公司信息安全規(guī)劃方案

1、XX公司安全規(guī)劃方案2016年3月目錄第一章需求分析31.1前言31.2現(xiàn)狀分析3第二章信息安全建設(shè)規(guī)劃42.1設(shè)計思路42.2建設(shè)目標42.3信息安全建設(shè)方案52.3.1 終端整體安全規(guī)劃 52.3.2 IT 信息網(wǎng)絡(luò)安全建設(shè) 112.3.3 IT 信息數(shù)據(jù)建設(shè) 13第三章安全服務(wù)體系 錯誤！未定義書簽。工程師的工作流程錯誤！未定義書簽。第一章需求分析1.1前言隨著互聯(lián)網(wǎng)和信息系統(tǒng)的飛速發(fā)展，具有黑客攻擊特征的新類型病毒的大量出現(xiàn)，特別 是近幾年威脅攻擊更傾向于竊取核心資料或是從事系統(tǒng)破壞為目的，攻擊手法通常采取“低而緩”的方式，攻擊行為往往在較長的時間內(nèi)不會被注意到，惡意軟件呈現(xiàn)出了定向化

2、、多樣化、動態(tài)化的特點。用戶如果僅依靠單一的技術(shù)手段并無法有效全面控制安全風險。同時IT環(huán)境變的越來越復(fù)雜，在日常維護工作中如何對多樣化的終端，移動設(shè)備，應(yīng)用軟件以及 多樣的系統(tǒng)進行有效的管理，形成統(tǒng)一有效的管理網(wǎng)絡(luò)，提升管理效率，一個混亂無序的IT 環(huán)境對于企業(yè)的信息安全也是存在巨大的安全漏洞，對于攻擊者來說可以利用的攻擊途徑相比一個統(tǒng)一的有效的IT架構(gòu)能更加輕松的攻破。2015我們身邊的安全事件：? Charlie Miller和Chris Valasek歷時一年，研發(fā)出了一套可以攻破切諾基2014款吉普的工具，而且可以通過無線網(wǎng)絡(luò)進行攻破。?汽車入侵又出奇招：奧迪TT被攻破?道瓊斯公司(

3、Dow Jones)CEO承認了公司數(shù)據(jù)泄露事件，有3500位用戶的數(shù)據(jù)(支付卡信息、通訊信息等)被黑客未授權(quán)訪問，并已向受影響的用戶發(fā)去了通 知郵件。?喜達屋集團表示，目前位于北美地區(qū)的54個酒店均發(fā)現(xiàn)了惡意軟件，該惡意軟件的目的是從支付終端和收銀機上竊取酒店用戶的銀行卡信息。?機鋒論壇2300萬用戶信息泄露??？低暡糠衷O(shè)備被境外IP控制，存嚴重安全隱患?大麥網(wǎng)600多萬用戶賬號密碼泄露，數(shù)據(jù)已被售賣?過億郵箱用戶數(shù)據(jù)泄露，網(wǎng)易稱遭黑客“撞庫 ”1.2現(xiàn)狀分析目前XX沒有統(tǒng)一的終端防護軟件， 無法集中管理終端防護工作； 在網(wǎng)絡(luò)層面架設(shè)有傳統(tǒng) 防火墻和行為管理設(shè)備；所有的服務(wù)器都可以連接外網(wǎng)

4、；搭建了AD域控，但客戶端沒有加入域；對出差人員和外來訪客訪問內(nèi)網(wǎng)無有效的安全管理手段。綜上所述的現(xiàn)狀分析來看，XX的信息系統(tǒng)還沒有形成一套完整有效的安全防御體系，使公司更容易成為數(shù)據(jù)竊取和操控的受害者、造成關(guān)鍵業(yè)務(wù)中斷并導致公司損失。第二章信息安全建設(shè)規(guī)劃2.1設(shè)計思路針對現(xiàn)今各企業(yè)所面臨全新的安全威脅和挑戰(zhàn)，結(jié)合 XX現(xiàn)有的信息安全體系，我公司 通過從終端到網(wǎng)絡(luò)以及數(shù)據(jù)等多個方面建立一整套安全防御體系， 全面評估攻擊對企業(yè)內(nèi)部 網(wǎng)絡(luò)的滲透范圍和造成損失，準確消除攻擊給企業(yè)造成的破壞， 同時也可以提高企業(yè)信息安 全的管理效率以及保障數(shù)據(jù)在企業(yè)內(nèi)部和外部流轉(zhuǎn)的安全性。下_代防火埴絡(luò)安全ATP-

5、級威脅防護:電子珈件網(wǎng)關(guān)防病毒桌套終端管理終端安全數(shù)據(jù)安全超融合桌直虛擬化數(shù)據(jù)備份防泄密系統(tǒng)2.2建設(shè)目標部署終端防病毒軟件，并進行網(wǎng)絡(luò)接入合規(guī)性檢查，保證IT系統(tǒng)免于受到攻擊；建立在網(wǎng)絡(luò)邊界位置履行對人員和設(shè)備進行準入控制，將端點修復(fù)到可信狀態(tài)，確保接入內(nèi)網(wǎng)訪問公司資源的終端符合IT管理策略；建立形成統(tǒng)一的終端運維管理平臺，提升IT管理的效率；建立一種全新的，發(fā)現(xiàn)、劃分處理優(yōu)先級并補救所有端點中高級攻擊的高級威脅防護；應(yīng)用業(yè)務(wù)數(shù)據(jù)集中存儲、 集中備份，使用專業(yè)的數(shù)據(jù)備份恢復(fù)技術(shù)，提供更安全的數(shù)據(jù)保護；建立完善的安全防護及管理體系，應(yīng)對外部威脅和內(nèi)部威脅，形成業(yè)務(wù)系統(tǒng)的快速恢復(fù)機制，減少因IT

6、系統(tǒng)停頓對公司主營業(yè)務(wù)的影響和損失；建立核心數(shù)據(jù)管理統(tǒng)一防泄密平臺，監(jiān)控核心業(yè)務(wù)數(shù)據(jù)的生產(chǎn)、傳播和使用環(huán)節(jié);2.3信息安全建設(shè)方案2.3.1終端整體安全規(guī)劃2.3.1.1終端安全防護系統(tǒng)實踐證明，完整有效的終端安全解決方案包括技術(shù)、管理和服務(wù)三個方面內(nèi)容。防病毒技術(shù)的部署和實施是“實現(xiàn)用戶個人的廣義病毒和攻擊的防護”的主要力量。傳統(tǒng)的病毒防護方案往往以技術(shù)為主，但是僅僅依靠技術(shù)是有其局限性，因此指望一套防病毒軟件解決所有的病毒問題是不現(xiàn)實的；同時，對于XX這樣的大型企業(yè)，防病毒的管理性要求甚至比查殺病毒的能力顯得更為重要，如果不能做到全網(wǎng)防病毒的統(tǒng)一管理，再強的防病毒軟件也不能發(fā)揮應(yīng)有作用。此

7、外，我們重點提出“服務(wù)”的根本原因是基于一個判斷：即沒有任何防病毒廠家能夠 做到對所有已知病毒和未知病毒的快速準確查殺。服務(wù)是產(chǎn)品的一種補充。因此，產(chǎn)品+管理+服務(wù)的組合才能在根本上保證病毒防護的可靠性。技術(shù)層面因此，必須從“主動防御”這一觀點出發(fā)，建立一個覆蓋全網(wǎng)的、可伸縮、抗打擊的終 端防護體系。相對于被動式病毒響應(yīng)技術(shù)而言，主動式反應(yīng)技術(shù)可在最新的惡意軟件沒有出現(xiàn)之前就形成防御墻，靜侯威脅的到來而能避免威脅帶來的損失?！爸鲃臃烙敝饕w現(xiàn)在以下幾個方面：入護 ： 基于漏洞的入斷?阻斷RRPC緩沖區(qū)溢出漏洞?阻斷利用 Webb瀏覽器漏洞的攻擊（間防火墻?阻斷進入的對開放端口 的攻擊?阻斷病

8、毒向外擴散的途徑?阻斷非法的對外通信-間諜軟件數(shù)據(jù)泄漏和連接控制站點的企圖抑制未知的惡意i軟件6I15ui.ri*?根據(jù)惡惡意軟件的T行為為特征征發(fā)現(xiàn)和抑制其其操作 ?郵件蟲?間諜軟件鍵盤記錄、屏幕攔軌數(shù)據(jù)泄漏行為打分使用以應(yīng)用程序為中心的防火墻來阻止蠕蟲，木馬和黑客，防止其利用漏洞，非法攻擊終端；網(wǎng)絡(luò)威脅防護可分析傳入數(shù)據(jù)流，及時阻止威脅通過網(wǎng)絡(luò)攻擊終端；主動檢測威脅技術(shù)將存在風險的文件與安全的文件區(qū)分開來，可提高惡意軟件的檢測速度和準確性，掃描偷渡式下載和以瀏覽器漏洞為目標的攻擊，能實時監(jiān)控應(yīng)用程序行為并阻止目標性攻擊和零日威脅；智能的應(yīng)用程序控制，控制文件和注冊表訪問權(quán)限，以及設(shè)置允許進

9、程如何運行;可用于限制對選定硬件的訪問， 并控制哪些類型的設(shè)備可以上傳或下載信息的外設(shè) 控制。外設(shè)控制可以結(jié)合應(yīng)用程序控制，提供更靈活的控制策略。管理層面一入網(wǎng)準入控制在管理層面上需要實現(xiàn)兩個目標：“技術(shù)管理化”與“管理技術(shù)化”。技術(shù)管理化要求對以上這些安全技術(shù)進行有效的管理，使其真正發(fā)揮作用。通過統(tǒng)一、集中、實時地集中管理，構(gòu)建堅固的技術(shù)保障體系。管理技術(shù)化體現(xiàn)在終端的策略和行為約束，把停留在口號階段的“三分技術(shù)、七分管理” 變成可操作控制程序，這就需要輔以技術(shù)手段，通過準入控制等技 術(shù)把對最終用戶的管理要求真正落實下去。根據(jù)XX現(xiàn)狀，在企業(yè)辦公網(wǎng)中無法確定現(xiàn)在網(wǎng)絡(luò)中有多少各種設(shè)備、終端，是

10、什么種 類；無法確定入網(wǎng)終端的安全狀況、合法性；無法確定此時有哪些人員入網(wǎng)訪問，訪問了何種資源；機構(gòu)的安全規(guī)范無法得到有效遵從；私接hub及無線路由器無法進行有效的管理；無法迅速安全定位到終端設(shè)備和使用者。此方案將從以下幾個方面解決上述問題。邊界控制管理在當今的計算環(huán)境中，公司和網(wǎng)絡(luò)管理員面臨著嚴峻的挑戰(zhàn)，即為不斷擴大的用戶群提供訪問公司資源的權(quán)限?，F(xiàn)在，維護網(wǎng)絡(luò)環(huán)境完整性的任務(wù)面臨著前所未有的挑戰(zhàn)。準入技術(shù)可以與AD域系統(tǒng)聯(lián)動，在連接到資源以前驗證端點的健康狀況，而且在端點連接到資源 之后，要對端點進行持續(xù)驗證。 可以確保在允許端點連接到公司LAN、WAN、WLAN或VPN之前遵從IT策略。

11、利用各種網(wǎng)絡(luò)控制技術(shù)， 實現(xiàn)在各種網(wǎng)絡(luò)環(huán)境下適應(yīng)性，準入系統(tǒng)能夠幫助用戶快速實現(xiàn)，對于內(nèi)網(wǎng)邊界的規(guī)劃?？梢詫崿F(xiàn)基于接入層邊界的控制和基于重要資源邊界的控制。人員認證管理入網(wǎng)流程管理系統(tǒng)能夠提供廣泛的身份認證功能，以及基于人員角色的權(quán)限控制功能, 從而在識別、授權(quán)、審計等多個角度對內(nèi)網(wǎng)邊界設(shè)立好人員管理的第一道防線。設(shè)備規(guī)范管理準入系統(tǒng)通過設(shè)備識別、用戶認證、防病毒軟件健康保障、系統(tǒng)補丁健康保障來規(guī)范入網(wǎng)終端的合規(guī)性，同時可以進行持續(xù)的監(jiān)控，一旦發(fā)現(xiàn)問題，可以精確定位。生花：諄17口 SDD3M0F 髦 I CX3CD-JSE0Hi在血且=拽碟那 轟后再時審冃：2032-L1-A6暫?和勺交特妝

12、董換示気圍E黑祁:CI丈口罵図:?: L3Z 14B. 4EL 3 3 竊耀肛義|*機肯專CISCO3550已請時口侈眥肖艷店口Truil 口LEIF.】品上丄垃?B5TETheiO.JJ. LES. 4J.切F-uEiienierO 9L.朗.U I関fasTEEherrieiO.SFuiEiXe一謨拿匸 Lft2. L6& 44.13D出!7覽址曲:理:蓋:的氐諾 ml#HL Far華闕區(qū)札 曼訶時同;：5SLZ-LXK 13:!：.24f LP：-11W FastEthtimiAlLjljlK- L斡抵 M F-uEikernttO/LlW. ISMbiWFHstEthfTMiC.sIK

13、E M.IBfFaiiEternetO 呂操作行為管理準入系統(tǒng)可以針對人員和設(shè)備入網(wǎng)后的行為、 狀態(tài)變更、維護等綜合管理。能夠在用戶 及設(shè)備入網(wǎng)后，提供機構(gòu)管理策略的延展性，可配置的策略能夠搭建用戶/設(shè)備入網(wǎng)后的全面管理規(guī)范視角報表管理準入系統(tǒng)提供多種查看安全威脅點的方法和方式。系統(tǒng)使用人員可以從自己關(guān)注的起始點出發(fā)逐級進行查看。所有安全狀態(tài)均提供了豐富的報表輸出。部署方式入網(wǎng)規(guī)范管理系統(tǒng)設(shè)備采用旁路模式部署在匯聚層交換機或者核心路由交換器旁，采用策略路由技術(shù)與核心交換機進行聯(lián)動管理，實現(xiàn)對網(wǎng)內(nèi)終端的準入控制。若丑煙在話垓上t上配issiafi腎由.jjasm E1H口的H尸霍L認.進方式1這

14、柢梓而 干駅1迂呂吝由協(xié)逸辛I茹J謚棧心-ASM ETM2O的I尸連棲全陽陌剛技入EiTncn技術(shù)特點每當用戶連接網(wǎng)絡(luò)時，確認公司管理終端是否符合公司策略，根據(jù)檢查結(jié)果授予或 者拒絕其接入權(quán)限。網(wǎng)絡(luò)準入系統(tǒng)可以與防病毒系統(tǒng)聯(lián)動，自動下載和安裝任何缺失的病毒特征庫，防 火墻策略，入侵檢測特征庫，軟件補丁和安全工具，將公司端點修復(fù)到可信狀態(tài)。支持多樣化的身份認證方式， 既提供用戶名、密碼身份認證也支持與 LDAP、USB-KEY 手機短信、EMAIL、AD域等第三方身份認證系統(tǒng)聯(lián)動。入網(wǎng)規(guī)范管理系統(tǒng)除了在邊界位置履行對人員和設(shè)備進行準入控制，還提供對人員和設(shè)備入網(wǎng)后的行為、狀態(tài)變更、維護等綜合管理

15、，如違規(guī)外聯(lián)管控、對用戶各種 操作的監(jiān)控和響應(yīng)。入網(wǎng)規(guī)范管理系統(tǒng)擁有豐富的安全檢查規(guī)范，不僅包含殺毒軟件檢查、補丁檢查、 IP/MAC綁定等規(guī)范檢查，也包含桌面客戶端運行狀態(tài)檢查、域用戶檢查、必須 止安裝軟件檢查等個性化安全檢查項，通過對終端進行安全檢查，并提供一鍵式智 能修復(fù)，在加固終端安全防護能力的同時，節(jié)約了運維成本，提高了工作效率。管理員可以事先配置來賓可以訪問的資源，比如只能上互聯(lián)網(wǎng)、收發(fā)郵件等。這樣 基于應(yīng)用控制來賓訪問權(quán)限，可以很好地解決既滿足業(yè)務(wù)需要，又很好地保護好用 戶內(nèi)網(wǎng)資源。在現(xiàn)有的網(wǎng)絡(luò)環(huán)境中已在思科防火墻建立了VPN,使用SSL協(xié)議完成用戶的遠程接入，使出差或者第三方人

16、員等這樣的移動辦公人員可以安全、方便、快捷的登錄內(nèi) 網(wǎng)工作，同時網(wǎng)絡(luò)準入系統(tǒng)可以對VPN接入用戶進行身份認證、終端合規(guī)性檢查，確保符合IT策略的終端接入網(wǎng)絡(luò)，訪問資源。2.3.1.2 統(tǒng)一的終端運維管理平臺隨著計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷深入，對于網(wǎng)絡(luò)的安全性、 可靠性的要求也越來越高，計算機網(wǎng)絡(luò)的管理、 維護和運行變得越來越復(fù)雜。這就迫切需要有先進的網(wǎng)絡(luò)管理平臺予以支撐。終端運維管理系統(tǒng)在安全性上也提供了完整的解決方案。其基于證書授權(quán)的安全管理策略，形成了內(nèi)部網(wǎng)絡(luò)的一個強大的安全屏障，可以抵御各種形式的非法入侵。主要功能資產(chǎn)信息管理（軟件、硬件信息，及用戶定制信息等）漏洞管理（統(tǒng)

17、一的補丁下載、修復(fù)與殺毒軟件病毒定義更新等）軟件分發(fā)（統(tǒng)一的軟件分發(fā)等）遠程協(xié)助（遠程的控制、文件傳輸?shù)龋┵Y產(chǎn)管理硬件資產(chǎn)桌面管理系統(tǒng)可以將客戶端的所有的硬件信息自動收集到服務(wù)器的管理數(shù)據(jù)庫中。如 BIOS、主板、CPU內(nèi)存、硬盤、網(wǎng)絡(luò)配置、操作系統(tǒng)版本等等。這使得系統(tǒng)管理員隨時可 以對所管理的客戶端的硬件情況了如指掌。軟件資產(chǎn)軟件同樣是資產(chǎn)信息的重要部分。軟件的變化對于系統(tǒng)管理員來說更是無法管理。而通過軟件信息的自動收集， 不僅能夠及時掌握每臺客戶機的系統(tǒng)軟件信息，而且可以自動獲得應(yīng)用軟件信息，滿足軟件正版化需求。漏洞管理自動下載漏洞特征及補丁程序?qū)β┒刺卣骷把a丁程序的自動下載。只要根據(jù)需要

18、，制定好自動下載的計劃 （如：每天、每周、每月），系統(tǒng)便會自動的從服務(wù)器群上下載最新的漏洞特征及補丁程序。自動分發(fā)安裝系統(tǒng)安全補丁對于檢測到的系統(tǒng)安全漏洞可以實現(xiàn)自動分發(fā)安裝，通過計劃任務(wù)對客戶端PC進行推送或者修復(fù)安裝，減輕 In ternet接入的網(wǎng)絡(luò)負擔、提高了效率，且性能穩(wěn)定。補丁安裝考 慮盡量減少對用戶的影響，在進行自動分發(fā)的同時，可以支持靜默方式安裝。 可以在用戶沒有任何感覺的情況下，為其安裝上所有的操作系統(tǒng)補丁。軟件分發(fā)管理策略可以根據(jù)管理的需要，基于不同的協(xié)議進行軟件分發(fā)；支持斷點續(xù)傳功能，對于分發(fā)一些大型的應(yīng)用軟件，例如：Ofice、ERP客戶端軟件等，這一特點十分重要；支持

19、推（push）和拉（pull ）兩種軟件分發(fā)的方式?？梢詾榭蛻舳伺渲萌蝿?wù)完成功 能。在分發(fā)過程中，支持多種網(wǎng)絡(luò)帶寬優(yōu)化及控制技術(shù)。通過這樣的管理策略，則可以使得對桌面系統(tǒng)的管理更加規(guī)范、高效、可靠。通過計劃任務(wù)和策略實現(xiàn)軟件分發(fā)安裝軟件分發(fā)作為計劃任務(wù)來處理，既可以立即執(zhí)行，也可以根據(jù)需要，安排在某一特定時間執(zhí)行。遠程協(xié)助遠程控制通過遠程控制功能，系統(tǒng)管理員可以在信息中心直接獲取客戶端的顯示數(shù)據(jù)，并在控制臺上顯示出來。這就將客戶端的PC虛擬到信息中心。系統(tǒng)管理員可以對客戶端進行完全的操作，與現(xiàn)場進行操作效果相當。遠程控制功能可以在不登錄網(wǎng)絡(luò)的情況下，先于操作系統(tǒng)啟動。支持同時對多個客戶端進行遠

20、程控制。遠程控制還可以設(shè)置為需要客戶端授權(quán)的方式。通過遠程控制，大大提高了工作效率。文件傳輸與快捷方式進行遠程管理時，文件傳輸是必不可少的。這里的文件傳輸，并非通過共享的方式，而是能夠超越網(wǎng)絡(luò)系統(tǒng)設(shè)定的權(quán)限，進行文件傳輸。這就進一步提高了遠程管理的效率。支持多管理員并發(fā)模式對于存在多個管理員、 多個控制臺的情況，支持并發(fā)模式的遠程控制。即：多個管理員,在不同的管理控制臺上，同時對多臺桌面電腦進行遠程在線幫助。2.3.1.3 終端安全體系與 AD域的聯(lián)動AD域與安全系統(tǒng)聯(lián)動的作用：統(tǒng)一的身份識別信息和組織架構(gòu)。目的是能快速的依據(jù) 職能、崗位和個人姓名來建立管理策略，特別符合快速發(fā)展的公司，因為公

21、司快速發(fā)展期人員變動非常大，第一人員增加迅速、第二崗位屬性變化快，建立一套整體的組織架構(gòu)和統(tǒng)一 身份識別系統(tǒng)，對IT策略變化可以很好的進行支撐。網(wǎng)培安譏班齊盎圖：AD域主DC服務(wù)器和備DC服務(wù)器部署圖根據(jù)公司的需要；在AD部署方面的統(tǒng)一規(guī)劃，公司的域模型如下圖:計算機域備份城揑釗器杼政邯市場部丸力資謁郵可設(shè)多名管理員，該管理員負責維護其公司用戶。可根據(jù)用戶部門的劃分： 按用戶所在部門填加到該部門安全組內(nèi)， 通過對該部門安全組的指向設(shè)定， 控制用戶訪問部門、 公司等各種權(quán)限級別的共享資源及門戶網(wǎng)站。232 IT信息網(wǎng)絡(luò)安全建設(shè)2.321 高級威脅防護事實上，無論是利用漏洞，還是通過社交騙局、網(wǎng)頁

22、仿冒網(wǎng)站或各種手段相結(jié)合，如今幾乎所有的高級持續(xù)性威脅均利用端點系統(tǒng)侵入目標企業(yè)。目標性攻擊一旦進入受害者的基礎(chǔ)架構(gòu)內(nèi)，就利用端點系統(tǒng)穿過網(wǎng)絡(luò)，竊取憑據(jù)，并與命令與控制服務(wù)器相連，達到破壞企業(yè)最關(guān)鍵系統(tǒng)和數(shù)據(jù)的目的。解決方案ATP-高級威脅防護是發(fā)現(xiàn)、劃分處理優(yōu)先級并補救所有端點中高級攻擊的一種全新解決 方案。只需點擊按鈕，就可立即搜索、發(fā)現(xiàn)并補救全部端點系統(tǒng)中的任何攻擊產(chǎn)物。發(fā)現(xiàn)高級攻擊并劃分優(yōu)先級ATP-高級威脅防護，將來自全球最大的威脅情報網(wǎng)絡(luò)的全球遙測數(shù)據(jù)與所有端 點中的本地客戶數(shù)據(jù)相結(jié)合，讓躲避檢測的攻擊無處可遁；安全分析員可以在一個位置集中查看所有端點攻擊組件信息，包括威脅侵入企業(yè)

23、的方式、存在威脅的計算機清單、威脅創(chuàng)建的新文件以及下載的文件等等； 同時分析員還可以通過搜索企業(yè)中的每一個端點尋找任何感染跡象；此外，ATP-高級威脅防護可利用現(xiàn)部署的Syma ntec En dpoi nt protection因此，對于已安裝代理的無需另行安裝任何端點代理；ATP-高級威脅防護可進行優(yōu)先處理排序，幫助安全分析員集中精力應(yīng)付重要的 端點事件。修復(fù)快速有力一旦攻擊組件被確定為惡意，ATP-高級威脅防護即可快速修復(fù)。用戶只需要點 擊按鈕就可快速清除整個端點中的任何攻擊組件，并阻止其進一步執(zhí)行；還可以直觀顯示攻擊的相關(guān)感染跡象，包括所有感染跡象相互之間如何環(huán)環(huán)相扣的完整圖形化試圖；

24、分析員可查看具體攻擊中所使用的全部文件、下載文件的所有IP地址以及安裝注冊表項等；分析員只需單擊按鈕即可按需對所有端點中的這些攻擊組件進行修復(fù)主要功能和優(yōu)勢將來自全球最大威脅情報網(wǎng)絡(luò)的全球遙測數(shù)據(jù)與本地客戶數(shù)據(jù)相結(jié)合，讓躲避檢測的攻擊無處可遁；只需點擊按鈕，就可立即搜索、發(fā)現(xiàn)并補救企業(yè)全部端點中的任何攻擊產(chǎn)物；借助賽門鐵克服務(wù)優(yōu)化安全、最大限度降低風險、充分提高投資回報2.322 電子郵件網(wǎng)關(guān)可采用有效而準確的實時反垃圾郵件和反惡意軟件防護、目標性攻擊防護、高級內(nèi)容過濾、數(shù)據(jù)泄露防護和可選電子郵件加密技術(shù)，確保電子郵件和生產(chǎn)力基礎(chǔ)架構(gòu)的安全。主要優(yōu)勢阻止超過99%勺垃圾郵件，誤報率不到百萬分之

25、一，并實時自動更新；目標性攻擊、惡意軟件和零日威脅防護；可以根據(jù)特定環(huán)境創(chuàng)建垃圾郵件規(guī)則集，并通過便捷的報告功能來確定自定義規(guī)則的有效性；能夠?qū)ο⒒蚋郊?nèi)的真正公司數(shù)據(jù)采集指紋并加以識別，從而保護敏感的客戶端數(shù)據(jù)和寶貴的機密信息；保護公司聲譽、并管理與數(shù)據(jù)丟失、內(nèi)部監(jiān)管和法規(guī)遵從相關(guān)的風險；實時有效防御新出現(xiàn)的威脅，以防造成終端； 靈活、可配置、易于使用的電子郵件網(wǎng)關(guān)虛擬版可以運行與客戶所選硬件環(huán)境中的VMware或Microsoft 管理程序上。主要功能利用高效的個性化威脅檢測，提供最全面的防護功能;利用數(shù)據(jù)泄露防護和電子郵件加密技術(shù)提高控制能力;通過簡化管理來降低成本和復(fù)雜性 靈活性與選

26、擇 統(tǒng)一管理和控制233 IT 信息數(shù)據(jù)建設(shè)2.3.3.1數(shù)據(jù)備份一體化管理XX現(xiàn)有一套軟件備份系統(tǒng)，軟件備份系統(tǒng)可以保障基本的數(shù)據(jù)備份和恢復(fù)，但是軟件 備份系統(tǒng)存在軟硬件無法統(tǒng)一管理以及服務(wù)需要多個廠商配合，所以建議可以在現(xiàn)有備份系統(tǒng)軟硬件服務(wù)即將到期時，用一體化的備份解決方案無縫的替換現(xiàn)有的備份系統(tǒng)，在保持現(xiàn)有備份系統(tǒng)所有功能的前提下，通過一體化的備份系統(tǒng)優(yōu)化所有的軟硬件資源，對業(yè)務(wù)系統(tǒng)進行數(shù)據(jù)的保護。存儲備份一體機的主要特點就是簡單的劃分備份架構(gòu)，將備份的軟件、備份的服務(wù)器和磁盤存儲介質(zhì)整合在一套設(shè)備上， 將傳統(tǒng)的3層架構(gòu)邊變?yōu)閮蓪?，讓用戶可以像操作備份?件一樣進行操作，例如：設(shè)置策略

27、、修復(fù)刪除的數(shù)據(jù)等。專用的磁盤備份設(shè)備以及單獨購買的備份軟件與存儲備份一體機相比，直接使用存儲備份一體機是更加實惠經(jīng)濟的選擇，可能很大程度上減少系統(tǒng)集成的復(fù)雜性，存儲備份一體機，就相當于為自己的數(shù)據(jù)系統(tǒng)添加了集成服務(wù)，而且不會存在多個產(chǎn)品不兼容和故障方面的問題，同時也簡化了用戶后期運維的難度。對于磁盤上面的數(shù)據(jù)可以進行保護，增強了數(shù)據(jù)文件的訪問性能，讓數(shù)據(jù)的管理能力變的更加的可靠，使用存儲備份一體機可以更好的保證業(yè)務(wù)在運行的時候不會出現(xiàn)中斷的情 況，對于環(huán)境所造成的故障，該設(shè)備會及時的做出解決方案。方案架構(gòu)兇Him撇&脾眼itat聊 Z-駅,仙一體化備份系統(tǒng)方案優(yōu)勢在備份存儲介質(zhì)上采用了重復(fù)數(shù)

28、據(jù)刪除技術(shù)，最大限度地節(jié)省了存儲空間；即便是首次本分也能獲得相當高的去重率；而基于源端的去重，使得網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)量得到了大幅度的下降，節(jié)省了帶寬資源。一次性投入，當需要增加新的備份節(jié)點時無需購買新的授權(quán)，節(jié)省費用。享受一體化服務(wù)，備份系統(tǒng)的所有軟硬件都由同一廠商提供服務(wù)支持，出現(xiàn)問題時，便于問題的查找和處理，不會出現(xiàn)“踢皮球”。2.3.3.2 企業(yè)知識庫管理系統(tǒng)隨著企業(yè)信息化建設(shè)的推進，企業(yè)已經(jīng)在兩個方面進行了較多的信息化應(yīng)用，一方面是具體業(yè)務(wù)的數(shù)字化，一方面是以公文流轉(zhuǎn)為主的日常辦公信息化。隨著這些工作的開展， 企業(yè)電子信息數(shù)據(jù)主要以結(jié)構(gòu)化的數(shù)據(jù)庫和非結(jié)構(gòu)化的文檔數(shù)據(jù)庫為主，像圖紙、檔案、資

29、料等電子文檔則沒有進行規(guī)范管理。企業(yè)知識庫管理系統(tǒng)能實現(xiàn)統(tǒng)一的數(shù)據(jù)中心，集中進行文檔管理。文檔可以通過設(shè)置進行共享，加快文檔的傳遞，整理為知識庫，為未來的員工提供寶貴的知識經(jīng)驗；對于機密文件和個人私密文件，可以通過權(quán)限控制杜絕他人訪問或者允許個別訪問。文檔管理系統(tǒng)為企業(yè)帶來的價值安全：保護企業(yè)的文檔財富1. 嚴謹?shù)臋?quán)限體系，文件只被許可的用戶使用；2. 全過程的保護機制，文檔只讀預(yù)覽、版本管理、刪除恢復(fù)；3. 全面的日志審計，文件的任何操作都可追溯。高效：提高企業(yè)的辦公效率1. 極速的文件引擎，節(jié)約 90%勺文件傳遞和查找時間；2. 強大的文檔審批工作流，實現(xiàn)文檔工作標準化，提升60%勺組織績

30、效；3. 高效的文件協(xié)同，連接每一個人的智慧。傳承：積累和傳承企業(yè)的知識資產(chǎn)1. 海量存儲，集中管理企業(yè)所有的知識資產(chǎn)；2. 系統(tǒng)內(nèi)文件永不丟失，歷史文件隨時查閱使用；3. 讓每一個人都能享受精彩紛呈的知識成果。編輯：隨時隨地，移動辦公1. 便捷的移動端，讓工作無限續(xù)航；2. 支持IOS、An droid移動平臺；3. 支持與微信企業(yè)號無縫對接，給您移動辦公最佳體驗。2.3.3.4軟件定義數(shù)據(jù)中心軟件定義數(shù)據(jù)中心即超融合架構(gòu)以服務(wù)器虛擬化為底層架構(gòu)，擴展出網(wǎng)絡(luò)虛擬化和存儲虛擬化，通過所畫即所得的方式能夠快速的構(gòu)建出業(yè)務(wù)邏輯，實現(xiàn)虛擬資源的動態(tài)調(diào)度和靈活擴展，同時全網(wǎng)流量可視，配置簡易直觀，運維

31、靈活便捷主要價值1使用軟件定義的網(wǎng)絡(luò)、安全、存儲獲得效率和敏捷性超融合架構(gòu)可使軟件主導型網(wǎng)絡(luò)和安全、存儲與緊密集成到虛擬數(shù)據(jù)中心管理中的基于策略的調(diào)配機制結(jié)合在一起。2. 通過提高效率和利用率降低運營、采購成本，實現(xiàn)資源的按需供給超融合架構(gòu)無需重新配置物理網(wǎng)絡(luò)、外置存儲，即可跨集群和單元彈性分配計算資源，用戶可以在初始階段，僅投入項目所必需的最少資源，在后續(xù)的生產(chǎn)實踐中，根據(jù)實際需要， 可以再追加擴容物理服務(wù)器的計算、存儲資源，從而實現(xiàn)真正的隨需應(yīng)變與資源動態(tài)供給， 并最終提高資源利用率。此外，超融合架構(gòu)提供了高度可擴展的虛擬網(wǎng)絡(luò)，可簡化調(diào)配，降低運營成本，同時減少對專用設(shè)備的需求。3、利用虛

32、擬工作負載的敏捷性，適應(yīng)動態(tài)業(yè)務(wù)需求可創(chuàng)建隨應(yīng)用擴展的網(wǎng)絡(luò)并在需要的位置應(yīng)用安全服務(wù)，而無需升級硬件。超融合架構(gòu)可提高應(yīng)用可用性并增強網(wǎng)絡(luò)性能和存儲容量。無需重新配置物理網(wǎng)絡(luò)，即可部署、移動或擴展虛擬工作負載可自動調(diào)配和橫向擴展網(wǎng)絡(luò)連接和安全服務(wù)能夠更全面地了解虛擬通信流量線性擴展存儲容量和性能技術(shù)優(yōu)勢1、高可用為了提升服務(wù)器虛擬化系統(tǒng)的高可用性，超融合從如下多維度提供了高可用技術(shù)，保障業(yè)務(wù)的穩(wěn)定性。故障遷移（HA :aSV虛擬化平臺提供虛擬機熱遷移和虛擬機熱備份技術(shù)，降低宕機帶來的風險、減少業(yè)務(wù)中斷的時間。aSV虛擬化平臺提供 Guest OS故障檢測功能，當客戶機發(fā)生嚴重故障時（例如 Wi

33、ndows系統(tǒng)藍屏），虛擬機管理程序會監(jiān)控到客戶機故障。虛擬機管 理程序可以重啟或關(guān)閉客戶機，從而避免有故障的客戶機持續(xù)占用計算資源。熱遷移（Motion）:通過熱遷移可以實現(xiàn)虛擬機的在線動態(tài)遷移，保證業(yè)務(wù)連續(xù)性；零宕機時間：進行計劃內(nèi)硬件維護和升級遷移工作負載，業(yè)務(wù)不中斷；實現(xiàn)整體數(shù)據(jù)中心業(yè)務(wù)高可用，無需使用昂貴、復(fù)雜的傳統(tǒng)集群解決方案；最大限度地減少硬件、軟件故障造成的業(yè)務(wù)中 斷時間；提高整個基礎(chǔ)架構(gòu)范圍內(nèi)的保護力度?？绱鎯徇w移：通借存儲熱遷移技術(shù)，可以在不中斷服務(wù)的情況下在跨存儲實時遷移虛擬機磁盤文 件。將虛擬機磁盤文件無中斷地遷移到不同種類的存儲設(shè)備，執(zhí)行存儲熱遷移不會造成停機，并可

34、全面保證業(yè)務(wù)不中斷；可遷移在任何受支持服務(wù)器硬件上運行任何受支持操作系統(tǒng)的虛擬機磁盤文件；可支持任何光纖通道、iSCSI、本地硬盤等存儲系統(tǒng)實時遷移的虛擬機磁盤文件。3、高效P2V遷移通過VMFConvert實現(xiàn)快速的物理機遷移虛擬機，跨平臺的虛擬機遷移虛擬機。而整個 虛擬化遷移過程短時間完成，業(yè)務(wù)中斷很短時間。也可實現(xiàn)快速虛擬機平臺還原回物理機的 回滾，保證業(yè)務(wù)數(shù)據(jù)不丟失。4、虛擬化運維工作更簡單免插件控制臺：免插件的控制臺訪問VM提升用戶體驗一鍵新增虛擬機：通過簡單設(shè)置，快速創(chuàng)建虛擬機 自動故障處理：系統(tǒng)故障時提出專家解決方案，快速恢復(fù)系統(tǒng)及應(yīng)用 批量新增虛擬機：為經(jīng)常重復(fù)的工作內(nèi)容提供自

35、動化操作平臺7、高性能虛擬化平臺塊數(shù)據(jù)緩存：實現(xiàn)針對文件系統(tǒng)的塊數(shù)據(jù)緩存，通過提升大文件讀取速度，優(yōu)化用 戶體驗歷史數(shù)據(jù)預(yù)?。壕珳首x取虛擬機歷史塊數(shù)據(jù)，加快系統(tǒng)開機速度SCSI虛擬化硬盤加速：通過優(yōu)化 SCSI磁盤驅(qū)動，整體提升磁盤 I/O性能。2.3.3.4數(shù)據(jù)防泄密建立基于網(wǎng)絡(luò)、服務(wù)器、終端三個層面的數(shù)據(jù)防泄漏系統(tǒng)，針對核心業(yè)務(wù)數(shù)據(jù)進行管理，對數(shù)據(jù)的制作、傳播和應(yīng)用環(huán)節(jié)進行全生命周期的防泄漏管理；保障關(guān)鍵業(yè)務(wù)系統(tǒng)正常運行、保護財務(wù)數(shù)據(jù)、維護系統(tǒng)安全、保護客戶數(shù)據(jù)免遭盜 竊與破壞；數(shù)據(jù)保護領(lǐng)域，涉及諸多技術(shù)，其中最有代表性的主要有兩種：第一種是針對含有機密數(shù)據(jù)的電子文檔（或稱文件）加強保護，

36、方法主要是加密或者版權(quán)管理；第二種是針對機密數(shù)據(jù)內(nèi)容本身加強保護，方法是對機密數(shù)據(jù)的存儲、使用和傳輸進行監(jiān)控和管理。實現(xiàn)方法技術(shù)特點優(yōu)劣傳統(tǒng)防泄密技 術(shù)對內(nèi)外所有數(shù)據(jù)文件進行加密，在每臺終 端上部署解密客戶端，通過傳統(tǒng)的帳號密 碼來控制解密。1 ）部署方便，使用復(fù)雜；2 ）對IT架構(gòu)有影響，加密數(shù) 據(jù)無法使用數(shù)據(jù)庫存儲，需要 改造業(yè)務(wù)系統(tǒng)，例如財務(wù)軟件、ERP系統(tǒng)和0A系統(tǒng)；3）有很咼的數(shù)據(jù)損害不可修 復(fù)的可能。本方案采用的 防泄密技術(shù)1）本機磁盤存儲和外設(shè) U盤加密，對使用 者透明，登錄操作系統(tǒng)自動解密 ；2）自動學習內(nèi)網(wǎng)核心數(shù)據(jù)，自動偵測敏感數(shù)據(jù)；3 ）外泄防護，對郵件、互聯(lián)網(wǎng)數(shù)據(jù)傳輸應(yīng)

37、用、外設(shè)u盤拷貝等外發(fā)行為進行監(jiān)控， 根據(jù)策略進行數(shù)據(jù)傳輸控制1 ）部署復(fù)雜，使用簡便；2）對現(xiàn)有IT架構(gòu)沒有影響， 數(shù)據(jù)在存儲、使用和傳輸環(huán)節(jié) 進行監(jiān)控，但數(shù)據(jù)本身不加 密，在終端筆記本只對存儲設(shè) 備加密，不影響數(shù)據(jù)安全；3）數(shù)據(jù)損害無法修改的幾率 基本為零。在整個公司部署，以微小的性能代價，實現(xiàn)牢固的機密數(shù)據(jù)保護。為了全面保護客戶的信息，還需要全面的多層次化防護技術(shù)，特別是終端完整性管理、網(wǎng)絡(luò)準入控制等的解決方案配合。數(shù)據(jù)丟失防護解決方案結(jié)合終端保護功能，可以為客戶提供最全面的數(shù)據(jù)保護。設(shè)計思路概述對公司而言，在面臨來自外部的病毒、木馬、網(wǎng)絡(luò)攻擊等種種網(wǎng)絡(luò)安全威脅時，來自內(nèi)部的數(shù)據(jù)泄露或許

38、是一個更需要重視的問題。無論公司處于何種規(guī)模，都存在數(shù)據(jù)泄密的風險，而這些風險將會讓公司面臨安全、知識產(chǎn)權(quán)、財產(chǎn)、隱私和法規(guī)遵從方面的威脅。在這 些數(shù)據(jù)泄露情況中，大部分情況下都是員工在無意中泄露出去的，但還有一些則是由員工有意為之。一個使用沒有安全防護的筆記本電腦的移動辦公人員，可能有意或無意地通過無線網(wǎng)絡(luò)泄漏公司機密信息。與此同時，大量支持USB連接的設(shè)備不斷涌現(xiàn)，也使得公司的機密 信息很可能便被裝進 U盤或者移動硬盤等方便地帶走。當發(fā)生數(shù)據(jù)泄密時，在安全專家忙于 恢復(fù)敏感數(shù)據(jù)和修補泄密漏洞期間，公司的時間、資金和聲譽都會遭受到嚴重的威脅。公司安全專家總處于一場沒有終點的戰(zhàn)爭中：當原來的泄

39、密漏洞剛剛得到控制，新的數(shù)據(jù)泄密情況卻又伴隨著其他眾多設(shè)備的使用而頻繁出現(xiàn)。公司信息化目的是為了信息和數(shù)據(jù)的共享，而數(shù)據(jù)的生命周期中包括存儲（生成數(shù)據(jù)的服務(wù) 器和存儲設(shè)備）、使用（數(shù)據(jù)的使用者對數(shù)據(jù)進行操作）和傳輸（數(shù)據(jù)從一個地點傳送到到 另外一個地點）三個基本的生命過程。數(shù)據(jù)防泄漏就是要保護公司的機密信息不被非法的存儲、使用和傳輸。機密信息的劃分標準顯然，如果對公司內(nèi)各種各樣的海量數(shù)據(jù)全部進行同樣級別的保護，等于沒有任何保護。因此數(shù)據(jù)防泄漏的一個基本點是確定信息的機密性分類。對于可以完全對外公開的數(shù)據(jù)，不需要任何的信息防泄漏防護措施；對于關(guān)系到公司生存、發(fā)展、聲譽的重要數(shù)據(jù)， 應(yīng)當嚴格控制其

40、存儲位置，使用方式和傳輸方式。如何對信息進行機密性的分類呢？最根本思想的是依據(jù)信息的內(nèi)容來判斷其機密性級別。信息的所有者（如業(yè)務(wù)人員）可以根據(jù)個人或者公司的相關(guān)規(guī)范理解自己創(chuàng)建的信息內(nèi) 容的機密性級別。至于如何操作，實現(xiàn)方式包括以下兩種：基于權(quán)限信息所有者對信息載體（數(shù)據(jù)庫或者文件）進行權(quán)限設(shè)定，即什么樣的人可以訪問什么樣的信息。這是一種最直觀的信息保護模型，但是其實踐和操作具有很大的局限性。首先，被保護的對象不是數(shù)據(jù)的內(nèi)容，而是數(shù)據(jù)的載體，因此一旦載體發(fā)生變化，原有的權(quán)限設(shè)定和控制就失去效力。比如，從數(shù)據(jù)庫查詢到信息存成文件格式，則對數(shù)據(jù)庫表的權(quán)限設(shè)置即失去意義。另外，當把文件中的某些關(guān)鍵信

41、息拷貝粘貼到其他文檔，或者轉(zhuǎn)換成其他格式，對于原 有文件的權(quán)限設(shè)定也同樣失去防護意義。其次，權(quán)限設(shè)定在操作中將極大地影響現(xiàn)有的工作流程管理和用戶使用習慣。顯然，越大型的網(wǎng)絡(luò)環(huán)境復(fù)雜度將呈現(xiàn)指數(shù)型上升，這也是基于數(shù)字權(quán)限的防護技術(shù)一直不能在市場上大規(guī)模應(yīng)用的主要原因。特別是對于非結(jié)構(gòu)數(shù)據(jù)，如文件，設(shè)想一下，對不計其數(shù)的文件進行權(quán)限的管理，為每個文件設(shè)定可以訪問、閱讀、修改等權(quán)限，最終用戶和管理員將不堪負重。最后，并不是所有的文件類型都可以象pdf文檔一樣進行權(quán)限設(shè)定，因此為了保證有效性經(jīng)常需要進行格式轉(zhuǎn)換， 這又帶來了轉(zhuǎn)化后數(shù)據(jù)無法逆轉(zhuǎn)問題，格式失真，用戶使用習慣更改等更多問題?；趦?nèi)容顯然，信

42、息防泄漏關(guān)注的根本在于信息的內(nèi)容?；趦?nèi)容的機密信息分級將大大地減少管理實施難度，確保防護的有效性。管理員只需要知道我們的機密信息應(yīng)當存儲在數(shù)據(jù)庫的 那個表中，或者服務(wù)器上的哪個目錄下，就可以完成對信息機密性級別的定義。顯然， 信息的所有者很容易提供以上信息，并且無需費神去設(shè)定權(quán)限。一旦確定了機密信息的存儲位置， 則可以自動地建立機密信息樣本數(shù)據(jù)庫，進而在存儲、網(wǎng)絡(luò)、終端各個層面發(fā)現(xiàn)機密信息泄漏事件。單獨選擇基于權(quán)限或基于內(nèi)容管理的防泄密系統(tǒng)都會存在結(jié)構(gòu)化問題，存在漏洞。全面的多層次防護信息防泄漏不是單獨地依靠一種產(chǎn)品或者一種技術(shù)就可以完善解決的任務(wù)，必須建立全面的多層次防護體系，并輔以適當?shù)?/p>

43、管理、流程和培訓，才能確保我們實現(xiàn)數(shù)據(jù)防護的目標。 從防護層次上包括IT基礎(chǔ)架構(gòu)安全、數(shù)據(jù)安全、安全管理三個方面?；A(chǔ)架構(gòu)安全防護IT 基礎(chǔ)架構(gòu)安全包括網(wǎng)絡(luò)、服務(wù)器和終端的安全。對于大型網(wǎng)絡(luò)首先要劃分安全域，在 安全域之間的邊界實施監(jiān)視和訪問控制，做到看得見、管得著。細粒度的網(wǎng)絡(luò)訪問權(quán)限控制是信息防泄密的基礎(chǔ)。服務(wù)器往往是存儲機密信息的基礎(chǔ)平臺。因此我們需要在信息泄露事件發(fā)生之前能夠預(yù)警、提前防范；在信息泄露事件發(fā)生時能夠主動實時地防護；在信息泄露事件發(fā)生之后做到及時告警、快速響應(yīng)和恢復(fù)。即在預(yù)警、防護和響應(yīng)三個層次上進行主動防護。以響應(yīng)為例，用戶、管理員、集成商人員等對于服務(wù)器的訪問和操作應(yīng)當建立完備的審計機制，無論是通過網(wǎng)絡(luò)登陸還是本機操作，都可以查詢管理人員操作的歷史記錄。通過詳細記錄用戶行為， 約束使用者對服務(wù)器上信息的操作，避免越權(quán)操作，并且可以確保安全事件發(fā)生時可以快速響應(yīng)。對于終端，嚴格地管理和約束終端行為，落實確保合法用戶和合歸操作。通過采用準入控制技術(shù)，使用技術(shù)手段進行控制，對于違反公司安全策略的終端限制其訪問網(wǎng)絡(luò)資源，從而保證所有接入網(wǎng)絡(luò)內(nèi)部的終端符合公司安全策略要求，特另M言息防泄密的要求。數(shù)據(jù)防泄密公司需要重點保護客戶數(shù)據(jù)、公司信息、知識產(chǎn)權(quán)及敏感或機密信息的安全，無論它們是通過電子郵件、web郵件或其它因特網(wǎng)協(xié)議傳出網(wǎng)絡(luò)，還是