企業(yè)網(wǎng)絡(luò)信息安全整體解決方案報告書

./企業(yè)網(wǎng)絡(luò)信息安全整體解決方案目錄一、完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)41、域結(jié)構(gòu)管理模式42、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計43、三層交換與VLAN結(jié)合54、企業(yè)網(wǎng)管軟件6二、構(gòu)建全方位的數(shù)據(jù)泄漏防護(hù)系統(tǒng)121、文檔安全管理系統(tǒng)132、企業(yè)U盤認(rèn)證系統(tǒng)143、打印監(jiān)控系統(tǒng)15三、建立一體化的本地/異地備份與容災(zāi)體系17四、建立防火墻、防入侵及一體化安全網(wǎng)關(guān)解決方案201、趨勢科技防毒墻-服務(wù)器版〔SP：212、Juniper防火墻：22隨著計算機(jī)技術(shù)的飛速發(fā)展,在計算機(jī)上處理的業(yè)務(wù)也由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理,基于簡單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動化等,發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)企業(yè)外部網(wǎng)和全球互聯(lián)網(wǎng)的企業(yè)級計算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享。在計算機(jī)連接能力連接范圍大幅度提高的同時,基于網(wǎng)絡(luò)連接的內(nèi)部網(wǎng)絡(luò)安全、數(shù)據(jù)信息安全、資源分配以及員工工作效率低下等問題也日益突出。為了解決企業(yè)面臨的這些問題,我們可以從幾方面入手：首先,完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)；其次,構(gòu)建全方位的數(shù)據(jù)泄漏防護(hù)系統(tǒng)；再次,建立一體化的本地/異地備份與容災(zāi)體系；最后,建立防火墻、防入侵及一體化安全網(wǎng)關(guān)解決方案,達(dá)到凈化企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境提升員工工作效率的目的。一、完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)在規(guī)劃和設(shè)計企業(yè)總體網(wǎng)絡(luò)架構(gòu)時,應(yīng)從企業(yè)應(yīng)用為最基本出發(fā)點,將企業(yè)當(dāng)前和各類應(yīng)用和將來會上的應(yīng)用都必需全部考慮進(jìn)來,特別是要為企業(yè)業(yè)務(wù)的擴(kuò)展留下足夠的帶寬和可擴(kuò)展的空間。這些方面直接關(guān)系到企業(yè)網(wǎng)絡(luò)架構(gòu)中各類網(wǎng)絡(luò)設(shè)備<如路由器、交換機(jī)、安全網(wǎng)關(guān)、服務(wù)器等>的采購決策,以及決定企業(yè)互聯(lián)網(wǎng)總出口帶寬的大小和企業(yè)網(wǎng)絡(luò)的最終拓?fù)浼耙?guī)模。同時網(wǎng)絡(luò)架構(gòu)應(yīng)當(dāng)具有很高的靈活性和可擴(kuò)展性,可以隨意增加或縮減單元。另外還應(yīng)當(dāng)考慮企業(yè)當(dāng)前的技術(shù)條件是否滿足對網(wǎng)絡(luò)進(jìn)行可控和可管理的要求。下面我們就分幾方面來優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)。1、域結(jié)構(gòu)管理模式在很多小型企業(yè)公司內(nèi)部的網(wǎng)絡(luò)還是采用對等網(wǎng)模式〔工作組,在這種工作模式下任何一臺電腦只要接入網(wǎng)絡(luò),其他機(jī)器就都可以訪問共享資源,如共享上網(wǎng)等。盡管對等網(wǎng)絡(luò)上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows9x構(gòu)成的對等網(wǎng)中,數(shù)據(jù)的傳輸是非常不安全的。同時也無法對網(wǎng)絡(luò)內(nèi)部的計算機(jī)進(jìn)行集中化的管理,導(dǎo)致數(shù)據(jù)泄漏。這時候我們就需要在公司內(nèi)至少配置一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作,相當(dāng)于一個單位的門衛(wèi)一樣,稱為"域控制器<DomainController,簡寫為DC>"。域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時,域控制器首先要鑒別這臺電腦是否是屬于這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄,用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源,他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。域控制器的功能除了上面說到的可以做身份驗證之外,還可以對屬于域的所有計算機(jī)的操作權(quán)限〔安裝/卸載軟件、更改IP地址、更改計算機(jī)設(shè)置等進(jìn)行有效的控制,以達(dá)到集中化管理的目的。2、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計組網(wǎng)方式：樹形組網(wǎng)方案該方案引入二級聯(lián)網(wǎng)方式,骨干層交換機(jī)采用了高性能的千兆級二層交換機(jī),連接服務(wù)器、路由器與網(wǎng)絡(luò)打印機(jī)。二級交換機(jī)采用24+2口交換機(jī),其中的兩個端口為1000M,用于接入骨干交換機(jī),其余10/100M端口連接相對分散的桌面用戶。方案特點：二級聯(lián)網(wǎng)方式更好的將數(shù)據(jù)通過骨干交換機(jī)分散處理,它與服務(wù)器之間通過1000M高速交換端口連接,以滿足大容量數(shù)據(jù)傳輸?shù)囊?。骨干交換機(jī)和二級分交換機(jī)的連接則采用了快速以太網(wǎng)通道〔FEC技術(shù),有效的擴(kuò)展了網(wǎng)絡(luò)的帶寬。這項技術(shù)能夠把2-4個物理鏈路聚合在一起,在全雙工工作模式下達(dá)到400-800M的帶寬,FEC技術(shù)能夠充分利用現(xiàn)有設(shè)備實現(xiàn)高速數(shù)據(jù)傳遞。同時該方案具有結(jié)構(gòu)簡單靈活,非常便于擴(kuò)充。而且所需電纜長度很短,減少了安裝費用,易于布線和維護(hù)工作。3、三層交換與VLAN結(jié)合很多企業(yè)在網(wǎng)絡(luò)設(shè)計初期采用二層交換技術(shù)的網(wǎng)絡(luò)架構(gòu),核心交換機(jī)采用二層交換技術(shù),在原先只有幾十到100多臺工作站的情況下,網(wǎng)絡(luò)性能較理想。但是隨著網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大,工作站增加到200臺左右時,網(wǎng)絡(luò)性能明顯下降。另外,對于這種網(wǎng)絡(luò),很容易發(fā)生諸如網(wǎng)卡故障等原因引起的網(wǎng)絡(luò)廣播風(fēng)暴,而且一旦發(fā)生廣播風(fēng)暴,很難查找故障點,甚至導(dǎo)致網(wǎng)絡(luò)癱瘓,網(wǎng)絡(luò)維護(hù)工作量很大。如果我們采用三層交換技術(shù)的網(wǎng)絡(luò)架構(gòu),同時在局域網(wǎng)內(nèi)劃分若干VLAN〔虛擬網(wǎng)后,網(wǎng)絡(luò)性能將大為改善。這是因為三層交換技術(shù)就是"二層交換技術(shù)+路由轉(zhuǎn)發(fā)"。它解決了二層交換技術(shù)不能處理不同IP子網(wǎng)之間的數(shù)據(jù)交換的缺點,又解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。再配合VLAN技術(shù)將將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個不同的網(wǎng)段,從而實現(xiàn)虛擬工作組的技術(shù)。這樣有三個好處：一是提高網(wǎng)絡(luò)安全性,不同VLAN的數(shù)據(jù)不能自由交流,需要接受第三層的檢驗,因此,在一定程度上加強(qiáng)了虛網(wǎng)間的隔離,有效防止外部用戶入侵,提高了安全性。二是隔離廣播信息,劃分VLAN后,廣播域縮小,有利于改善網(wǎng)絡(luò)性能,能夠?qū)V播風(fēng)暴控制在一個VLAN內(nèi)部,同時使網(wǎng)絡(luò)管理趨于簡單。三是增強(qiáng)網(wǎng)絡(luò)應(yīng)用的靈活性,VLAN是在一個有多臺交換機(jī)的局域網(wǎng)中統(tǒng)一設(shè)定的,這使得用戶可以不受所連交換機(jī)的限制,不論用戶節(jié)點移動到局域網(wǎng)中哪一臺交換機(jī)上,只要仍屬于原來的虛網(wǎng),則應(yīng)用環(huán)境沒有任何改變。注：骨干交換機(jī)應(yīng)該采用高帶寬的千兆以上交換機(jī)。因為它是網(wǎng)絡(luò)的樞紐中心,重要性突出。在大中型企業(yè)中核心層設(shè)備采用雙機(jī)冗余熱備份是非常必要的,也可以使用負(fù)載均衡功能,來改善網(wǎng)絡(luò)性能。即兩臺核心交換機(jī)正常情況下都參與工作,當(dāng)其中的任何一臺發(fā)生故障時,另外一臺可以自動、無縫地接管它的工作,無需人工干預(yù)故障切換。全面提高網(wǎng)絡(luò)對突發(fā)事故的自動容錯能力,最小化網(wǎng)絡(luò)的失效時間。4、企業(yè)網(wǎng)管軟件企業(yè)網(wǎng)絡(luò)架構(gòu)在經(jīng)過以上三個步驟的部署以后比較完善了,但是還缺乏有效的企業(yè)網(wǎng)絡(luò)管理軟件來對網(wǎng)絡(luò)設(shè)備進(jìn)行管理,針對這種情況我們可以配置一套"方正網(wǎng)略網(wǎng)絡(luò)架構(gòu)管理系統(tǒng)",它在整合了傳統(tǒng)網(wǎng)管軟件功能的同時,重點突出了方便、實用的特點,幫助企業(yè)管理人員維護(hù)好自身的網(wǎng)絡(luò)。通過對網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)狀態(tài)的分析、設(shè)備性能的監(jiān)測以及各種故障事件的診斷和快速修復(fù),為企業(yè)提供一個穩(wěn)定可靠的網(wǎng)絡(luò)環(huán)境。方正網(wǎng)略NetInWayPro充分考慮了當(dāng)前企業(yè)級網(wǎng)管軟件的用戶需求,將系統(tǒng)分為以下四大功能模塊,每個模塊的功能如下：☆I(lǐng)P管理〔網(wǎng)絡(luò)IP資源保護(hù)、非法IP接入阻斷、定期統(tǒng)計IP使用情況,回收長期不使用IP☆設(shè)備管理〔網(wǎng)絡(luò)拓?fù)渥詣由?、遠(yuǎn)程查詢網(wǎng)絡(luò)設(shè)備的資源使用情況和網(wǎng)絡(luò)設(shè)備連接狀況☆性能分析〔網(wǎng)絡(luò)流量的圖形化顯示、實時監(jiān)控設(shè)備端口的PPS、對內(nèi)網(wǎng)有害流量進(jìn)行阻斷☆故障管理〔檢測IP故障、設(shè)備故障、流量故障、蠕蟲故障NetInWayPro版本采用了簡單明了的用戶界面,如下圖所示。在此用戶界面中,把主要功能〔IP管理、設(shè)備管理、性能分析、故障管理包含在同一界面中,方便用戶使用?，F(xiàn)在對方正網(wǎng)略NetInWayPro做個簡單介紹：1、IP管理全面了解整個網(wǎng)絡(luò)的設(shè)備運(yùn)行情況、IP地址資源使用情況,對IP地址資源進(jìn)行有效的管理。對接入網(wǎng)絡(luò)的計算機(jī)進(jìn)行認(rèn)證和管理,禁止未認(rèn)證的計算機(jī)私自接入網(wǎng)絡(luò),保障網(wǎng)絡(luò)的安全運(yùn)行。方便的IP地址資源分配管理、實時的IP故障監(jiān)測與報警、有效的故障響應(yīng)策略,使企業(yè)真正感受和掌握網(wǎng)絡(luò)資源的運(yùn)動脈搏！對于新入網(wǎng)的設(shè)備,在入網(wǎng)申請到IP地址的時候,系統(tǒng)將記錄并根據(jù)此設(shè)備的使用情況。如果此設(shè)備想占用網(wǎng)絡(luò)中已經(jīng)被使用的IP,系統(tǒng)將產(chǎn)生報警,如下圖所示：2、設(shè)備管理NetInWayPro提供了對網(wǎng)絡(luò)重要設(shè)備的系統(tǒng)信息、流量信息進(jìn)行監(jiān)控和管理的功能,設(shè)備管理的主要功能如下：☆支持網(wǎng)絡(luò)視圖功能,自動搜索網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),并生成網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；☆網(wǎng)絡(luò)設(shè)備〔路由器、交換機(jī)、服務(wù)器、打印機(jī)等進(jìn)行實時狀態(tài)監(jiān)控；☆遠(yuǎn)程查詢服務(wù)器的CPU、內(nèi)存以及硬盤的利用率和內(nèi)存中的運(yùn)行進(jìn)程信息；☆遠(yuǎn)程查詢網(wǎng)絡(luò)設(shè)備的連接狀態(tài)、Hop數(shù)目、連接路徑情況等信息；☆監(jiān)控網(wǎng)絡(luò)設(shè)備端口的PPS,及時檢測和阻斷蠕蟲或內(nèi)網(wǎng)異常流量猛增設(shè)備。在設(shè)備管理中,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用圖示方式表示,拓?fù)浣Y(jié)構(gòu)自動發(fā)現(xiàn),企業(yè)網(wǎng)絡(luò)架構(gòu)一目了然；同時可以迅速的看出網(wǎng)絡(luò)的狀態(tài)〔正常或故障等。對于超過臨界值或請求PPS無應(yīng)答時,節(jié)點顏色將變紅,并被隔離。及時把握網(wǎng)絡(luò)拓?fù)浜凸?jié)點的改變；圖形化的網(wǎng)絡(luò)統(tǒng)計數(shù)據(jù)顯示,有助于規(guī)劃長期網(wǎng)絡(luò)發(fā)展。同時,NetInWayPro還可以全天候24小時監(jiān)控數(shù)千個網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài),如應(yīng)答時間、損失率、生存時間等,如檢測到故障,將實時報警并通知管理者。3、性能分析NetInWayPro性能分析是以SNMP為基礎(chǔ),執(zhí)行網(wǎng)絡(luò)監(jiān)控。監(jiān)控信息是以日、周、月、年為周期記錄日志。性能分析包括：網(wǎng)絡(luò)流量監(jiān)控和實時網(wǎng)絡(luò)利用率查詢。性能分析模塊對網(wǎng)絡(luò)設(shè)備和鏈路情況進(jìn)行實時監(jiān)測,及時發(fā)現(xiàn)和處理網(wǎng)絡(luò)故障；對出現(xiàn)故障的節(jié)點進(jìn)行隔離,引導(dǎo)管理員快速定位、排除網(wǎng)絡(luò)故障；自動生成帶寬使用情況的圖表,用于長期趨勢分析和制定帶寬使用計劃,并可優(yōu)化自身的網(wǎng)絡(luò)應(yīng)用,根據(jù)所提供的精確而及時的數(shù)據(jù)作出軟硬件升級計劃的決定。4、故障管理NetInWayPro故障管理完成網(wǎng)絡(luò)故障〔IP故障、設(shè)備故障、流量故障、WDI故障的及時發(fā)現(xiàn)和報警,具體功能如下：☆故障瀏覽及定期刷新☆故障分類、排序、統(tǒng)計☆故障報警,并通知管理員☆瀏覽故障的用戶權(quán)限管理☆條件查詢歷史故障功能NetInWayPro提供了各種詳細(xì)報告〔IP狀態(tài)報告書、設(shè)備狀態(tài)報告書、流量分析報告書、故障情況報告書的多種模板。在完成了上述四個步驟的部署之后就完成了企業(yè)網(wǎng)絡(luò)架構(gòu)的完整設(shè)計方案,接下來將對企業(yè)網(wǎng)絡(luò)信息安全整體解決方案的其他部分進(jìn)行闡述。二、構(gòu)建全方位的數(shù)據(jù)泄漏防護(hù)系統(tǒng)近年來,泄密案件日益成為企業(yè)管理者的夢魘。各種數(shù)據(jù)泄露事件越演越烈,不僅給企業(yè)帶來嚴(yán)重的直接經(jīng)濟(jì)損失,而且在品牌價值、投資人關(guān)系、社會公眾形象等多方面造成損害。為防止數(shù)據(jù)外泄,企業(yè)往往不惜花巨資購進(jìn)防火墻、入侵檢測、防病毒、漏洞掃描等網(wǎng)絡(luò)安全產(chǎn)品,以為可以高枕無憂了。其實,這種想法是錯誤而且極其危險的。FBI和CSI對484家公司進(jìn)行了網(wǎng)絡(luò)安全專項調(diào)查,調(diào)查結(jié)果顯示：超過85%的安全威脅來自公司內(nèi)部。在損失金額上,由于內(nèi)部人員泄密導(dǎo)致了6056.5萬美元的損失,是黑客造成損失的16倍,是病毒造成損失的12倍。因此,企業(yè)在加強(qiáng)網(wǎng)絡(luò)安全建設(shè)和信息安全管理的基礎(chǔ)上,必須采用先進(jìn)的數(shù)據(jù)泄露防護(hù)<DLP>體系防止企業(yè)敏感資料泄密。在經(jīng)過之前幾個月時間對各種防泄密產(chǎn)品的了解、測試,建議采用巨石數(shù)據(jù)泄露防護(hù)系統(tǒng)。它基于"事前防范,事中控制,事后審計"的基本思路,以密碼技術(shù)為支撐、以身份認(rèn)證為基礎(chǔ)、以數(shù)據(jù)安全為核心、以監(jiān)控審計為依據(jù),通過對數(shù)據(jù)的創(chuàng)建、流轉(zhuǎn)、銷毀的全過程監(jiān)控,從數(shù)據(jù)存儲、網(wǎng)絡(luò)傳輸?shù)葘用嬷?覆蓋數(shù)據(jù)安全的各個方面,構(gòu)建全方位的數(shù)據(jù)泄漏防護(hù)系統(tǒng)。各子系統(tǒng)功能簡介：數(shù)據(jù)存儲安全文檔安全管理系統(tǒng)HS-Key采用透明加解密技術(shù),在不知不覺中自動完成文件加密?？茖W(xué)、完善的解密審批流程,防止機(jī)密文件非法外泄。精確控制外發(fā)出去的文件的使用權(quán)限,不再"覆水難收"精細(xì)的文件權(quán)限控制,確保加密文件的合法使用企業(yè)U盤認(rèn)證系統(tǒng)HS-UCS完善的U盤認(rèn)證體系,防止未認(rèn)證的U盤在企業(yè)內(nèi)部使用。文件打印安全打印監(jiān)控系統(tǒng)HS-PrtMon支持打印內(nèi)容監(jiān)控,提供全方位的打印監(jiān)控和打印管理功能十幾種報表類型從費用、負(fù)荷等全方面反映打印情況。文檔安全管理系統(tǒng)實現(xiàn)功能HS-Key是HS-DLP體系的基礎(chǔ)核心軟件,用于對企業(yè)的機(jī)密文件資料進(jìn)行加密保護(hù),有效防止員工主動泄密或無意間的數(shù)據(jù)泄露。HS-Key通過文件加密、權(quán)限管理、流程管理,以及與AD域和企業(yè)現(xiàn)有的管理系統(tǒng)的緊密結(jié)合,來達(dá)到企業(yè)對文件安全性和管理人性化的雙重要求。文檔安全管理系統(tǒng)功能特點：功能特點說明文件自動加密,無需人工干預(yù)HS-Key采用透明加解密技術(shù),可以在用戶沒有感覺的情況下,完成文件的自動加密。精細(xì)權(quán)限控制,控制文件流轉(zhuǎn)既可控制文件內(nèi)容復(fù)制、拖拽、打印、截屏等操作。也可對文件〔本地磁盤\網(wǎng)絡(luò)磁盤\移動磁盤文件等和文件夾的操作進(jìn)行分權(quán)限/分級/分用戶控制。集成管理系統(tǒng),完美融合流程可與Windows域用戶完美結(jié)合。同時可以和企業(yè)的OA/PDM/ERP等管理系統(tǒng)進(jìn)行緊密的集成,進(jìn)行組織架構(gòu)的導(dǎo)入\同步,工作流程融合等。開放策略管理,輕松擴(kuò)展需求用戶可根據(jù)需求,任意添加需加密監(jiān)控的應(yīng)用程序和文件類型,無需二次開發(fā)即可適應(yīng)未來環(huán)境,為用戶節(jié)約投資成本。解密審批流程,貼合企業(yè)管理加密文件或郵件附件,必須經(jīng)過解密審批流程或者郵件解密流程方能正常完成解密外發(fā)。外發(fā)文件控制,覆水亦可收回可以對外發(fā)離開企業(yè)的文件的讀寫權(quán)限、打開次數(shù)、打開時間、復(fù)制截屏等操作權(quán)限進(jìn)行精確控制。強(qiáng)制或不強(qiáng)制,部門區(qū)別對待可以根據(jù)不同部門的加密需求選擇是否強(qiáng)制加密,如技術(shù)部門可以強(qiáng)制進(jìn)行全盤加密,銷售部門可以有選擇的加密。黑白名單功能,加強(qiáng)安全管理可對信任的郵箱設(shè)置為白名單,加密文件發(fā)往白名單郵箱時自動解密,發(fā)往黑名單郵件時自動拒絕發(fā)送；可對與工作無關(guān)的聊天程序、游戲等程序做控制,禁止運(yùn)行和啟動,實現(xiàn)應(yīng)用程序黑白名單的管理效果。離網(wǎng)工作控制,外出亦可控制有效控制離網(wǎng)工作電腦的使用權(quán)限,并可配合加密狗來實現(xiàn)指定的管控功能。日志審計功能,追溯安全責(zé)任提供完善的事后追查和操作日志檢索功能,對于所有可能造成文件泄密的途徑都可進(jìn)行追蹤和篩查。文檔安全管理系統(tǒng)實施部署圖：企業(yè)U盤認(rèn)證系統(tǒng)實現(xiàn)功能U盤的安全認(rèn)證可以有效防止非法U盤在企業(yè)〔或政府內(nèi)部的使用而導(dǎo)致的泄密問題。UCS系統(tǒng)采用了先進(jìn)的WDM驅(qū)動技術(shù)、加密技術(shù)和磁盤讀寫權(quán)限控制技術(shù),集U盤身份識別、數(shù)據(jù)加密和權(quán)限控制功能為一體,是目前功能最強(qiáng)大、安全性最高的U盤認(rèn)證系統(tǒng)之一。企業(yè)U盤認(rèn)證系統(tǒng)功能特點：功能特點說明安全U盤制作將任何的普通U盤轉(zhuǎn)換為一個具有身份標(biāo)識,并且具有加密功能的U盤。該U盤插入到普通未授權(quán)的計算機(jī)中,U盤內(nèi)容無法讀取。U盤智能識別可自動識別普通U盤和授權(quán)認(rèn)證U盤,未經(jīng)授權(quán)認(rèn)證的U盤無法在電腦上使用；U盤身份識別經(jīng)過認(rèn)證的U盤使用時,必須再次輸入密碼,驗證通過后方能正常使用；U盤統(tǒng)一管理所有經(jīng)過認(rèn)證的U盤在使用時,都可以通過總控臺進(jìn)行監(jiān)控和記錄；外網(wǎng)限制使用當(dāng)安全U盤帶回家中,由于無法進(jìn)行身份認(rèn)證,所以無法正常使用。U盤使用權(quán)限控制控制指定的計算機(jī)對于U盤的只讀\禁止使用權(quán)限。企業(yè)U盤認(rèn)證系統(tǒng)實施部署圖：打印監(jiān)控系統(tǒng)實現(xiàn)功能Web方式的打印監(jiān)控系統(tǒng),支持打印內(nèi)容監(jiān)控,提供全方位的打印監(jiān)控和打印管理功能。十幾種報表類型從費用、負(fù)荷等全方面反映打印情況。完善的設(shè)定,可以讓企業(yè)在發(fā)生數(shù)據(jù)泄密時追溯到源頭。打印監(jiān)控系統(tǒng)主要功能特點：功能特點說明打印事件記錄記錄每次打印的服務(wù)器、打印機(jī)、文檔名、用戶、計算機(jī)、打印字節(jié)數(shù)、打印頁數(shù)、打印時間、紙張大小、色彩、打印費用等信息。打印內(nèi)容保存·完整保存每次打印任務(wù)的全部內(nèi)容為Tiff圖像格式；·可設(shè)定某打印機(jī)是否需要保存內(nèi)容及保存的分辨率；·可設(shè)定某些用戶的打印內(nèi)容不要保存,哪怕是打印到設(shè)定為需要保存內(nèi)容的打印機(jī)上；·非PCL和PostScript打印機(jī)提供打印內(nèi)容保存,可在打印機(jī)上重新打印還原；客戶端認(rèn)證·支持客戶端打印時彈窗輸入用戶名和密碼認(rèn)證；·支持客戶端一機(jī)多用戶〔多人共用一臺電腦的打印監(jiān)控和計費；·支持按照打印項目進(jìn)行認(rèn)證、監(jiān)控和計費；用戶配額·設(shè)定固定配額和按照年、季、月、周、日打印配額；·置透支方案,按照比例或金額設(shè)定透支上限；打印事件提醒·可設(shè)定在打印開始、打印成功和打印失敗時提醒打印人；·提醒方式支持Windows系統(tǒng)消息；查詢與報表·打印日志查詢,可按時間段、文檔名、用戶名、計算機(jī)名和打印機(jī)名；·匯總統(tǒng)計報表,提供交叉表和主從表分析,提供表格形式的匯總報表,支持導(dǎo)出成Excel格式；·任務(wù)分析報表,具體有文件類型打印統(tǒng)計、打印的頁數(shù)統(tǒng)計、紙張大小統(tǒng)計、打印色彩統(tǒng)計和打印方式統(tǒng)計；·負(fù)荷分析報表,具體有打印機(jī)日志統(tǒng)計、打印服務(wù)器日志統(tǒng)計、計算機(jī)打印日志統(tǒng)計和用戶打印統(tǒng)計；·時間分析報表,具體有24小時、天、周、季和年度分布分布；集中管理、認(rèn)證計費·任意多臺打印機(jī)均可納入管理,實現(xiàn)集中管理、集中認(rèn)證計費,方便用戶對打印資源的集中管理和成本控制；·多級權(quán)限管理,靈活分配不同功能、不同角色的管理帳戶；打印簽核·用戶的打印任務(wù)必須經(jīng)過管理員查看打印內(nèi)容,批準(zhǔn)后才送往打印機(jī),適合敏感信息和高成本打印機(jī)的全面監(jiān)控打印內(nèi)容存儲備份〔附加模塊。打印內(nèi)容存儲備份可以時時將保存的打印內(nèi)容進(jìn)行自動存貯備份,便于打印安全存檔和防災(zāi)。在企業(yè)內(nèi)部部署了HS-DLP體系套件之后,所有敏感、機(jī)密的數(shù)據(jù)都被透明加密與外部之間設(shè)了一道安全屏障。即使數(shù)據(jù)被員工以打印的方式帶出,也可以通過打印監(jiān)控系統(tǒng)執(zhí)行倒查機(jī)制找出泄密的源頭。這樣就可以從多方面、最大限度的杜絕敏感、機(jī)密數(shù)據(jù)泄漏事件的發(fā)生幾率,降低企業(yè)的損失。三、建立一體化的本地/異地備份與容災(zāi)體系隨著企業(yè)對于數(shù)據(jù)可用性的依賴性越來越高,數(shù)據(jù)已成為企業(yè)最為寶貴的財富。要保證企業(yè)業(yè)務(wù)持續(xù)的運(yùn)作和成功,就要保護(hù)基于計算機(jī)的信息。但是由于自然災(zāi)難或是人為錯誤引發(fā)的業(yè)務(wù)宕機(jī)給企業(yè)造成無可估量的損失,不能被企業(yè)所接受。因此,為企業(yè)的信息系統(tǒng)建立起有效的備份與容災(zāi)體系,在發(fā)生各類災(zāi)難時快速響應(yīng)、全力保證業(yè)務(wù)連續(xù)性,成為保證企業(yè)連續(xù)運(yùn)營的關(guān)鍵。美國飛康CDP備份/容災(zāi)一體化解決方案,徹底改變了傳統(tǒng)的數(shù)據(jù)備份及災(zāi)難恢復(fù)方式,全面整合了數(shù)據(jù)備份、系統(tǒng)恢復(fù)、災(zāi)難恢復(fù)、本地及異地容災(zāi)等多項功能。無論企業(yè)的應(yīng)用服務(wù)器發(fā)生任何意外,例如,惡意的程序破壞、文件損毀、人為誤刪誤改、操作系統(tǒng)宕機(jī)、硬件故障,甚至整個機(jī)房毀于意外,都可以完整保護(hù)整個信息系統(tǒng),徹底解決所有傳統(tǒng)備份與容災(zāi)難題。幫助企業(yè)最大程度的使數(shù)據(jù)丟失最少<RPO>,業(yè)務(wù)中斷時間最短<RTO>。飛康CDP備份/容災(zāi)一體化解決方案的特點：☆1分鐘立即驗證并恢復(fù)備份傳統(tǒng)備份機(jī)制只能從備份紀(jì)錄中確認(rèn)備份工作執(zhí)行成功,卻不能保證數(shù)據(jù)能夠用于正確恢復(fù)。飛康CDP在主機(jī)端就能快速轉(zhuǎn)換為快照磁盤并瀏覽快照內(nèi)容,通過iSCSI及FC與應(yīng)用服務(wù)器連結(jié),一分鐘內(nèi)就能檢查快照磁盤里的文件內(nèi)容,并直接加載數(shù)據(jù)庫系統(tǒng)進(jìn)行數(shù)據(jù)比對和恢復(fù)驗證,完全不需要耗時的數(shù)據(jù)回存過程,或占用服務(wù)器本身的磁盤空間,影響系統(tǒng)運(yùn)行。☆5分鐘恢復(fù)中斷的業(yè)務(wù)系統(tǒng)傳統(tǒng)備份機(jī)制保護(hù)下的服務(wù)器,一旦發(fā)生黑客/病毒攻擊、打補(bǔ)丁造成系統(tǒng)不穩(wěn)定、系統(tǒng)崩潰,就必須經(jīng)過繁復(fù)且冗長的回存過程,才能讓系統(tǒng)恢復(fù)正常運(yùn)行。利用飛康CDP的SANBoot功能,可以在意外發(fā)生后,通過安裝在應(yīng)用服務(wù)器上的FCHBA或iSCSIHBA,在應(yīng)用服務(wù)器重新開機(jī)后接手本機(jī)硬盤,5分鐘內(nèi)就能恢復(fù)系統(tǒng)正常運(yùn)行,無需重新安裝操作系統(tǒng)和數(shù)據(jù)恢復(fù)過程?！?0鐘讓故障服務(wù)器恢復(fù)運(yùn)行當(dāng)服務(wù)器因主板等硬件故障或遭遇自然災(zāi)害,導(dǎo)致整臺服務(wù)器無法運(yùn)行時,必須送修或更換備機(jī),相當(dāng)耗時費力。飛康CDP利用虛擬服務(wù)器<如VMware>作為恢復(fù)平臺,采用P2V恢復(fù)機(jī)制,將CDP管理器內(nèi)的磁盤快照,通過iSCSI直接提供給虛擬機(jī)使用,無需冗長的文件系統(tǒng)轉(zhuǎn)換過程,更不用考慮硬件與驅(qū)動程序的兼容性,10分鐘內(nèi)就能從虛擬機(jī)上啟動系統(tǒng),快速恢復(fù)服務(wù)。四、建立防火墻、防入侵及一體化安全網(wǎng)關(guān)解決方案由于在現(xiàn)今的網(wǎng)絡(luò)環(huán)境下,計算機(jī)病毒有不可估量的威脅性和破壞力,因為病毒在網(wǎng)絡(luò)中存儲、傳播、感染的方式各異且途徑多種多樣,因此計算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。企業(yè)應(yīng)該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系。除了部署全網(wǎng)統(tǒng)一集中管理的網(wǎng)絡(luò)版殺毒軟件之外,還要在內(nèi)部網(wǎng)與外部網(wǎng)之間,設(shè)置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制。兩者相輔相成是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時也是最有效、最經(jīng)濟(jì)的措施。對于為什么在部署了網(wǎng)絡(luò)版殺毒軟件之后還要設(shè)置防火墻,可以這么理解：殺毒軟件之所以能殺毒,純粹是根據(jù)病毒樣本的代碼特征來識別是否是病毒,但是對于未知的病毒或變種的病毒,由于這些病毒木馬的特征沒有被殺毒軟件所掌握,因此殺毒軟件對它們既不能報警,也無法剿殺。所以我們就需要設(shè)置防火墻來守護(hù)企業(yè)網(wǎng)絡(luò)的大門〔出入口。舉個直觀的例子：企業(yè)內(nèi)部網(wǎng)絡(luò)就好比是座城堡,網(wǎng)絡(luò)管理員是這個城堡的最高統(tǒng)帥,殺毒軟件和防火墻是負(fù)責(zé)安全的警衛(wèi),各有分工。殺毒軟件負(fù)責(zé)對進(jìn)入城堡的人進(jìn)行身份鑒別,如果發(fā)現(xiàn)可疑人物就隔離或者直接殺除；而防火墻則是門衛(wèi),掌管網(wǎng)絡(luò)的各扇門〔端口,對每一個進(jìn)出城堡的人都進(jìn)行檢查,一旦發(fā)現(xiàn)沒有出入證的人就向網(wǎng)絡(luò)管理員確認(rèn)。因此,任何木馬或間諜軟件,或許可能在殺毒軟件的眼皮底下偷偷記錄用戶帳號和密碼,可是由于防火墻把門看得死死的,再多的信息也傳不出去,從而保護(hù)了企業(yè)網(wǎng)絡(luò)的安全。另外,對于黑客的攻擊,殺毒軟件是沒有任何辦法的,因為黑客的操作不具有任何特征碼,殺毒軟件自然無法識別,而防火墻可以把企業(yè)內(nèi)部網(wǎng)絡(luò)的每個端口都隱藏起來,讓黑客找不到入口,自然也就保證了企業(yè)網(wǎng)絡(luò)的安全。針對上述情況,我們可以在企業(yè)服務(wù)器上部署趨勢科技防毒墻-服務(wù)器版〔SP,監(jiān)控和查殺網(wǎng)絡(luò)內(nèi)部的病毒、木馬。同時在網(wǎng)關(guān)處設(shè)置瞻博〔JuniperSSG-320M-SH硬件防火墻對進(jìn)出的信息進(jìn)行安全過濾,以此構(gòu)建安全、無毒的局域網(wǎng)絡(luò)。趨勢科技防毒墻-服務(wù)器版〔SP的產(chǎn)品架構(gòu)：ServerProtect是通過一個3層的結(jié)構(gòu)為網(wǎng)絡(luò)提供病毒防護(hù)：管理控制臺、信息服務(wù)器、標(biāo)準(zhǔn)服務(wù)器。管理員可以利用管理控制臺配置信息服務(wù)器〔IS,然后利用信息服務(wù)器控制IS域內(nèi)的標(biāo)準(zhǔn)服務(wù)器。產(chǎn)品主要功能與特性：☆三層式架構(gòu)執(zhí)行遠(yuǎn)程管理☆內(nèi)建完整的說明功能☆工作管理導(dǎo)向作業(yè)☆支持趨勢EPS企業(yè)安全防護(hù)策略☆智能型處理行動☆智能型掃描服務(wù)☆目錄或文件寫保護(hù)功能☆趨勢TSC系統(tǒng)病毒清除程序☆集中式局域網(wǎng)管理Juniper防火墻介紹：Juniper提供了可擴(kuò)展的網(wǎng)絡(luò)安全解決方案,適用于包括寬帶移動用戶、中小型企業(yè)Internet邊界、大型企業(yè)的內(nèi)部網(wǎng)絡(luò)安全域劃分和控制,以至電子商務(wù)網(wǎng)站的服務(wù)器保護(hù)等等。Juniper全功能防火墻采用實時檢測技術(shù),可以防止入侵者和拒絕服務(wù)<denial-of-service>的攻擊。同時,Juniper與國際各大品牌廠商合作提供多種領(lǐng)先的安全技術(shù)的集成,包括深層檢測功能〔Juniper、防病毒〔卡巴斯基、垃圾郵件過濾〔賽門鐵克、和網(wǎng)頁過濾〔美訊智4種,并且可以提供試用的臨時許可license,可以讓用戶在一定時間內(nèi)下載特征庫及使用該內(nèi)容安全更新。過了試用期后,用戶必須定購年度服務(wù)來獲得最新的入侵防護(hù)攻擊庫、病毒庫、并得到垃圾郵件和網(wǎng)頁過濾的定時更新。Juniper防火墻功能特點：深層檢測功能：深層檢測功能〔DeepInspection,簡稱DI是Juniper的防火墻操作系統(tǒng)ScreenOS里集成的一個專門對網(wǎng)絡(luò)流量里的應(yīng)用層攻擊〔包括網(wǎng)絡(luò)蠕蟲、木馬和惡意軟件進(jìn)行檢測的功能,其實就是將Juniper的IPS/IDP的入侵檢測和防護(hù)的功能集成到Juniper防火墻的ScreenOS里面,對會話實施基于狀態(tài)的策略的同時進(jìn)行對應(yīng)用層攻擊特征的匹配,并且作出相應(yīng)的保護(hù)動作。防病毒：防病毒也是一項內(nèi)容保護(hù)不可缺少的部分。深層檢測〔DI是對應(yīng)用層控制字段信息進(jìn)行攻擊特征匹配〔一般是蠕蟲病毒或緩沖區(qū)溢出等攻擊,而防病毒是針對文件里的攜帶的攻擊〔包括間諜軟件、廣告軟件、網(wǎng)絡(luò)釣魚軟件和鍵盤側(cè)錄軟件進(jìn)行匹配的技術(shù),而文件的傳遞一般依靠web、FTP的下載和上傳,以及email附件等。