制造业信息系统整体解决方案版V1Word文档下载推荐.docx

1、信息安全性和信息可用性。安全性需求主要考虑了IT 架构下的网络端点安全、关键服务器安全、邮件系统安全、法规遵从、安全管理等方面；可用性需求主要考虑了企业关键数据系统的备份、恢复、高可用、容灾等，也同时考虑了如何将异构下的数据存储进行统一的资源整合。参见下图： 赛门铁克致力于为 用户提供信息完整性解决方案，是信息安全和信息可用技术的市场领导者，其技术方案已经广泛的应用在国内外众多的 客户环境中。第一部分 信息系统网络安全解决方案一、 行业结构特点及信息安全需求分析企业通过Internet 可以把遍布世界各地的资源互联互享，但因为其开放性，在Internet 上传输的信息在安全性上不可避免地会面临

2、很多风险。当越来越多的企业把自己的业务系统放到网络上后，针对网络的各种非法入侵、恶意软件、蠕虫等活动也随之增多。另外，企业内部发生的安全事件是企业信息资产流失的一个主要因素，越来越多的企业也着手开始实施内网的安全控制措施。图1：企业信息系统的典型网络拓扑 信息系统结构的安全威胁主要来自以下下几个方面：1、数量庞大的固定及移动终端安全管理难题：操作系统补丁不能及时更新、安全软件不能及时升级，造成威胁侵入、继而整个网络病毒泛滥。 2、 企业邮件系统是企业日常管理的重要工具，垃圾邮件泛滥不仅造成IT资产浪费、系统效率下降，而且各种利用邮件的网络攻击会给企业网络带来极大的风险：信息泄漏、病毒传播。 3

3、、 企业百分之九十的知识产权，如新发明，设计图纸，程序代码等，是以电子信息的形式存在企业的内部网络中，据统计，企业知识产权信息经常以电子邮件，文件传输，web 邮件等形式轻而易举地流出企业。因此企业需要一定的保护措施，避免信息泄漏造成的知识产权纠纷。通过上述分析可以看出，企业信息系统的安全防护必须是多层次，全方位的。赛门铁克根据企业的实际情况，设计了完整的、先进的信息系统主动安全防护体系，它主要包括： 企业邮件系统安全管理方案 邮件安全网关 Symantec Messaging Gateway 邮件归档管理 Symantec Enterprise Vault 企业端点标准化管理方案 端点安全策

4、略管理 Symantec NAC/Endpoint Protection IT 资产标准管理 Symantec Altiris 企业机密数据安全管理方案 防止机密数据泄漏方案 Symantec Vontu DLP 企业关键应用服务器安全方案 主机加固 Symantec Critical System Protection二、 网络安全整体方案1 企业邮件系统安全管理 企业邮件系统安全管理的目标是： 对来自外部网的垃圾邮件进行过滤和处理； 对病毒和蠕虫造成的邮件攻击进行拦截； 对不断增长的无用带宽进行限制和调整； 对包含不正当内容的邮件予以拦截； 限制邮件服务器上的用户邮箱配额，同时也能够满足用

5、户有足够的邮件存储空间，提高前台邮件服务器的处理性能。 满足企业对邮件日志保存期限和审计的需求，降低法律诉讼的风险，帮助用户恢复重要的邮件。 赛门铁克的电子邮件安全及可用性方案为用户提供全面卓越的邮件生命周期的安全管理方案，提供了业界领先的产品和服务，通过有效维持通讯系统及数据的安全及随时可用，节省用户的投资，成本而设计，减少大量垃圾邮件、阻截病毒，并通过归档实现对旧有邮件的生命周期管理，协助保障用户电邮系统的弹性架构。赛门铁克邮件生命周期管理方案示意图如下：图2：赛门铁克邮件生命周期安全管理方案如上图所示，赛门铁克的邮件生命周期安全管理方案由两大核心组件构成： Symantec Messag

6、ing Gateway 8300：为企业接收和发送的所有邮件提供垃圾邮件、病毒邮件以及邮件含有违规内容的全面安全检测，并提供相应的自动化安全处理措施。 Symantec Enterprise Vault 7.5：对企业内部的邮件系统提供基于策略的邮箱归档、日志归档操作。在满足企业保存邮件和审计需求的同时，降低一级邮件存储空间的使用率，提高邮件服务器性能。快速恢复用户需要的重要邮件等。下面将阐述这两大核心组件如何对企业邮件系统进行安全管理。（一）Symantec Mail Security 8300 Symantec Mail Security 8300（以下简称SMG8300） 系列同时提供防

7、垃圾邮件、防病毒、内容过滤等全面防护功能。 SMG 8300 系列设备的用途非常灵活，根据企业网络规模和电子邮件处理的需要，它们可以执行多种不同的功能。每台 SMG 8300 系列设备都可部署为： Scanner：如果只部署为 Scanner，SMG 8300 系列设备将会过滤电子邮件。可以在企业网内安装一个或多个Scanner。SMG8300系列设备可以与现有电子邮件或群件服务器一起工作。 控制中心（Control Center）：管理企业网邮件安全系统。每个SMG 8300系列安装都有一个控制中心设备，它是一个基于 Web 的配置和管理中心。 控制中心又承载着隔离区和支持软件。可以从控制中

8、心中配置和监控所有 Scanner设备。 还可以使用控制中心配置和管理电子邮件过滤、SMTP 路由、系统设置及所有其他功能。控制中心同时还提供系统中所有 SMG 8300 系列设备的状态以及系统日志。 它还提供丰富的可自定义的报告。可以使用控制中心来配置系统范围的和主机特定的详细信息。如果正在使用隔离区，则可以使用控制中心来管理隔离区。 最终用户（学生、在校教职员等）可以访问控制中心来查看隔离区中的垃圾邮件，还可以设置他们的语言过滤及禁止或允许的发件人首选项。隔离区是一个存储垃圾邮件并使最终用户能够访问他们的垃圾邮件的组件。也可以将隔离区配置为仅供管理员访问。隔离区的使用是可选的。 控制中心兼

9、 Scanner：执行上述两种功能。 适用于企业邮件用户较小的情况安装。图3：企业邮件安全集中管理（二）Symantec Enterprise Vault 7.5如前文所述，Symantec Enterprise Vault（以下简称EV）为一款专为企业提供邮箱归档、日志归档、邮件快速查询及恢复、减轻一级邮件存储压力、满足企业邮件审计的专业方案。EV可以归档企业内常见的几乎所有数据类型，如： 位于 Microsoft Exchange 用户邮箱中的项目 位于 Microsoft Exchange 日志邮箱中的项目 Microsoft Exchange 公用文件夹内容 位于 Domino 邮件文

10、件中的项目 位于 Domino 日志数据库中的项目 网络文件服务器中保存的文件 Microsoft SharePoint 服务器中保存的文档 即时消息和 Bloomberg 消息 来自其他消息传递服务器的 SMTP 消息 Enterprise Vault 归档进程会检查目标服务器，以获得要归档的项目。相关项目随后会被存储在 Enterprise Vault 归档中。Enterprise Vault 会为已归档项目创建索引，以实现快速搜索和检索。管理员可以设置所需的索引级别。在归档项目时，系统会自动为项目分配一个“保留类别”，该类别定义了必须保存项目的时间长度。管理员可以为不同类型的数据定义不同

11、的保留类别。这样，当Enterprise Vault 监控归档时，它可以删除保留期限已过期的项目。 EV 的各个组件协同工作，实现了灵活的基于策略的邮件生命周期管理： Enterprise Vault Server：归档主服务器，负责归档策略的管理及归档信息的管理 Journal Archiving：日记邮件归档模块，可以将邮件服务器复制的每一封进出邮件归档到EV管理的存储，便于审计需要 Mailbox Archiving：邮件归档模块，可以将邮件归档到EV管理的存储，扩展邮箱配额，提供outlook集成的界面 PST Migrator：迁移模块，可以将现有的PST文件数据迁移到档案库 Off

12、line Vault：离线模块，提供离线情况下对邮件的访问 Discovery Accelerator：邮件审计和搜索模块，提供工作流方式的审计 File System Archiving, Archiving & Search：文件归档，透明地将文件归档并提供对归档文件的全文搜索功能VERITAS Enterprise Vault集中归档框架Enterprise Vault软件提供了灵活的归档框架，能够发现保存在电子邮件、文件系统、协作环境中的内容 ，并有助于降低成本和简化管理。Enterprise Vault通过策略控制的自动在线归档，主动保留和无缝检索信息，从而对内容进行管理。凭借内置的

13、强大搜索和发现功能，辅以专用的客户端应用软件，Enterprise Vault可用于企业管理、风险管理和法律保护。Enterprise Vault软件有助于解决下列问题： 应用存储管理 符合法规要求的数据保留和发现 出色运行 知识挖掘 升级、迁移与整合对于每家企业来说，档案和内容的创建和长期管理都至关重要。 Enterprise Vault软件能够安全地保留归档的数据，以便用户充分利用这些数据，如果不再需要这些数据，还可让数据过期。档案库的设计能够实现下列功能： 灵活地存储归档的内容 通过压缩和单一实例存储，减少存储量 生成内容索引，实现快速的目标检索 提供所有归档内容的HTML副本，确保用户

14、将来能够通过任何应用程序来访问档案内容 利用用户认证安全控制 定义和实施数据保留和过期策略（三） 赛门铁克邮件系统安全管理方案优势赛门铁克的邮件系统安全方案是业界最成熟的解决方案，SMG 8300 与 Symantec EV在邮件管理市场中都占有第一位的市场份额。 SMG8300 采用了多种垃圾邮件过滤技术，有效率达到95以上，准确性达到99.9999%，处于世界领先水平； SMG8300在全世界拥有200万个蜜罐邮箱，专门收集最新的垃圾邮件，能够快速应对最新的垃圾邮件发送技术。同时，Symantec公司在国内设立了20万蜜罐邮箱专门搜集国内的垃圾邮件，针对中文垃圾邮件和国内流行的垃圾邮件同样

15、具有很高的过滤效率； SMG8300通过电子邮件防火墙技术，实现在真正的垃圾邮件与病毒邮件到达用户网络之前，就阻止其企图的功能。通过此技术，可以极大的节省用户网络的带宽利用，并且真正保护了最终邮件服务器的可用资源（SMG 8300独有）； SMG8300可有效防止DHA攻击、垃圾邮件攻击、病毒攻击、空连接攻击、多重压缩攻击等各种针对电子邮件系统的DOS攻击（SMG 8300独有）； SMG8300 提供强大的最终用户可配置功能。最终用户通过登陆管理配置界面，可以管理与自己有关的隔离区垃圾邮件，并且可以自定义个体的黑名单、白名单和语言选项，从而大大的降低管理员的管理负担； EV通过压缩和单实例存

16、储技术，大幅减少邮件归档存储量 EV生成归档内容索引，实现快速的目标检索，用户透明体验 EV提供所有归档内容的HTML副本，确保用户将来能够通过任何应用程序来访问档案内容 EV可以支持最广泛归档数据来源的归档平台，自身就可以直接实现与Domino, Exchange, SharePoint，IM，文件服务器等归档功能。同时，其与合作伙伴广泛的集成包括： SAP、数据库、传真等等，Enterprise Vault还可以提供EMC、IBM、OpenText和Stellent的RM连接器，并提供第三方归档开发接口 对Exchange邮箱、日志、公用文件夹和PST文件的内容进行归档。消除配额和信息容量

17、限制，同时控制信息存储的增长。管理员可以定义策略，将Exchange邮件和附件自动归档到在线的仓库中。另外，它还提供了快捷方式，使用户能够通过Outlook，或者通过基于web的扩展搜索功能，轻松、透明地查看或恢复初始条目。 EV可以无缝支持Domino Web Access接入模式。通过EVt客户端浏览器，搜索等与Notes客户端及DWA方式完全无缝集成。同时客户端可以从Windows Desktop Search中搜索归档。 Enterprise Vault采用11种语言翻译客户端，包括简体中文版客户端 在基于SMTP的电子邮件系统中，EV可以支持基于策略的电子邮件和附件归档2 企业端点标

18、准化管理方案企业网内的终端数量庞大，各自归属的管理网段不一。归纳端点管理的目标： 企业全面建立主动式的端点防护体系，即能够有效包含端点本身，又能够对端点上的不规范行为进行监督。 端点保护需要集成多种安全技术，如防病毒，防火墙、IPS,程序管理、设备控制等。 在网络上部署实时的审核手段，对违规的客户端限制或禁止其网络接入权限。做到发现问题，即时解决问题。不感染网络中其它的工作设备。 减少IT 维护终端的工作量，自动收集网络中的IT资产信息，定期统计其变更量，为企业IT 规划提供依据。 统一分发企业所需要的系统补丁、应用程序等，减少终端用户的干预程度。赛门铁克的端点标准化管理方案从技术和管理两方面

19、出发，可以很好的解决上述企业面临的端点管理问题。该方案主要由两大部分组成： Symantec Network Access Control/Symantec Endpoint Protection:提供集成的端点安全防护技术和网络准入控制，帮助企业提高端点自身的安全防护能力。同时又在网络上实时审核端点的符合安全规范的程度。一旦发现违规终端，立即限制或取消其访问网络的权利，从而达到规范终端操作，统一策略的主动防护目的。 Symantec Altiris：给企业提供IT 资产生命周期的管理架构，从IT 资产的信息收集、登记、系统分发，软件分发、故障排错等全面的自动化的管理，大大减少IT 管理员的维

20、护工作量。下面将阐述这两部分方案如何对企业端点标准化管理。Symantec Network Access Control/Symantec Endpoint Protection（以下简称SNAC/SEP） SNAC/SEP 是赛门铁克端点安全管理方案，它的核心思想是通过网络准入控制和端点安全保护屏蔽一切不安全的设备和人员接入企业内部网络，从而规范终端用户接入网络的行为，铲除对企业重要网络威胁的源头，避免事后处理的高额成本。SEP提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它具备先进的威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。包括主动防护技术以及管

21、理控制功能；主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制功能使企业能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。甚至可以根据用户位置阻止特定操作。SEP不仅可以增强防护，而且可以通过降低管理成本以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理，通过一个管理控制台即可进行管理。从而不仅简化了端点安全管理，而且还提供了出色的操作效能。SEP 功能结构示意图如下：图4：SEP功能结构示意图在端点安全管理设计中，网络准入控制是把对用户的管理需求通过技术手段贯彻下去的唯一可行办法。SANC 正是这样一个解决方案，它为企业创建了终端接入的可

22、信尺度。常见检查策略为：强制验证操作系统补丁是否更新，反病毒软件是否在运行及病毒库是否更新，端点防火墙软件是否在运行及被适当的配置。同时，SNAC也可以让管理员进一步执行更多高级策略，检查特定安全软件或特殊安全配置是否存在。一旦SNAC检查策略创建完成，就有了在终端连入网络时可参照的安全基线。它通过提前的“准入扫描”，来确保终端可信状态并授权。SNAC的网络访问控制流程包括以下四个步骤：1. 发现和评估端点。此步骤在端点连接到网络访问资源之前执行。通过与现有网络基础架构相集成，同时使用智能代理软件，网络管理员可以确保按照最低 IT 策略要求对连接到网络的新设备进行评估。2. 设置网络访问权限。

23、只有对系统进行评估并确认其遵从 IT 策略后，才准予该系统进行全面的网络访问。对于不遵从 IT 策略或不满足企业最低安全要求的系统，将对其进行隔离，限制或拒绝其对网络进行访问。3. 对不遵从的端点采取补救措施。对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵从状态，随后再改变网络访问权限。管理员可以将补救过程完全自动化，这样会使该过程对最终用户完全透明；也可以将信息提供给用户，以便进行手动补救。4. 主动监视遵从状况。必须时刻遵从策略。因此，Symantec Network Access Control 11以管理员设置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点的遵

24、从状态发生了变化，那么该端点的网络访问权限也会随之变化。SNAC 提供多种准入控制方式： 局域网准入控制（基于802.1x 标准）LAN Enforcer 网关准入控制 Gateway Enforcer DHCP 准入控制 自我强制图5：SNAC 网络准入控制Symantec Altiris Symantec的Altiris资产管理致力于IT管理，以其服务导向架构（SOA） 下提供模块化的服务导向解决管理方案（SOM）为客户提供完整的IT 生命周期管理（IT Lifecycle Management ），并在业界公认的成熟的IT管理最佳实践（IT基础架构库）的基础上为客户提供完全的流程化管理。

25、它帮助企业实现IT 资产生命周期的管理。图6：Symantec Altiris IT 资产生命周期管理Altiris IT生命周期管理解决方案具有多重系统管理功能，企业能随着新的要求或新的系统管理需求部署新的功能，随着企业的发展而不断扩充。每个解决方案以模块化的方式集中安装在Altiris服务器上，通过安装在客户端的Agent（代理）的交互式来实现所有功能。在端点标准化管理的方案中，我们建议使用Altiris Client Management Suite（ CMS） 来实现对端点资产的自动化管理。Altiris CMS 套件是一种非常简单易用的客户端管理解决方案，它帮助企业降低PC、笔记本、

26、手持设备等的管理维护成本。专为拥有大量IT设备管理者设计的。这个方案帮助企业实现从任何地点对系统和设备的管理，包括部署、管理、配置、解决问题等功能。它包括如下解决方案： Inventory Solution for Clients, IT资产管理（动态资产统计、资产监控） Deployment Solution for Clients,部署和迁移（系统、应用、个性化设置的部署和升级） Patch Management Solution for Clients,补丁包管理（自动、安全安装补丁程序） Software Delivery Solution for Clients, 软件分发（快速安装

27、软件） Carbon Copy Solution, 远程控制（帮助远程解决问题或培训） Recovery Solution for Clients，备份与恢复（系统、应用程序、文件的备份与恢复） Application Metering Solution, 应用程序测量（分析应用程序使用率）（三）赛门铁克端点标准化管理方案优势 来自同一厂家的端点标准化管理方案，用户具有最小的端点管理成本和部署成本。 Altiris 提供和SEP的集成组件，可在Altiris 部署的同时，将SEP 一并部署到客户端。 SEP 集成了客户端所需要的所有安全防护技术，可以在安全威胁渗透到网络之前将其阻止，即便是由最

28、狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkit。 Symantec 提供业界最佳的威胁趋势情报 赛门铁克的防护机制使用业界领先的赛门铁克全球情报网络，可以提供有关整个互联网威胁趋势的全面视图。借助此情报可以采取相应的防护措施，并且可以帮助您防御不断变化的攻击，从而使您高枕无忧。 SEP 与SNAC 属于同一个管理架构，使用共同的客户端代理和管理控制台。在一个代理上提供防病毒、反间谍软件、桌面防火墙、IPS、设备控制和网络访问控制，最大程度地降低了IT 管理员的维护工作量。 SNAC 是业界网络准入控制的领导者，

29、拥有全球最广泛的用户案例，产品成熟度高，确保企业部署SNAC后，没有后顾之忧。 SNAC独立于网络设备厂商，具有最广泛的网络设备支持。可以与任何企业的网络架构相结合，达到规范企业终端行为的效果。3企业敏感数据安全管理方案 随着企业信息化建设的深入，信息系统成为企业业务正常开展的基石，其中的数据是企业最重要的资产。近年来，多家国际上有重要影响力的企业不时被媒体曝光，其重要的客户资料和其他机密信息被非法使用，给企业声誉造成了不可估量的损失，进而影响到企业的财政收入。 企业那些重要的敏感数据如何进行安全管理呢？从数据保护领域来看，涉及诸多技术，其中最有代表性的主要有两种：第一种是针对含有机密数据的电子文档（或称文件）加强保护，方法主要是加密或者版权管理；第二种是针对机