1、二、信息安全是系统随着信息技术的发展随之而来的是大量的存储数据,越来越多的技术资料被存储于电脑外围设备中,包括硬盘、磁带、光盘等介质中。对很多企业来说,计算机设计的图纸或者作品,已经成为企业的核心技术和命脉,因此,计算机中存储信息的安全,也越来越受到人们的重视。人们采用了各种不同的手段来保护数据的安全,包括使用多个备份来保护数据防止意外丢失而造成损失,使用防火墙保护数据防止外部入侵的攻击,使用防病毒软件防止病毒的破坏,使用严格的管理制度,防止数据外泄等。但是经常发生的情况是,安全投入也不少,但是还是不见效果。原因就在于安全不是简简单单的设备堆积,不是说买几套防火墙或者 IPS 就够了的。安全也
2、不是单纯的技术问题,光靠技术手段无法完全解决安全问题。所以安全尤其是企业信息安全是一整套系统,涵盖了技术系统和管理系统。公司员工要时刻记住信息安全,首先,将信息安全纳入员工考核体系,作为员工选拔的重要参考因素;其次,在日常工作中,加强信息安全的宣传、培训等;再次,通过有效的控制手段、技术保障来贯彻信息安全;最后,实行有效的奖惩制度和相关法律保障。 法律:员工任职期间需要签署保密协议,第三方合作人员必须签署保密协议 奖惩:对于违反信息安全策略的员工,根据情节严重程度进行处罚,包括通报批评,罚款和降薪等措施 培训/宣传:新员工入职和第三方合作人员需要定期学习信息安全策略流程和规定 技术保障:员工离
3、职时收回所有涉及公司业务内容的信息,并立即取消对所有系统的访问权限 考核:将信息安全纳入员工考核体系,作为员工选拔的重要参考因素管理制度跟上之后,就需要有技术手段来执行和监督。信息技术可以避免信息泄漏事件的发生,将泄密事件的可能降到最低,同时也提供事后审计手段,当信息泄漏之后,能够追踪要责任人,调查清楚事件的来龙去脉,为防止以后类似事件发生提供参考。三、H3C 五层安全体系对于企业来讲,商业机密包括了财务数据、客户资料、设计方案和程序代码等等,其他任何数据的丢失都可能给企业带来巨大的损失。企业信息安全体系最终目的就是保护数据安全,不受偶然的或者恶意的原因而遭到破坏、更改、泄露。要切实保护商业机
4、密,需要构建的是整套安全系统,从各个层面各个角度来进行安全保护。H3C 创新性地提出了五层安全体系,从网络安全、终端安全、应用安全、数据安全和环境安全五个层面来构建企业安全平台,将安全威胁彻底拒之于门外。第一层:网络安全终端安全常见问题:非法终端接入网络、终端端口泄密网络边界保护随着企业网络上承载的业务越来越多,越来越重要,构建一个安全、高效的网络环境对企业而言已经是势在必行。但与此同时,蠕虫病毒、黑客攻击、恶意 P2P 流量等等网络威胁却愈演愈烈。H3C 的边界安全解决方案,将高性能的安全设备部署在网络边界上,通过集成和融合使安全设备的综合防御能力不断提升,最大程度地保护网络边界安全。网络边
5、界保护四部曲: 小型规模网络:MSR 路由器充当防火墙功能 中型规模网络:SecPath/SecBlade 防火墙提供 2-4 层包过滤 大中型规模网络:SecPath/ SecBlade IPS 提供 4-7 层安全防护 大型规模网络:部署防火墙、IPS 以及网络产品,安全管理平台进行统一安全管理。内网安全保护在所有的安全事件中,有超过 70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于局域网以纯二层交换环境为主、节点数量多、分布复杂等原因,一直以来也都是安全建设的难点。基于 H3C 在以太网安全领域积累
6、的大量经验,在 H3C 交换机产品中提供了大量的安全特性,可以充分保障局域网的安全。H3C 局域网交换机的安全特性包括: 防 DDOS 攻击 防蠕虫病毒 接入安全技术防 IP 伪装 防中间人攻击STP Root / BPDU 保护 防 ARP 欺骗 DHCP server 保护 路由协议攻击防护能力通过部署 H3C 局域网交换机,同时开启相关的安全功能,进行内网安全保护,可以有效的将病毒和攻击扼杀在摇篮里。第二层:终端安全终端安全常见问题:非法终端接入网络、终端端口泄密终端接入安全普通企业网络不对接入电脑进行认证,外部人员携带电脑进入公司办公区,可随意接入公司网络,访问内网资源,这样直接导致公
7、司机密文件被外部人员访问甚至带出,后果非常危险。H3C 的 EAD 端点准入防御系统能对登录内网的用户进行唯一性身份认证,限制非法终端或非授权、外来用户接入随意使用网络,同时禁止任何方式(包括使用拨号、双网卡等)使终端一台计算机同时可访问办公、业务网和 Internet。为了确保只有符合企业安全标准的用户接入网络,EAD 通过交换机的配合,强制用户在接入网络前通过 802.1x 方式进行身份认证和安全状态评估。EAD 方案同时通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对局域网安全的损害,避免“易感”终端受病毒、
8、蠕虫的攻击,从而大幅度提升了局域网抵御新兴安全威胁的能力。终端端口安全通过移动存储介质带出文件是主要的信息泄漏途径之一,因此 PC 终端的存储媒体、介质信息泄漏防护也是非常重要的功能。利用第三方防水墙,可以进行存储媒体、介质防护,包括软盘存储器防护,可移动存储器防护和 CD-ROM 防护。其中可移动存储器包括 USB 接口的所有可移动存储设备,包括 U 盘、移动硬盘。通过电脑终端的端口控制,将容易泄密的端口全面进行,可以达到最佳预防效果。第三层:应用安全互联网应用安全:随着网络的发展,基于互联网的应用也越来越普及,像 QQ、MSN、BT 等即时通信工具和 P2P 工具都成了现代人生活的必备工具
9、,然而 MSN,QQ,BT 等工具现在也成了很多企业 CIO 们最挠头的问题。首先 QQ/MSN 在企业中使用很容易造成文件泄密,QQ/MSN 都具备点对点传输文件的功能,网管员很难监控,所以经常有通过 QQ/MSN 等工具传输部门机密文件的事件发生。BT、电驴、ftp 等工具也有这种文件泄密的可能。另外这些互联网应用还容易影响工具效率,甚至感染病毒。所以企业中通常需要对即时通信工具或者 P2P 工具进行管控,限制甚至禁止他们的运行,以确保互联网应用安全。限制互联网应用有两种方式:一种是在出口设备处进行控制,另一种是在PC 机上进行控制。在出口设备上,可以选择 MSR 路由器或者 Secpat
10、h 防火墙,通过端口和 IP 地址等策略限制 QQ/MSN/BT 等应用。如果需要更好、更多、更快地进行限制,可以选择部署 ACG 应用控制网关,通过对应用的协议特征码深入分析来限制,限制的应用种类更多。另外可以在 PC 终端处进行限制,当机器运行 EAD 认证时,程序先检查系统有没有运行 QQ.exe、MSN.exe 等进程,如果有运行,则可强制其下线,禁止其接入网络。当前这需要在 EAD 服务器端设置相应的策略,在“可控制软件管理”中将需要禁止运行的进程加入到“可控制软件列表”当中。这样就从根源上面断绝了容易泄密的互联网工具的使用。邮件审计目前电子邮件已经成为人们最重要的沟通方式。电子邮件
11、快捷、方便的特点已经成为企业与外部沟通的最有效的方式之一。企业内部大量的信息都通过电子邮件方式发送到外部,因而电子邮件也成为泄漏企业重要信息的重要途径之一。在企业中为了保证电子沟通安全,通常要部署电子邮件审计系统,对于邮件中的敏感字、关键字进行过滤,或者延迟发送,待管理员审核。对于已经发出的邮件,需要进行事后审计发件人、发送时间、发送主题、内容和附件,万一发生电子邮件泄密事件,可以进行追溯,追究到责任人。H3C 的 ACG 提供了 Email 的监控与审计功能,可以部署在网络出口,对 E-mail 行为进行策略设置,同时保留日志进行日后审计。第四层:数据安全服务器备份方式将重要数据的计算和存储
12、放在一台设备中,带来了很多的安全隐患。其一,服务器承载的应用种类日益复杂,升级维护更趋频繁;相应的,新业务系统带来的磁盘扩容也是家常便饭。两者各自的操作都会让对方业务中断,更可能给对方带来致命的灾难。其二,病毒和误操作等导致数据丢失往往发生在不经意之间。数据如果不能精确地恢复到故障刚刚发生之前,那和没有恢复其实也没什么两样了。将数据的计算和存储相分离,采用数据的集中存储和快照多时间点保护等IP 存储技术,已成为数据安全防护的趋势。H3C 提出的 IP 存储整合解决方案,利用 IP 存储设备构建起一个同时兼顾在线存储与近线备份的 CDP 连续数据保护平台,在实现高可靠、高性能的在线集中存储的同时
13、,保证了近线备份存储的高效与安全,为企业业务的连续性与数据的安全保护与恢复提供了坚实基础。企业利用 H3C 的 IP 存储解决方案,可以轻松实现主机系统和数据保护,对企业重要在线数据盘实时、多时间点保护,一旦出现故障,在 10 分钟内恢复数据和业务。第五层:环境安全企业安放工作也是信息安全的内容之一,下班时间外人直接进入办公环境,盗窃文件或者盗窃笔记本电脑、服务器等硬件设备,存储在其中的机密文件也会相应丢失,所以一般企业都会上视频监控系统,并且照片相应的管理员,随时随地监视办公室的人流情况。但传统监控的缺陷一直是企事业单位主管的心结。传统监控不仅图像差,检索麻烦,关键是过分依赖使用者本人的责任
14、心。而且即使再有责任心的人,整天面对大量重复单调的监控画面也会大大降低敏感度。如何利用新技术提高监控系统的可靠性,切实保障办公环境安全,减少财务丢失,更好地提升公司管理效率,是每个希望提升信息部门在公司地位的CIO 需要考虑的现实问题。IP 网络让监控画面可同步传给保卫科、公安和消防部门,单位主管在家也能现场指挥处理;IP 存储基于数据块的实时备份,使得保卫人员可以随意调阅案发前的所有情况,哪怕就是一分钟之前的情况。在企业实际使用中,可以在下班以后在资料室或者其他有保密资料存放的地方开启 IP 智能监控功能,当这个区域出现出现人的时候,监控系统自动报警,可以发邮件给管理员,或者发短信给管理员,
15、这样管理员在家里可直接打开监控页面,察看当时的情况。网络安全、终端安全、应用安全、数据安全和环境安全五个层面的安全体系保障了企业机密信息和数据的安全,实现了信息安全的“四不原则”。1. 进不来,通过物理隔离等手段,阻止非授权用户进入网络2. 拿不走,使用屏蔽、防下载机制,实现对用户的权限控制3. 读不懂,通过认证和加密技术,确信信息不暴露给未经授权的人或程序4. 跑不掉,使用日志、安全审计、监控技术追踪进攻者,并通过证据的保存使得攻击者不能抵赖自己的行为H3C 在五层安全体系分别提供了相应的产品和解决方案,企业根据自身的现状进行信息安全整体规划,然后安全不同阶段来分步实施,以保证信息安全投资的
16、高效利用。四、H3C 为企业安全保驾护航经过多年的高速发展,H3C 已成为 IT 安全领域的领导者之一,市场份额占据国内第二位;其中,H3C IPS 产品已处于国内绝对领先地位。H3C 在 ItoIP 核心战略的指引下,逐步形成了覆盖计算安全、通信安全及数据安全的端到端安全解决方案,并推出包括安全交换机、路由器、防火墙/VPN、UTM、IPS、应用优化与控制、EAD、安全评估与咨询以及安全管理中心在内的业界最完整的安全产品线。2007 年,H3C 安全以“专业安全、应用为本”为发展理念,推出了 OAA 系列业务模块和以 IPS、异常流量清洗 AFC、应用控制网关 ACG 等为代表的全系列4-7
17、 层产品,这标志着 H3C 对应用层安全前沿技术的理解和精通;2007 年 8 月,H3C 推出全球首款万兆防火墙模块 SecBlade FW,使 H3C 成为能提供万兆高端安全平台的少数厂商之一。目前,H3C 正努力通过先进的安全管理平台,制定有效的安全策略和联动机制,对安全事件进行统一响应和处理,实现从局部安全、全局安全上升到智能安全的阶段性跨越。H3C 安全完善的技术解决方案与以上产品相配合,已规模应用于政府、金融以及电信等行业。成功应用于交通部、人事部、劳动部、中国农业银行、中国人寿、国家电网公司、中国石化、中国石油、国家大剧院、新华社、国家金融交易平台、中国网通集团、上海电信、浙江移动等,并得到广泛认可。同时,与微软、Intel、卡巴斯基、CommTouch、SecureComputing 等众多业内知名厂商,建立最广泛的合作,通过兼容、认证和联盟等方式,共同为用户提供最佳的 IT 安全解决方案。如您需进一步了解,请点 售前咨询
