参照业界国内外信息安全标准,如ISO27001、等级保护,结合客户信息化现状,为客户提供信息安全整体建设实操指引,构建系统化的信息安全防护体系,保障业务应用安全、稳定、高效地运行。

Image module
Image module

互联网的使用为企业的对外交互,信息获取提供了便利,缩短了企业与外界的距离。同时,互联网也给企业带来了网络资源滥用、非授权使用、无意间触发威胁、恶意企图、办公效率降低等一系列的安全和管理问题,上网行为管理解决方案将有效解决困扰企业的这些问题。

问题聚焦:

互联网的使用为企业的对外交互,信息获取提供了便利,缩短了企业与外界的距离。同时,互联网也给企业带来了一系列的管理问题:
1. 网络资源的滥用:
员工随意使用网络存取、是内外信息没有了边界。员工随意滥用带宽(流媒体使用、网络收音机等),耗费企业的网络资源。
2. 非授权使用:
虽然很多企业都限制使用诸如即时聊天、P2P传输等网络应用,但是没有有效地手段进行监管和控制。
3. 无意间触发的威胁:
员工没有自我保护意识和技能,在使用网络过程中往往成为间谍软件、恶意代码、网络诈骗的牺牲品。
4. 恶意的企图:
内部员工的黑客行为导致机密资料有意外泄。
5. 办公效率降低:
员工工作时间沉溺于网上冲浪、聊天、游戏等活动, 严重降低办公效率。

解决方案:

深信服AC上网管理设备根据国内企业的互联网访问问题,针对性的提供全面的上网管理和控制解决方案,主要从以下方面着手,解决员工上网行为管理问题:
1 URL过滤,管理员工因特网访问
2 管理即时通讯工具使用
3 预防P2P共享,防止BT、迅雷工具的滥用
4 管理使用流媒体和其它高带宽应用
5 预防各种间谍软件和恶意代码
6 制定公共 Web-based Email 使用政策
7 阻止与监视内部机密文件外泄渠道
8 完整的分析、管理、报告员工使用电脑资源机制

产品简介:

深信服AC上网管理设备提供目前业界最完整的网址分类数据库、协议数据客,同时提供了完善的报表功能。
1.最领先的中文URL分类数据库
深信服AC上网管理设备采用URL预分类技术,根据中国的文化背景、伦理道德、法律法规、上网习惯等,进行全面采集、分类生成URL分类数据库。
2.网络应用过滤
支持对各种端口的过滤,以及针对以下类型应用的过滤:IM、P2P、网络游戏、网络电视、炒股软件、流媒体等。
3.带宽管理
深信服AC上网管理设备可以支持应用测的带宽分配与流量管理,可以针对用户或部门、按照时间段、对每一种应用协议进行带宽限制。

4.监控审计外发信息
深信服AC上网管理设备可以监控对以下信息发送进行监控。
l 电子邮件
l IM
l 论坛发帖

5.实时在线网络监控
深信服AC上网管理设备支持管理员实时地监控设备运行健康与当前网络活动,在第一时间内对网络异常进行定位分析。

6.查询统计与报表分析
对用户网络行为进行记录与分析,是上网行为管理产品必备的重要功能。对日志的存留与分析,既是国家法律的遵从,也是真正管理好企业员工上网、有效利用网络资源的需要。

IT运维中普遍存在系统账号密码使用和保管、系统运维操作和远程维护、外部人员访问等方面的安全隐患,运维安全审计解决方案采取堡垒机的方式轻松搞定这些隐患,并且让IT运维过程透明化,便于运维经验传承和运维安全事故的责任认定。

1.问题聚焦:

帐号安全
● 多人使用同一帐号
密码安全
● 简单密码,容易破解和猜测
● 定期修改密码的管理策略难以执行
● 密码掌握在运维人员手中,本身就不安全
操作安全
● 操作权限无法控制
● 无意执行了危险操作,如:重启
● 越权操作
远程维护
● PC直接远程连接关键服务器,容易遭受攻击、病毒传染
● 远程维护地点无法控制
运维操作行为安全
● 运维人员在什么时间、什么地点访问服务器
● 都在服务器上做了哪些操作
外部人员访问安全
● 第三方人员权限如何控制
● 第三方人员维护帐号泄漏
● 离职人员恶意行为

2.解决方案:

在运维人员(包括员工和第三方人员)与服务器之间放置堡垒机,作为运维人员访问服务器的工作平台和唯一途径。以下是解决方案示意图:

 

部署方式和访问控制
● 部署方式可为单臂旁路模式,连接在交换机上;
● 部署的唯一条件是运维安全审计系统与被管理的设备之间IP可达,协议可访问;
● 运维安全审计系统是运维操作的唯一入口,同时可配合使用访问控制策略(防火墙、ACL等)限制运维用户只能访问运维安全审计系统,不能直接访问后台主机;
● 运维用户使用唯一的用户账号登录运维安全审计系统 ,然后运维安全审计系统根据配置管理员预先设置好的访问控制规则,提示用户选择可以访问的目标设备和相应系统账号,用户选择完成后会自动登录到目标设备。
● 运维安全审计系统设备也可选择双机负载均衡方式
● 设备上可以发布需要审计的系统工具,如:IE、Radmin、VNC、Pcanywhere等,并在运维安全审计系统上对用户进行授权和审计。
完整的身份管理和认证
为了确保合法用户才能访问其拥有权限的后台资源,解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题,满足审计系统“谁做的”要求,系统提供一套完整的身份管理和认证功能。
运维用户支持静态口令、动态口令等认证方式,支持密码强度、有效期控制,支持用户分组。
灵活、细粒度的授权
系统提供基于用户、运维协议、目标主机、运维时间段(年、月、日、周、时间)、会话时长、运维客户端IP等组合的授权功能,实现细粒度授权功能,满足用户实际授权的需求。
后台资源自动登陆
后台资源自动登陆功能是运维人员通过运维安全审计系统认证和授权后,运维安全审计系统根据配置策略实现后台资源的自动登录。此功能提供了运维人员到后台资源帐户的一种可控对应,同时实现了对后台资源帐户的口令统一保护。
针对不同操作系统和设备的特性,运维安全审计系统提供托管和只托不管两种方式实现运维用户自动登录后台资源。
1、托管方式实现自动登录后台资源
● 运维安全审计系统自动获取后台资源帐户信息;
● 根据口令安全策略,运维安全审计系统定期自动修改后台资源帐户口令;
● 根据管理员配置,实现运维用户与后台资源帐户对应,限制帐户的越权使用;
● 运维用户通过运维安全审计系统认证和授权后,运维安全审计系统根据分配的帐户实现自动登录后台资源。
2、只托不管方式实现自动登录后台资源
● 管理员将后台资源帐户及口令配置到运维安全审计系统中;
● 根据管理员配置,实现运维用户与后台资源帐户对应,限制帐户的越权使用;
● 运维用户通过运维安全审计系统认证和授权后,运维安全审计系统根据分配的帐户实现自动登录后台资源。
实时监控
监控正在运维的会话,信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等;提供在线运维的操作的实时监控功能。针对命令交互性协议可以图像方式实时监控正在运维的各种操作,其信息与运维客户端所见完全一致。
违规操作实时告警与阻断
针对运维过程中可能存在潜在操作风险,运维安全审计系统根据用户配置的安全策略实施运维过程中的违规操作检测,对违规操作提供实时告警和阻断,从而达到降低操作风险及提高安全管理与控制的能力。
完整记录网络会话过程
系统提供运维协议Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、AS400等网络会话的完整会话记录,完全满足内容审计中信息百分百不丢失的要求。
详尽的会话审计与回放
u 运维操作审计以会话为单位,提供当日和条件查询定位。条件查询支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式。
● 针对命令交互方式的协议,提供逐条命令及相关操作结果的显示;
● 提供图像形式的回放,真实、直观、可视地重现当时的操作过程;
● 回放提供快放、慢放、拖拉等方式,方便快速定位和查看;
● 针对命令交互方式的协议,提供按命令进行定位回放;
● 针对RDP协议,提供按时间进行定位回放。
完备的审计报表功能
运维安全审计系统提供运维人员操作,管理员操作以及违规事件等多种审计报表。
● 提供日常报表,包括今日会话、今日自审计、用户信息、资源信息、权限信息、规则信息、管理员角色信息等报表;
● 提供会话报表,可根据用户选定时间、用户、资源形成会话报表;
● 综合统计报表,可根据时间、资源、用户等条件形成综合统计报表,报表中包括概要信息、每个用户操作信息、每个资源被操作信息等。
其他功能
系统提供双机热备、日志手工和自动备份、网络维护和性能监控、系统日志重定向、SNMP支持等功能。

随着企业信息化的不断深入,企业经营数据在企业运作中的地位越来越重要。如何保护这些数据的安全性,是企业IT人员、管理人员必须面对的重要课题。保障企业经营数据安全性、可靠性、可用性等方面的需求,必须从数据存储、备份及容灾等方面进行全方位的考虑。

随着企业信息化的不断深入,企业经营数据在企业运作中的地位越来越重要。如何保护这些数据的安全性,是企业IT人员、管理人员必须面对的重要课题。保障企业经营数据安全性、可靠性、可用性等方面的需求,必须从数据存储、备份及容灾等方面进行全访问的考虑。
数据安全如何做到防患于未然?一般可以分为三步考虑。即:存储整合、备份、容灾。

第一步:存储整合

问题聚焦:
• 存储资源利用问题:
随着企业的发展,企业ERP、OA、财务及大容量的文件、视频、音频的存储,需要大量的存储资源,往往很多企业采用的是购买磁盘或磁盘柜来扩展各个应用系统服务器本地存储空间,这样往往出现极端情况,即某些应用系统服务器存储空间可能很快不足,而又无法再扩展存储空间,而另外一种情况则是某些应用系统存储空间大量浪费,造成IT投资浪费;
• 存储性能利用问题:
如上面出现的问题,业务系统服务器只是简单磁盘堆叠,除了造成存储资源利用率低外,还会造成存储性能下降,从而影响业务系统处理;
• 其他问题:
大量扩充应用系统本地磁盘后,往往造成磁盘故障点增加;扩展磁盘时增加业务系统停机时间;同时对各个业务系统磁盘管理、监控难度增大;

第二步:数据备份

问题聚焦:
• 软、硬件故障:
应用软件(Exchange Server、SQL Server、Oracle、Sybase、SAP等)、系统软件补丁可能故障导致数据丢失或损坏;磁盘、RAID卡、SCSI卡、电源或主板等硬件失效导致数据丢失;
• 误操作
邮件记录误删除、AD记录误删除、应用系统数据或数据库记录误操作删除等导致重要资料、记录等丢失;
• 病毒、黑客入侵
病毒感染造成的数据破坏或丢失。Internet上外来”黑客”的侵入和内部网上的破坏者故意破坏数据或恶意删除。
解决方案:
针对以上问题,我们推荐采用Symantec Netbackup对应用数据、操作系统及客户端进行统一备份,本备份案例拓扑如图1所示。
• 利用业界最为成熟可靠的Lan Free 备份技术,通过存储区域网的光纤交换式架构,进行对数据仓库服务器、数据挖掘/分析服务器以及数据抽取服务器的高速备份。
• 运用先进的磁带管理技术,保证光纤存储区域网中磁带数据的高度安全性以及完全自动化的介质调度管理。
• 利用数据库在线备份技术,提供灵活的数据库备份策略供用户选择。
• 运用业界最先进的,支持操作系统最广泛的裸机灾难恢复技术,帮助用户在极端条件下迅速恢复所有关键数据。
• 提供完善的备份报告机制帮助用户进行复杂备份环境下的备份历史数据统计管理。
• 提供备份服务高可用性建议、磁带容灾方案、无服务器备份(Server Free)方案、历史数据迁移方案供用户选择,这些建议将形成针对于整个系统的数据存储备份高级解决方案。
产品介绍:
Symantec NetBackup软件是一个功能强大的企业级数据备份管理软件,它为 UNIX 、 Windows 和 Netware 混合环境提供了完整的数据保护机制,具有保护企业中从工作组到企业级服务器的所有的数据的能力。管理员能够通过直观的用户图形界面来管理备份和恢复的所有方面,制定企业统一的备份策略。 NetBackup 针对 Oracle 、 SAP R/3 、 Informix 、 Sybase 、 Microsoft SQL Server 和 Microsoft Exchange Server 等数据库提供了备份和恢复的解决方案。
成功案例:
某大型制造企业采用Symantec NetBackup软件将核心应用系统、操作系统及客户端数据统一备份到HDS HUS 1000存储SATA盘柜中,其为企业带来的收益:
• 保证数据完整性,降低IT业务数据存储风险;
• 保证业务系统连续性,降低灾难带来的风险;
• 对于误操作、病毒、黑客入侵等导致的数据丢失能够及时进行恢复;
• 保证系统突发软、硬件故障能够快速对业务、系统等数据进行恢复;

第三步:数据容灾

问题聚焦:
• 发生灾难性事件
自然灾害:如水灾、火灾、雷击、地震等造成计算机系统的破坏,导致存储的数据被破坏或丢失,包含本地备份的数据;

多年来,企业花费了大量的时间和资金来支持和管理桌面计算环境,但是由于远程工作的激增、企业应用数量的不断增长、基于“绿色”的安装顾虑(如能源和散热效率)以及日益紧缩的IT 预算,这种状况将变得越来越具挑战性;桌面云方案利用虚拟化技术,可以有效解决…

问题聚焦:

多年来,IT 企业花费了大量的时间和资金来支持和管理桌面计算环境,但是由于远程工作的激增、企业应用数量的不断增长、基于“绿色”的安装顾虑(如能源和散热效率)以及日益紧缩的IT 预算,这种状况将变得越来越具挑战性。随着企业不断地发展,企业IT规模也越来越庞大,桌面计算机、数据中心服务器的数量也迅速增加,以下问题也成为企业越来越关注的焦点:
1、 企业的业务数据分散在大量的桌面计算机上,业务数据的泄密,数据丢失等这些安全性问题如何解决?
2、 企业花费了大量的时间和资金来支持和管理桌面计算环境,桌面计算机的运维成本如何降低?
3、 企业服务器数量快速增加,服务器故障的机率也随之增加,当服务器出现故障,如何实现快速恢复?如何保证业务应用的高可用性?
基于企业对以上问题的思考的同时,“云计算、虚拟化”等概念应运而生,利用虚拟化技术,它可以有效解决降低能源消耗、运维成本、环境影响、企业数据安全性等IT问题,为企业构建一个安全、高效、节能的“绿色IT”架构。

解决方案:

虚拟化IT将企业信息化变成两部分,即数据中心和用户前端:
● 数据中心将演变成服务交付的中心,实现用户的桌面、个人数据、企业应用大集中。数据中心由服务器虚拟化、桌面虚拟化、应用虚拟化、集中存储等几大部分组成。
● 用户前端:一个简单的纯粹的显示、输入终端。你可以使用瘦客户机、智能手机、笔记本等设备作为用户前端。
虚拟化IT架构如下图所示:
虚拟化是一种资源与应用的统一收集,即用户桌面端的实体、应用程序脱离用户,向后台集中,而让终端更进一步的泛I/O化、简单化,如果你愿意,终端设备完全只是用来负责传输你的键盘和鼠标操作信息,相应的处理与响应都在后台的服务器上进行。
这种对资源和应用的大集中在很大程度上改变了企业的IT运行与管理模式,企业可从以下几个方面得到收益:
● 服务器虚拟化的益处:服务器资源有效整合,将企业数据中心的可利用资源最大化发挥,减少服务器数量,节省成本,降低电能消耗,减少热能排放,提高服务器IT运维护的方便性。同时,企业实现服务器虚拟化,当一台物理服务器发生故障进,应用系统可自动地从一台物理服务器转移到另一台服务器,这大大提高了企业业务应用的高可性。
● 用户和IT双赢:服务器虚拟化受益者是企业和IT部门,而桌面、应用虚拟化拥有的独特优势是,最终用户和IT部门同时受益。对员工桌面的集中管理有助于实现更高的安全性、控制能力并节省费用,这是IT部门最想得到的结果。
● 用户的方便性:桌面虚拟化带来的灵活性、可选择性和自助服务又是最终用户最想要的结果,通过虚拟化,IT部门可以将Windows桌面作为一种按需服务提供给任何设备。这种灵活性使用户能够用自己选择的任何设备工作、自助选择自己需要的服务以及何时需要这些服务。虚拟桌面最大限度的做到了应用与平台的无关性,理论上讲,你完全可以向任何的联网终端推送桌面,包括台式PC、苹果电脑、笔记本电脑、上网本以及智能手机等等。这极大的提高了IT应用的便利性,真正做到了“让应用随你而动”。
● 虚拟桌面让企业的数据更为安全,软件的升级与维护更为便捷:因为只是桌面推送到用户的终端上,数据的处理和保存都是在后台的服务器上,所以可以有效的防止企业敏感的数据外泄。同时,IT部门获得了集中式管理和控制的所有好处,前所未有地确保企业资源安全,并显著地降低桌面管理成本。用户和IT管理员日益需要更简单、更丰富、更强大的桌面计算体验。
● 企业业务应用快速交付到用户,提高办公效率和企业竞争力:当企业由于业务需要部署一项新的业务系统时,当企业随着业务的快速扩张成立新的分公司或办事处时,通过虚拟化技术,你可以将企业数据中心业务应用在短期内快速地推向用户。