺；3.支持與微信企業(yè)號無縫對接，給您移動辦公最佳體驗。2.3.3.4軟件定義數(shù)據(jù)中心軟件定義數(shù)據(jù)中心即超融合架構(gòu)以服務(wù)器虛擬化為底層架構(gòu)，擴(kuò)展出網(wǎng)絡(luò)虛擬化和存儲虛擬化，通過所畫即所得的式能夠快速的構(gòu)建出業(yè)務(wù)邏輯，實現(xiàn)虛擬資源的動態(tài)調(diào)度和靈活擴(kuò)展，同時全網(wǎng)流量可視，配置簡易直觀，運維靈活便捷.主要價值1．使用軟件定義的網(wǎng)絡(luò)、安全、存儲獲得效率和敏捷性超融合架構(gòu)可使軟件主導(dǎo)型網(wǎng)絡(luò)和安全、存儲與緊密集成到虛擬數(shù)據(jù)中心管理中的基于策略的調(diào)配機制結(jié)合在一起。2.通過提高效率和利用率降低運營、采購成本，實現(xiàn)資源的按需供給超融合架構(gòu)無需重新配置物理網(wǎng)絡(luò)、外置存儲，即可跨集群和單元彈性分配計算資源，用戶可以在初始階段，僅投入項目所必需的最少資源，在后續(xù)的生產(chǎn)實踐中，根據(jù)實際需要，可以再追加擴(kuò)容物理服務(wù)器的計算、存儲資源，從而實現(xiàn)真正的隨需應(yīng)變與資源動態(tài)供給，并最終提高資源利用率。此外，超融合架構(gòu)提供了高度可擴(kuò)展的虛擬網(wǎng)絡(luò)，可簡化調(diào)配，降低運營成本，同時減少對專用設(shè)備的需求。3、利用虛擬工作負(fù)載的敏捷性，適應(yīng)動態(tài)業(yè)務(wù)需求可創(chuàng)建隨應(yīng)用擴(kuò)展的網(wǎng)絡(luò)并在需要的位置應(yīng)用安全服務(wù)，而無需升級硬件。超融合架構(gòu)可提高應(yīng)用可用性并增強網(wǎng)絡(luò)性能和存儲容量。無需重新配置物理網(wǎng)絡(luò)，即可部署、移動或擴(kuò)展虛擬工作負(fù)載可自動調(diào)配和橫向擴(kuò)展網(wǎng)絡(luò)連接和安全服務(wù)能夠更全面地了解虛擬通信流量線性擴(kuò)展存儲容量和性能技術(shù)優(yōu)勢1、高可用為了提升服務(wù)器虛擬化系統(tǒng)的高可用性，超融合從如下多維度提供了高可用技術(shù)，保障業(yè)務(wù)的穩(wěn)定性。故障遷移（HA）:aSV虛擬化平臺提供虛擬機熱遷移和虛擬機熱備份技術(shù)，降低宕機帶來的風(fēng)險、減少業(yè)務(wù)中斷的時間。aSV虛擬化平臺提供GuestOS故障檢測功能，當(dāng)客戶機發(fā)生重故障時（例如Windows系統(tǒng)藍(lán)屏），虛擬機管理程序會監(jiān)控到客戶機故障。虛擬機管理程序可以重啟或關(guān)閉客戶機，從而避免有故障的客戶機持續(xù)占用計算資源。熱遷移（Motion）:通過熱遷移可以實現(xiàn)虛擬機的在線動態(tài)遷移,保證業(yè)務(wù)連續(xù)性；零宕機時間:進(jìn)行計劃硬件維護(hù)和升級遷移工作負(fù)載，業(yè)務(wù)不中斷；實現(xiàn)整體數(shù)據(jù)中心業(yè)務(wù)高可用，無需使用昂貴、復(fù)雜的傳統(tǒng)集群解決案；最大限度地減少硬件、軟件故障造成的業(yè)務(wù)中斷時間；提高整個基礎(chǔ)架構(gòu)圍的保護(hù)力度?？绱鎯徇w移:通借存儲熱遷移技術(shù)，可以在不中斷服務(wù)的情況下在跨存儲實時遷移虛擬機磁盤文件。將虛擬機磁盤文件無中斷地遷移到不同種類的存儲設(shè)備，執(zhí)行存儲熱遷移不會造成停機，并可全面保證業(yè)務(wù)不中斷；可遷移在任受支持服務(wù)器硬件上運行任受支持操作系統(tǒng)的虛擬機磁盤文件；可支持任光纖通道、iSCSI、本地硬盤等存儲系統(tǒng)實時遷移的虛擬機磁盤文件。3、高效P2V遷移通過VMPConvert實現(xiàn)快速的物理機遷移虛擬機，跨平臺的虛擬機遷移虛擬機。而整個虛擬化遷移過程短時間完成，業(yè)務(wù)中斷很短時間。也可實現(xiàn)快速虛擬機平臺還原回物理機的回滾，保證業(yè)務(wù)數(shù)據(jù)不丟失。4、虛擬化運維工作更簡單免插件控制臺：免插件的控制臺訪問VM，提升用戶體驗一鍵新增虛擬機：通過簡單設(shè)置，快速創(chuàng)建虛擬機自動故障處理：系統(tǒng)故障時提出專家解決案，快速恢復(fù)系統(tǒng)及應(yīng)用批量新增虛擬機：為經(jīng)常重復(fù)的工作容提供自動化操作平臺7、高性能虛擬化平臺塊數(shù)據(jù)緩存：實現(xiàn)針對文件系統(tǒng)的塊數(shù)據(jù)緩存，通過提升大文件讀取速度，優(yōu)化用戶體驗歷史數(shù)據(jù)預(yù)?。壕珳?zhǔn)讀取虛擬機歷史塊數(shù)據(jù)，加快系統(tǒng)開機速度SCSI虛擬化硬盤加速：通過優(yōu)化SCSI磁盤驅(qū)動，整體提升磁盤I/O性能。2.3.3.4數(shù)據(jù)防泄密建立基于網(wǎng)絡(luò)、服務(wù)器、終端三個層面的數(shù)據(jù)防泄漏系統(tǒng)，針對核心業(yè)務(wù)數(shù)據(jù)進(jìn)行管理，對數(shù)據(jù)的制作、傳播和應(yīng)用環(huán)節(jié)進(jìn)行全生命期的防泄漏管理;保障關(guān)鍵業(yè)務(wù)系統(tǒng)正常運行、保護(hù)財務(wù)數(shù)據(jù)、維護(hù)系統(tǒng)安全、保護(hù)客戶數(shù)據(jù)免遭盜竊與破壞；數(shù)據(jù)保護(hù)領(lǐng)域，涉及諸多技術(shù)，其中最有代表性的主要有兩種：第一種是針對含有機密數(shù)據(jù)的電子文檔（或稱文件）加強保護(hù)，法主要是加密或者管理；第二種是針對機密數(shù)據(jù)容本身加強保護(hù)，法是對機密數(shù)據(jù)的存儲、使用和傳輸進(jìn)行監(jiān)控和管理。實現(xiàn)法技術(shù)特點優(yōu)劣傳統(tǒng)防泄密技術(shù)對外所有數(shù)據(jù)文件進(jìn)行加密，在每臺終端上部署解密客戶端，通過傳統(tǒng)的帳號密碼來控制解密。部署便，使用復(fù)雜;對IT架構(gòu)有影響，加密數(shù)據(jù)無法使用數(shù)據(jù)庫存儲，需要改造業(yè)務(wù)系統(tǒng)，例如財務(wù)軟件、ERP系統(tǒng)和OA系統(tǒng);有很高的數(shù)據(jù)損害不可修復(fù)的可能。本案采用的防泄密技術(shù)本機磁盤存儲和外設(shè)U盤加密，對使用者透明，登錄操作系統(tǒng)自動解密;自動學(xué)習(xí)網(wǎng)核心數(shù)據(jù)，自動偵測敏感數(shù)據(jù);外泄防護(hù)，對、互聯(lián)網(wǎng)數(shù)據(jù)傳輸應(yīng)用、外設(shè)u盤拷貝等外發(fā)行為進(jìn)行監(jiān)控，根據(jù)策略進(jìn)行數(shù)據(jù)傳輸控制部署復(fù)雜，使用簡便;對現(xiàn)有IT架構(gòu)沒有影響，數(shù)據(jù)在存儲、使用和傳輸環(huán)節(jié)進(jìn)行監(jiān)控，但數(shù)據(jù)本身不加密，在終端筆記本只對存儲設(shè)備加密，不影響數(shù)據(jù)安全;數(shù)據(jù)損害無法修改的幾率基本為零。在整個公司部署，以微小的性能代價，實現(xiàn)牢固的機密數(shù)據(jù)保護(hù)。為了全面保護(hù)客戶的信息，還需要全面的多層次化防護(hù)技術(shù)，特別是終端完整性管理、網(wǎng)絡(luò)準(zhǔn)入控制等的解決案配合。數(shù)據(jù)丟失防護(hù)解決案結(jié)合終端保護(hù)功能，可以為客戶提供最全面的數(shù)據(jù)保護(hù)。設(shè)計思路概述對公司而言，在面臨來自外部的病毒、木馬、網(wǎng)絡(luò)攻擊等種種網(wǎng)絡(luò)安全威脅時，來自部的數(shù)據(jù)泄露或是一個更需要重視的問題。無論公司處于種規(guī)模，都存在數(shù)據(jù)泄密的風(fēng)險，而這些風(fēng)險將會讓公司面臨安全、知識產(chǎn)權(quán)、財產(chǎn)、隱私和法規(guī)遵從面的威脅。在這些數(shù)據(jù)泄露情況中，大部分情況下都是員工在無意中泄露出去的，但還有一些則是由員工有意為之。一個使用沒有安全防護(hù)的筆記本電腦的移動辦公人員，可能有意或無意地通過無線網(wǎng)絡(luò)泄漏公司機密信息。與此同時，大量支持USB連接的設(shè)備不斷涌現(xiàn)，也使得公司的機密信息很可能便被裝進(jìn)U盤或者移動硬盤等便地帶走。當(dāng)發(fā)生數(shù)據(jù)泄密時，在安全專家忙于恢復(fù)敏感數(shù)據(jù)和修補泄密漏洞期間，公司的時間、資金和聲譽都會遭受到重的威脅。公司安全專家總處于一場沒有終點的戰(zhàn)爭中：當(dāng)原來的泄密漏洞剛剛得到控制，新的數(shù)據(jù)泄密情況卻又伴隨著其他眾多設(shè)備的使用而頻繁出現(xiàn)。公司信息化目的是為了信息和數(shù)據(jù)的共享，而數(shù)據(jù)的生命期中包括存儲（生成數(shù)據(jù)的服務(wù)器和存儲設(shè)備）、使用（數(shù)據(jù)的使用者對數(shù)據(jù)進(jìn)行操作）和傳輸（數(shù)據(jù)從一個地點傳送到到另外一個地點）三個基本的生命過程。數(shù)據(jù)防泄漏就是要保護(hù)公司的機密信息不被非法的存儲、使用和傳輸。機密信息的劃分標(biāo)準(zhǔn)顯然，如果對公司各種各樣的海量數(shù)據(jù)全部進(jìn)行同樣級別的保護(hù)，等于沒有任保護(hù)。因此數(shù)據(jù)防泄漏的一個基本點是確定信息的機密性分類。對于可以完全對外公開的數(shù)據(jù)，不需要任的信息防泄漏防護(hù)措施；對于關(guān)系到公司生存、發(fā)展、聲譽的重要數(shù)據(jù)，應(yīng)當(dāng)格控制其存儲位置，使用式和傳輸式。如對信息進(jìn)行機密性的分類呢？最根本思想的是依據(jù)信息的容來判斷其機密性級別。信息的所有者（如業(yè)務(wù)人員）可以根據(jù)個人或者公司的相關(guān)規(guī)理解自己創(chuàng)建的信息容的機密性級別。至于如操作，實現(xiàn)式包括以下兩種：基于權(quán)限信息所有者對信息載體（數(shù)據(jù)庫或者文件）進(jìn)行權(quán)限設(shè)定，即什么樣的人可以訪問什么樣的信息。這是一種最直觀的信息保護(hù)模型，但是其實踐和操作具有很大的局限性。首先，被保護(hù)的對象不是數(shù)據(jù)的容，而是數(shù)據(jù)的載體，因此一旦載體發(fā)生變化，原有的權(quán)限設(shè)定和控制就失去效力。比如，從數(shù)據(jù)庫查詢到信息存成文件格式，則對數(shù)據(jù)庫表的權(quán)限設(shè)置即失去意義。另外，當(dāng)把文件中的某些關(guān)鍵信息拷貝粘貼到其他文檔，或者轉(zhuǎn)換成其他格式，對于原有文件的權(quán)限設(shè)定也同樣失去防護(hù)意義。其次，權(quán)限設(shè)定在操作中將極大地影響現(xiàn)有的工作流程管理和用戶使用習(xí)慣。顯然，越大型的網(wǎng)絡(luò)環(huán)境復(fù)雜度將呈現(xiàn)指數(shù)型上升，這也是基于數(shù)字權(quán)限的防護(hù)技術(shù)一直不能在市場上大規(guī)模應(yīng)用的主要原因。特別是對于非結(jié)構(gòu)數(shù)據(jù)，如文件，設(shè)想一下，對不計其數(shù)的文件進(jìn)行權(quán)限的管理，為每個文件設(shè)定可以訪問、閱讀、修改等權(quán)限，最終用戶和管理員將不堪負(fù)重。最后，并不是所有的文件類型都可以象pdf文檔一樣進(jìn)行權(quán)限設(shè)定，因此為了保證有效性經(jīng)常需要進(jìn)行格式轉(zhuǎn)換，這又帶來了轉(zhuǎn)化后數(shù)據(jù)無法逆轉(zhuǎn)問題，格式失真，用戶使用習(xí)慣更改等更多問題?；谌蒿@然，信息防泄漏關(guān)注的根本在于信息的容?；谌莸臋C密信息分級將大大地減少管理實施難度，確保防護(hù)的有效性。管理員只需要知道我們的機密信息應(yīng)當(dāng)存儲在數(shù)據(jù)庫的那個表中，或者服務(wù)器上的哪個目錄下，就可以完成對信息機密性級別的定義。顯然，信息的所有者很容易提供以上信息，并且無需費神去設(shè)定權(quán)限。一旦確定了機密信息的存儲位置，則可以自動地建立機密信息樣本數(shù)據(jù)庫，進(jìn)而在存儲、網(wǎng)絡(luò)、終端各個層面發(fā)現(xiàn)機密信息泄漏事件。單獨選擇基于權(quán)限或基于容管理的防泄密系統(tǒng)都會存在結(jié)構(gòu)化問題，存在漏洞。全面的多層次防護(hù)信息防泄漏不是單獨地依靠一種產(chǎn)品或者一種技術(shù)就可以完善解決的任務(wù)，必須建立全面的多層次防護(hù)體系，并輔以適當(dāng)?shù)墓芾?、流程和培?xùn)，才能確保我們實現(xiàn)數(shù)據(jù)防護(hù)的目標(biāo)。從防護(hù)層次上包括IT基礎(chǔ)架構(gòu)安全、數(shù)據(jù)安全、安全管理三個面?；A(chǔ)架構(gòu)安全防護(hù)IT基礎(chǔ)架構(gòu)安全包括網(wǎng)絡(luò)、服務(wù)器和終端的安全。對于大型網(wǎng)絡(luò)首先要劃分安全域，在安全域之間的邊界實施監(jiān)視和訪問控制，做到看得見、管得著。細(xì)粒度的網(wǎng)絡(luò)訪問權(quán)限控制是信息防泄密的基礎(chǔ)。服務(wù)器往往是存儲機密信息的基礎(chǔ)平臺。因此我們需要在信息泄露事件發(fā)生之前能夠預(yù)警、提前防；在信息泄露事件發(fā)生時能夠主動實時地防護(hù)；在信息泄露事件發(fā)生之后做到及時告警、快速響應(yīng)和恢復(fù)。即在預(yù)警、防護(hù)和響應(yīng)三個層次上進(jìn)行主動防護(hù)。以響應(yīng)為例，用戶、管理員、集成商人員等對于服務(wù)器的訪問和操作應(yīng)當(dāng)建立完備的審計機制，無論是通過網(wǎng)絡(luò)登陸還是本機操作，都可以查詢管理人員操作的歷史記錄。通過詳細(xì)記錄用戶行為，約束使用者對服務(wù)器上信息的操作，避免越權(quán)操作，并且可以確保安全事件發(fā)生時可以快速響應(yīng)。對于終端，格地管理和約束終端行為，落實確保合法用戶和合歸操作。通過采用準(zhǔn)入控制技術(shù)，使用技術(shù)手段進(jìn)行控制，對于違反公司安全策略的終端限制其訪問網(wǎng)絡(luò)資源，從而保證所有接入網(wǎng)絡(luò)部的終端符合公司安全策略要求，特別信息防泄密的要求。數(shù)據(jù)防泄密公司需要重點保護(hù)客戶數(shù)據(jù)、公司信息、知識產(chǎn)權(quán)及敏感或機密信息的安全，無論它們是通過電子、web或其它因特網(wǎng)協(xié)議傳出網(wǎng)絡(luò)，還是通過USB/CD/DVD傳出端點或保存在端點上，或者是保存在共享服務(wù)器和數(shù)據(jù)存儲庫中。企業(yè)