《制造业信息系统整体解决方案.doc》由会员分享,可在线阅读,更多相关《制造业信息系统整体解决方案.doc(35页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 南京联成科技发展有限公司 前言 在市场竞争日趋激烈及全球经济一体化的今天,企业只有拥有高质量、高性价比、有特点和更人性化的多种优点相结合的产品,才能占有更多的市场分额。为此,企业需要提高研发能力、降低生产成本、简化销售与采购流程、提升客户服务满意程度、同时在瞬息万变的市场上获取更新信息。随着企业全面走向信息化运作的道路,各种新的管理手段不断问世。ERP、MRP、SCM、CRM等企业应用迅速发展起来,有力地帮助企业提升竞争力。这些应用的安全风险需求如下: ERP(企业资源管理)成熟的ERP系统包含:财务子系统、进销子系统、人事劳资子系统、质量管理子系统等。这些子系统和企业运营息息相关,要求72
2、4不间段运行,数据安全性要求高。 CAD系统(产品设计与开发)数据量大,主要是矢量图。数据分布在服务器和客户端上。对实时性要求次之,但由于涉及到知识产权,数据要求有严格的防泄漏管理。 SCM、CRM、PDM、PLM(供应链、客户关系、产品数据与周期管理)客户、供应商和产品信息,数据量不大,要求系统稳定,数据可靠不能丢失。 WEB、代理企业对外门户,实时性要求高。直接与互联网相连,网络安全性高,一旦出现问题,要快速恢复。 OA/邮件系统系统数据量大,要求运行稳定。由于是企业日常办公系统,要具备法规遵从的能力,能够从历史数据中查询相关证据。通过对 的信息架构分析,我们可以看到多种风险来源:关键业务
3、系统宕机造成的系统停机、数据丢失;人为错误和磁盘物理故障造成的数据删除、丢失;网络病毒、攻击造成服务器、客户端宕机、服务停止;企业机密数据泄漏; 大量垃圾邮件侵入造成OA/邮件系统效力低下等等。企业的IT环境变得越来越复杂,同时结构也变得异构化:异构的网络、服务器、存储、数据库、中间件等,虽然异构平台给企业带来了低成本、高适应性,同时也引起了复杂性、可管理性的问题。总结前面的分析,我们可以把企业IT 建设的需求分为两个大的方面:信息安全性和信息可用性。安全性需求主要考虑了IT 架构下的网络端点安全、关键服务器安全、邮件系统安全、法规遵从、安全管理等方面;可用性需求主要考虑了企业关键数据系统的备
4、份、恢复、高可用、容灾等,也同时考虑了如何将异构下的数据存储进行统一的资源整合。参见下图: 赛门铁克致力于为 用户提供信息完整性解决方案,是信息安全和信息可用技术的市场领导者,其技术方案已经广泛的应用在国内外众多的 客户环境中。 第一部分 信息系统网络安全解决方案一、 行业结构特点及信息安全需求分析企业通过Internet 可以把遍布世界各地的资源互联互享,但因为其开放性,在Internet 上传输的信息在安全性上不可避免地会面临很多风险。当越来越多的企业把自己的业务系统放到网络上后,针对网络的各种非法入侵、恶意软件、蠕虫等活动也随之增多。另外,企业内部发生的安全事件是企业信息资产流失的一个主
5、要因素,越来越多的企业也着手开始实施内网的安全控制措施。图1:企业信息系统的典型网络拓扑 信息系统结构的安全威胁主要来自以下下几个方面:1、数量庞大的固定及移动终端安全管理难题:操作系统补丁不能及时更新、安全软件不能及时升级,造成威胁侵入、继而整个网络病毒泛滥。 2、 企业邮件系统是企业日常管理的重要工具,垃圾邮件泛滥不仅造成IT资产浪费、系统效率下降,而且各种利用邮件的网络攻击会给企业网络带来极大的风险:信息泄漏、病毒传播。 3、 企业百分之九十的知识产权,如新发明,设计图纸,程序代码等,是以电子信息的形式存在企业的内部网络中,据统计,企业知识产权信息经常以电子邮件,文件传输,web 邮件等
6、形式轻而易举地流出企业。因此企业需要一定的保护措施,避免信息泄漏造成的知识产权纠纷。通过上述分析可以看出,企业信息系统的安全防护必须是多层次,全方位的。赛门铁克根据企业的实际情况,设计了完整的、先进的信息系统主动安全防护体系,它主要包括: 企业邮件系统安全管理方案 邮件安全网关 Symantec Messaging Gateway 邮件归档管理 Symantec Enterprise Vault 企业端点标准化管理方案 端点安全策略管理 Symantec NAC/Endpoint Protection IT 资产标准管理 Symantec Altiris 企业机密数据安全管理方案 防止机密数据
7、泄漏方案 Symantec Vontu DLP 企业关键应用服务器安全方案 主机加固 Symantec Critical System Protection二、 网络安全整体方案1 企业邮件系统安全管理 企业邮件系统安全管理的目标是: 对来自外部网的垃圾邮件进行过滤和处理; 对病毒和蠕虫造成的邮件攻击进行拦截; 对不断增长的无用带宽进行限制和调整; 对包含不正当内容的邮件予以拦截; 限制邮件服务器上的用户邮箱配额,同时也能够满足用户有足够的邮件存储空间,提高前台邮件服务器的处理性能。 满足企业对邮件日志保存期限和审计的需求,降低法律诉讼的风险,帮助用户恢复重要的邮件。 赛门铁克的电子邮件安全及
8、可用性方案为用户提供全面卓越的邮件生命周期的安全管理方案,提供了业界领先的产品和服务,通过有效维持通讯系统及数据的安全及随时可用,节省用户的投资,成本而设计,减少大量垃圾邮件、阻截病毒,并通过归档实现对旧有邮件的生命周期管理,协助保障用户电邮系统的弹性架构。赛门铁克邮件生命周期管理方案示意图如下:图2:赛门铁克邮件生命周期安全管理方案如上图所示,赛门铁克的邮件生命周期安全管理方案由两大核心组件构成: Symantec Messaging Gateway 8300:为企业接收和发送的所有邮件提供垃圾邮件、病毒邮件以及邮件含有违规内容的全面安全检测,并提供相应的自动化安全处理措施。 Symante
9、c Enterprise Vault 7.5:对企业内部的邮件系统提供基于策略的邮箱归档、日志归档操作。在满足企业保存邮件和审计需求的同时,降低一级邮件存储空间的使用率,提高邮件服务器性能。快速恢复用户需要的重要邮件等。下面将阐述这两大核心组件如何对企业邮件系统进行安全管理。(一)Symantec Mail Security 8300 Symantec Mail Security 8300(以下简称SMG8300) 系列同时提供防垃圾邮件、防病毒、内容过滤等全面防护功能。 SMG 8300 系列设备的用途非常灵活,根据企业网络规模和电子邮件处理的需要,它们可以执行多种不同的功能。每台 SMG
10、8300 系列设备都可部署为:u Scanner:如果只部署为 Scanner,SMG 8300 系列设备将会过滤电子邮件。可以在企业网内安装一个或多个Scanner。SMG8300系列设备可以与现有电子邮件或群件服务器一起工作。u 控制中心(Control Center):管理企业网邮件安全系统。每个SMG 8300系列安装都有一个控制中心设备,它是一个基于 Web 的配置和管理中心。 控制中心又承载着隔离区和支持软件。可以从控制中心中配置和监控所有 Scanner设备。 还可以使用控制中心配置和管理电子邮件过滤、SMTP 路由、系统设置及所有其他功能。控制中心同时还提供系统中所有 SMG
11、8300 系列设备的状态以及系统日志。 它还提供丰富的可自定义的报告。可以使用控制中心来配置系统范围的和主机特定的详细信息。如果正在使用隔离区,则可以使用控制中心来管理隔离区。 最终用户(学生、在校教职员等)可以访问控制中心来查看隔离区中的垃圾邮件,还可以设置他们的语言过滤及禁止或允许的发件人首选项。隔离区是一个存储垃圾邮件并使最终用户能够访问他们的垃圾邮件的组件。也可以将隔离区配置为仅供管理员访问。隔离区的使用是可选的。u 控制中心兼 Scanner:执行上述两种功能。 适用于企业邮件用户较小的情况安装。 图3:企业邮件安全集中管理(二)Symantec Enterprise Vault 7
12、.5如前文所述,Symantec Enterprise Vault(以下简称EV)为一款专为企业提供邮箱归档、日志归档、邮件快速查询及恢复、减轻一级邮件存储压力、满足企业邮件审计的专业方案。EV可以归档企业内常见的几乎所有数据类型,如: 位于 Microsoft Exchange 用户邮箱中的项目 位于 Microsoft Exchange 日志邮箱中的项目 Microsoft Exchange 公用文件夹内容 位于 Domino 邮件文件中的项目 位于 Domino 日志数据库中的项目 网络文件服务器中保存的文件 Microsoft SharePoint 服务器中保存的文档 即时消息和 Bl
13、oomberg 消息 来自其他消息传递服务器的 SMTP 消息 Enterprise Vault 归档进程会检查目标服务器,以获得要归档的项目。相关项目随后会被存储在 Enterprise Vault 归档中。Enterprise Vault 会为已归档项目创建索引,以实现快速搜索和检索。管理员可以设置所需的索引级别。在归档项目时,系统会自动为项目分配一个“保留类别”,该类别定义了必须保存项目的时间长度。管理员可以为不同类型的数据定义不同的保留类别。这样,当Enterprise Vault 监控归档时,它可以删除保留期限已过期的项目。 EV 的各个组件协同工作,实现了灵活的基于策略的邮件生命周
14、期管理: Enterprise Vault Server:归档主服务器,负责归档策略的管理及归档信息的管理 Journal Archiving:日记邮件归档模块,可以将邮件服务器复制的每一封进出邮件归档到EV管理的存储,便于审计需要 Mailbox Archiving:邮件归档模块,可以将邮件归档到EV管理的存储,扩展邮箱配额,提供outlook集成的界面 PST Migrator:迁移模块,可以将现有的PST文件数据迁移到档案库 Offline Vault:离线模块,提供离线情况下对邮件的访问 Discovery Accelerator:邮件审计和搜索模块,提供工作流方式的审计 File S
15、ystem Archiving, Archiving & Search:文件归档,透明地将文件归档并提供对归档文件的全文搜索功能VERITAS Enterprise Vault集中归档框架Enterprise Vault软件提供了灵活的归档框架,能够发现保存在电子邮件、文件系统、协作环境中的内容 ,并有助于降低成本和简化管理。Enterprise Vault通过策略控制的自动在线归档,主动保留和无缝检索信息,从而对内容进行管理。凭借内置的强大搜索和发现功能,辅以专用的客户端应用软件,Enterprise Vault可用于企业管理、风险管理和法律保护。Enterprise Vault软件有助于解
16、决下列问题: 应用存储管理 符合法规要求的数据保留和发现 出色运行 知识挖掘 升级、迁移与整合对于每家企业来说,档案和内容的创建和长期管理都至关重要。 Enterprise Vault软件能够安全地保留归档的数据,以便用户充分利用这些数据,如果不再需要这些数据,还可让数据过期。档案库的设计能够实现下列功能: 灵活地存储归档的内容 通过压缩和单一实例存储,减少存储量 生成内容索引,实现快速的目标检索 提供所有归档内容的HTML副本,确保用户将来能够通过任何应用程序来访问档案内容 利用用户认证安全控制 定义和实施数据保留和过期策略(三) 赛门铁克邮件系统安全管理方案优势赛门铁克的邮件系统安全方案是
17、业界最成熟的解决方案,SMG 8300 与 Symantec EV在邮件管理市场中都占有第一位的市场份额。 SMG8300 采用了多种垃圾邮件过滤技术,有效率达到95以上,准确性达到99.9999%,处于世界领先水平; SMG8300在全世界拥有200万个蜜罐邮箱,专门收集最新的垃圾邮件,能够快速应对最新的垃圾邮件发送技术。同时,Symantec公司在国内设立了20万蜜罐邮箱专门搜集国内的垃圾邮件,针对中文垃圾邮件和国内流行的垃圾邮件同样具有很高的过滤效率; SMG8300通过电子邮件防火墙技术,实现在真正的垃圾邮件与病毒邮件到达用户网络之前,就阻止其企图的功能。通过此技术,可以极大的节省用户
18、网络的带宽利用,并且真正保护了最终邮件服务器的可用资源(SMG 8300独有); SMG8300可有效防止DHA攻击、垃圾邮件攻击、病毒攻击、空连接攻击、多重压缩攻击等各种针对电子邮件系统的DOS攻击(SMG 8300独有); SMG8300 提供强大的最终用户可配置功能。最终用户通过登陆管理配置界面,可以管理与自己有关的隔离区垃圾邮件,并且可以自定义个体的黑名单、白名单和语言选项,从而大大的降低管理员的管理负担; EV通过压缩和单实例存储技术,大幅减少邮件归档存储量 EV生成归档内容索引,实现快速的目标检索,用户透明体验 EV提供所有归档内容的HTML副本,确保用户将来能够通过任何应用程序来
19、访问档案内容 EV可以支持最广泛归档数据来源的归档平台,自身就可以直接实现与Domino, Exchange, SharePoint,IM,文件服务器等归档功能。同时,其与合作伙伴广泛的集成包括: SAP、数据库、传真等等,Enterprise Vault还可以提供EMC、IBM、OpenText和Stellent的RM连接器,并提供第三方归档开发接口 对Exchange邮箱、日志、公用文件夹和PST文件的内容进行归档。消除配额和信息容量限制,同时控制信息存储的增长。管理员可以定义策略,将Exchange邮件和附件自动归档到在线的仓库中。另外,它还提供了快捷方式,使用户能够通过Outlook,
20、或者通过基于web的扩展搜索功能,轻松、透明地查看或恢复初始条目。 EV可以无缝支持Domino Web Access接入模式。通过EVt客户端浏览器,搜索等与Notes客户端及DWA方式完全无缝集成。同时客户端可以从Windows Desktop Search中搜索归档。 Enterprise Vault采用11种语言翻译客户端,包括简体中文版客户端 在基于SMTP的电子邮件系统中,EV可以支持基于策略的电子邮件和附件归档2 企业端点标准化管理方案企业网内的终端数量庞大,各自归属的管理网段不一。归纳端点管理的目标: 企业全面建立主动式的端点防护体系,即能够有效包含端点本身,又能够对端点上的不
21、规范行为进行监督。 端点保护需要集成多种安全技术,如防病毒,防火墙、IPS,程序管理、设备控制等。 在网络上部署实时的审核手段,对违规的客户端限制或禁止其网络接入权限。做到发现问题,即时解决问题。不感染网络中其它的工作设备。 减少IT 维护终端的工作量,自动收集网络中的IT资产信息,定期统计其变更量,为企业IT 规划提供依据。 统一分发企业所需要的系统补丁、应用程序等,减少终端用户的干预程度。赛门铁克的端点标准化管理方案从技术和管理两方面出发,可以很好的解决上述企业面临的端点管理问题。该方案主要由两大部分组成: Symantec Network Access Control/Symantec
22、Endpoint Protection:提供集成的端点安全防护技术和网络准入控制,帮助企业提高端点自身的安全防护能力。同时又在网络上实时审核端点的符合安全规范的程度。一旦发现违规终端,立即限制或取消其访问网络的权利,从而达到规范终端操作,统一策略的主动防护目的。 Symantec Altiris:给企业提供IT 资产生命周期的管理架构,从IT 资产的信息收集、登记、系统分发,软件分发、故障排错等全面的自动化的管理,大大减少IT 管理员的维护工作量。下面将阐述这两部分方案如何对企业端点标准化管理。Symantec Network Access Control/Symantec Endpoint
23、Protection(以下简称SNAC/SEP) SNAC/SEP 是赛门铁克端点安全管理方案,它的核心思想是通过网络准入控制和端点安全保护屏蔽一切不安全的设备和人员接入企业内部网络,从而规范终端用户接入网络的行为,铲除对企业重要网络威胁的源头,避免事后处理的高额成本。SEP提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它具备先进的威胁防御能力,能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。包括主动防护技术以及管理控制功能;主动防护技术能够自动分析应用程序行为和网络通信,以检测并阻止可疑活动,而管理控制功能使企业能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。
24、甚至可以根据用户位置阻止特定操作。SEP不仅可以增强防护,而且可以通过降低管理成本以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理,通过一个管理控制台即可进行管理。从而不仅简化了端点安全管理,而且还提供了出色的操作效能。SEP 功能结构示意图如下:图4:SEP功能结构示意图在端点安全管理设计中,网络准入控制是把对用户的管理需求通过技术手段贯彻下去的唯一可行办法。SANC 正是这样一个解决方案,它为企业创建了终端接入的可信尺度。常见检查策略为:强制验证操作系统补丁是否更新,反病毒软件是否在运行及病毒库是否更新,端点防火墙软件是否在运行及被适当的配置。同时,SNAC也可以让管理
25、员进一步执行更多高级策略,检查特定安全软件或特殊安全配置是否存在。一旦SNAC检查策略创建完成,就有了在终端连入网络时可参照的安全基线。它通过提前的“准入扫描”,来确保终端可信状态并授权。SNAC的网络访问控制流程包括以下四个步骤:1. 发现和评估端点。此步骤在端点连接到网络访问资源之前执行。通过与现有网络基础架构相集成,同时使用智能代理软件,网络管理员可以确保按照最低 IT 策略要求对连接到网络的新设备进行评估。2. 设置网络访问权限。只有对系统进行评估并确认其遵从 IT 策略后,才准予该系统进行全面的网络访问。对于不遵从 IT 策略或不满足企业最低安全要求的系统,将对其进行隔离,限制或拒绝
26、其对网络进行访问。3. 对不遵从的端点采取补救措施。对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵从状态,随后再改变网络访问权限。管理员可以将补救过程完全自动化,这样会使该过程对最终用户完全透明;也可以将信息提供给用户,以便进行手动补救。4. 主动监视遵从状况。必须时刻遵从策略。因此,Symantec Network Access Control 11以管理员设置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点的遵从状态发生了变化,那么该端点的网络访问权限也会随之变化。SNAC 提供多种准入控制方式: 局域网准入控制(基于802.1x 标准)LAN Enforcer 网
27、关准入控制 Gateway Enforcer DHCP 准入控制 自我强制 图5:SNAC 网络准入控制Symantec Altiris Symantec的Altiris资产管理致力于IT管理,以其服务导向架构(SOA) 下提供模块化的服务导向解决管理方案(SOM)为客户提供完整的IT 生命周期管理(IT Lifecycle Management ),并在业界公认的成熟的IT管理最佳实践(IT基础架构库)的基础上为客户提供完全的流程化管理。它帮助企业实现IT 资产生命周期的管理。图6:Symantec Altiris IT 资产生命周期管理Altiris IT生命周期管理解决方案具有多重系统管
28、理功能,企业能随着新的要求或新的系统管理需求部署新的功能,随着企业的发展而不断扩充。每个解决方案以模块化的方式集中安装在Altiris服务器上,通过安装在客户端的Agent(代理)的交互式来实现所有功能。在端点标准化管理的方案中,我们建议使用Altiris Client Management Suite( CMS) 来实现对端点资产的自动化管理。Altiris CMS 套件是一种非常简单易用的客户端管理解决方案,它帮助企业降低PC、笔记本、手持设备等的管理维护成本。专为拥有大量IT设备管理者设计的。这个方案帮助企业实现从任何地点对系统和设备的管理,包括部署、管理、配置、解决问题等功能。它包括如
29、下解决方案: Inventory Solution for Clients, IT资产管理(动态资产统计、资产监控) Deployment Solution for Clients,部署和迁移(系统、应用、个性化设置的部署和升级) Patch Management Solution for Clients,补丁包管理(自动、安全安装补丁程序) Software Delivery Solution for Clients, 软件分发(快速安装软件) Carbon Copy Solution, 远程控制(帮助远程解决问题或培训) Recovery Solution for Clients,备份与恢
30、复(系统、应用程序、文件的备份与恢复) Application Metering Solution, 应用程序测量(分析应用程序使用率)(三)赛门铁克端点标准化管理方案优势 来自同一厂家的端点标准化管理方案,用户具有最小的端点管理成本和部署成本。 Altiris 提供和SEP的集成组件,可在Altiris 部署的同时,将SEP 一并部署到客户端。 SEP 集成了客户端所需要的所有安全防护技术,可以在安全威胁渗透到网络之前将其阻止,即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件,包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkit。 Symantec 提供
31、业界最佳的威胁趋势情报 赛门铁克的防护机制使用业界领先的赛门铁克全球情报网络,可以提供有关整个互联网威胁趋势的全面视图。借助此情报可以采取相应的防护措施,并且可以帮助您防御不断变化的攻击,从而使您高枕无忧。 SEP 与SNAC 属于同一个管理架构,使用共同的客户端代理和管理控制台。在一个代理上提供防病毒、反间谍软件、桌面防火墙、IPS、设备控制和网络访问控制,最大程度地降低了IT 管理员的维护工作量。 SNAC 是业界网络准入控制的领导者,拥有全球最广泛的用户案例,产品成熟度高,确保企业部署SNAC后,没有后顾之忧。 SNAC独立于网络设备厂商,具有最广泛的网络设备支持。可以与任何企业的网络架
32、构相结合,达到规范企业终端行为的效果。3企业敏感数据安全管理方案 随着企业信息化建设的深入,信息系统成为企业业务正常开展的基石,其中的数据是企业最重要的资产。近年来,多家国际上有重要影响力的企业不时被媒体曝光,其重要的客户资料和其他机密信息被非法使用,给企业声誉造成了不可估量的损失,进而影响到企业的财政收入。 企业那些重要的敏感数据如何进行安全管理呢?从数据保护领域来看,涉及诸多技术,其中最有代表性的主要有两种:第一种是针对含有机密数据的电子文档(或称文件)加强保护,方法主要是加密或者版权管理;第二种是针对机密数据内容本身加强保护,方法是对机密数据的存储、使用和传输进行监控和管理。大多数企业遇
33、到的数据保护需求,需要同时使用上述两种保护技术,甚至还需要更多的技术来满足。赛门铁克的数据丢失防护解决方案 Symantec Vontu Data Loss Prevention(以下简称Vontu DLP)采用的是第二种技术,适合在整个所有企业大规模部署,以微小的性能代价与资源,实现牢固的机密数据保护。 (一)Symantec Vontu 防数据泄漏方案 Vontu DLP 8是业界第一个结合了终端、存储和网络功能的软件,它为机密数据的存储和使用提供保护。无论是存储在网络的、还是不联网终端上的数据,Vontu都可以发现它们,并且可以防止数据从网络网关和终端泄密。 Vontu DLP 8从三个
34、层面全面防止企业机密数据的泄漏: 网络数据发现和保护(Network Data Discovery and Protection):具备对企业存储数据的全面功能覆盖,包括发现和保护机密数据,这些数据可能存放在文件服务器、数据库、Microsoft SharePoint、Lotus Notes、Documentum、LiveLink、Microsoft Exchange、WEB服务器、以及其他的数据存储中。 该产品线包含了以下2个部署模块: 网络发现(Network Discover): 快速寻找机密数据存放在企业的什么地方。典型的存放点是在企业网络中。 网络保护( Network Protec
35、t) :“发现和修补”暴露的机密数据。方法包括通过自动隔离、重新安置,也支持基于策略的与数据分级、存储分机、归档、数据加密和数字版权管理(DRM)等方案的集成。 终端数据发现和保护(Endpoint Data Discovery and Protection):让企业清楚有哪些机密数据存放在手提电脑和桌面电脑中,还可以让企业防止存放在终端的机密数据不断增长。该产品线包含以下2个部署模块: 终端发现(Endpoint Discover):扫描桌面电脑和手提电脑以发现保存在其中的机密数据,以便企业进一步采取行动,包括整理、保护和重新安置这些机密数据。除了对联网的终端外,它还可以对不联网终端和远程办
36、公室的终端进行扫描。它可以高效地、并行地工作,工作期间对终端的影响非常小。 终端数据监控和防止(Endpoint Data Monitoring and Prevention):让企业可以同时监控和防止机密数据被拷贝到USB设备、被刻录到光盘和被下载到本地硬盘,也可以监控和防止机密数据通过webmail, IM和P2P网络发送,或者是用加密软件进行加密。 网络数据监控和防止(Network Data Monitoring and Prevention):该产品线监控和防止数据通过email, IM, Web, Secure Web(HTTPS), FTP, P2P, Generic TCP等方
37、式泄密。该产品线包含以下2个部署模块: 网络监控(Network Monitor):检查内部的和对外网络通讯中的机密数据,准确地识别出违反安全策略的数据,让企业能够对数据泄密的情况能够有全面地掌握。该产品一般部署在DMZ。 网络防止(Network Prevent):当发生违反安全策略的数据传送时,它可以主动地中断网络通讯。它也可以选择性地将包含机密数据的网络流量重新路由到加密的网关,以保证数据传送的安全。该产品一般部署在DMZ。 实施控制台(Enforce Platform):提供通用的策略实施框架,它管理整个Vontu DLP产品线。它提供通用的、单次配置、普遍部署的策略管理方式。 Sym
38、antec Vontu DLP 架构示意图如下: 图7:Symantec Vontu DLP 防数据泄漏方案 (二)Symantec 防数据泄漏方案优势 业界第一个从网络、端点、存储三个层面部署的企业防数据泄漏方案。无需进行复杂的文件权限管理,利于企业大规模实施。 真正的关注机密信息如何在企业传输、使用和存储,支持的网络协议很广,包括email, Web, Secure Web (HTTPS), IM, FTP, P2P and Generic TCP。它使得企业可以更好地保护知识产权、遵从法规、维护品牌和声誉。 使用先进的精确数据匹配、索引文件匹配、描述内容匹配技术,对机密信息内容识别的误报
39、率少于10的16次万分之一。 帮助企业定位机密信息在企业网络中的存储位置,及时纠正不正确的数据使用行为。例如:主动发现机密数据是否存放在不应该存放的终端上;防止数据通过USB 盘泄漏;自动在屏幕上通知员工以达到教育目的 帮助企业减少在文件服务器、邮件服务器、WEB服务器和数据库中机密数据盲目增长; 帮助企业确保历史的机密数据不会存放在企业服务器上,展示对内部俄政府法规的遵从 确保企业合理使用终端设备,为外包和合作伙伴的协作关系提供安全保障4企业应用服务器保护与加固解决方案(SCSP)企业的应用服务器除了必要的防病毒软件之外,一直以来均缺乏有效的防护手段。Symantec的SCSP关键性系统保护
40、产品是目前业界唯一的一款针对服务器操作系统与关键应用提供保护的解决方案。SCSP基于行为控制的主机防护技术,提供了包含主机防火墙、入侵检测、操作系统注册表和文件保护、系统加固等功能,能够有效抵御网络蠕虫和黑客攻击,降低了管理员对供应商和系统补丁的依赖,最大化的减少停机时间和维护成本。解决方案主要功能: 采用安全业界认可的“最小权限”的思想,对每个操作系统功能和应用程序创建了操作的安全区,从而使企业 IT管理员能够细致控制主机安全性,而不必采用“救火”模式不断竞相应用补丁程序。 恶意软件和攻击不能禁用或避开加载到系统内核中的SCSP行为控制引擎,确保它保持完整并持续运行。SCSP具备系统防护的默
41、认策略:针对通用的系统资源、网络资源、可执行文件等 SCSP具备系统网络级的策略和缓冲区溢出策略,提供策略违背情况的信息查询:主机,IP 地址,操作系统,进程,事件类型,严重程度,操作,处理方式(允许/拒绝)等。提供系统安全监控的其它策略集: 缓冲区溢出防护、应用程序保护、对单个操作系统功能提供保护注册表和文件防护、强制“最小特权原则”、集成的防火墙,用于保护入站和出站的网络通信 SCSP使用易于理解的“启用/禁用”样式的选项对安全策略进行配置管理员易于操作,支持策略导入、导出,SCSP 代理可以分组,策略可以对多个组生效解决方案主要优势: 有效保护:利用基于网络和基于主机的安全技术组合来进行
42、深入防御,SCSP解决方案能够在针对主机的不良行为损害系统之前先行阻止。这种基于行为的防护方法使赛门铁克关键系统防护解决方案能够立即抵御新攻击,而不必“弥补”基于特征的产品出现的问题或补丁程序的“零日”漏洞; 自动加固:通过在应用服务器部署SDS解决方案,企业管理员能对操作系统和常用用户应用程序提供即装即用强化功能,无需病毒特征即可保护每一台计算机的操作系统和应用程序,而不必“弥补”基于特征的产品出现的问题或补丁程序的漏洞缺失。 平台支持:SDS解决方案能支持目前流行的所有操作系统和平台,包括:AIX、HP-UX、Sun-Solaris、RedHat Linux、SuSE Linux、Wind
43、ows等。第二部分 信息系统存储解决方案一、行业背景企业为适应未来的发展,提高在市场上的竞争力,先后成功实施了跟企业发展相关的应用系统,在业务、办公等系统中带来了明显的效益。但在应用系统规模日益扩大,企业的生产和经营越来越依赖IT系统的同时,也给企业数据的安全防护带来更大的挑战,信息系统中数据的可靠性,将直接关系到企业的业务系统能否正常运行。目前的企业已经达成一种共识,即企业信息系统和业务数据是一种非常关键和重要的无形资产,为了保护企业在IT上的投入,最关键的问题是建立一套完善的存储系统,当发生任何的风险时,能够尽快的恢复计算机系统、应用和数据,保证业务系统能够不中断运转。二、 信息系统的典型
44、架构由于行业的自身特点,通常的核心信息系统和平台分布状况如下:名称运行平台应用系统数据库/应用组件重要性ERP服务器Windows/ UnixERP系统 (双机高可用)SQL /ORACLE /SAP非常重要中间件服务Windows 2000 /2003 ServerERP中间服务系统中间件产品非常重要CRM服务器Windows /Unix客户关系管理系统Sql Server (或Oracle)重要生产Windows /Unix产品生命周期管理系统Sql Server (或Oracle)非常重要生产Windows /Unix产品数据管理系统Sql Server (或Oracle)非常重要邮件服
45、务器Windows /Unix邮件及办公自动化Domino (或Exchange)重要域控制器Windows 2000 /2003 Server主域控制器AD 目录重要WEB/代理/门户服务器Windows 2000 /2003 ServerWEB/代理/门户 服务SharePoint Potal ServerApache Web Server(或其它应用)重要文件/打印服务器Windows 2000 /2003 Server文件共享/打印服务重要个人电脑Windows 2000 /XPCAD系统Auto CAD等软件重要目前很多企业的客户还是通过简单的手工方式管理这些环境中的数据备份,有的甚
46、至还完全没有任何数据保护手段,这隐藏着极大的风险。Symantec提供专业的存储软件,能够为客户实现完善的端到端的数据保护。针对不同的用户应用环境,提供量身定制、可持续的数据保护方案。Symantec 数据保护能够从数据中心延伸到台式电脑,从本地延伸到整个互联网,成为当今IT 数据备份与恢复的业界标准。而且Symantec数据保护方案具有及强的扩展性,随着企业的发展和需求的变化,可以随时地、方便地、经济高效地进行版本升级、功能增强、规模扩展等,使其永远满足业务需求。同时Symantec为企业提供先进、可靠的高可用和容灾解决方案,保证IT系统的不中断运行。资源优化和管理是企业提高生产率、降低成本的有效手段,Symantec的资源管理解决方案能够在企业的成本控制中发挥重要作用。三、SYMANTEC的企业信息可用性解决方案1. 企业信息可用性面临的挑战信息化为我们的社会带来的好处显而易见,随处可得。信息化管理为企业带来的直接商业利润也可以很直接地反映在效益上。但我们必须警惕信息化这柄“双刃剑”,尤其是在企业管理中,信息化还意味着有以下令人堪忧的隐患:l 硬件损坏、设备、应用的临时故障,造成关键数据丢失、业务停顿;l 随着EPR、CRM等系统在企业信息化过程中的流行,它们已经成为企业日常运转不可或缺的部分。试想如果ERP系统由于软硬件故障,造成企业进销存系统,生产管