全面防御,恒揚(yáng)科技為中石油的信息安全保駕護(hù)航

責(zé)任編輯:xfuesx

2015-09-21 17:53:40

摘自:中國(guó)通信網(wǎng)

2013年6月5日,前美國(guó)中央情報(bào)局雇員愛德華·斯諾登向英國(guó)《衛(wèi)報(bào)》和美國(guó)《華盛頓郵報(bào)》爆料,曝光了美國(guó)國(guó)家安全局(NSA)等美國(guó)政府部門監(jiān)視公民隱私的“棱鏡”項(xiàng)目。不讓數(shù)據(jù)成為監(jiān)控和防泄漏檢測(cè)的“漏網(wǎng)之魚”。

2013年6月5日,前美國(guó)中央情報(bào)局雇員愛德華·斯諾登向英國(guó)《衛(wèi)報(bào)》和美國(guó)《華盛頓郵報(bào)》爆料,曝光了美國(guó)國(guó)家安全局(NSA)等美國(guó)政府部門監(jiān)視公民隱私的“棱鏡”項(xiàng)目。

“棱鏡門”事件改變了全世界對(duì)網(wǎng)絡(luò)安全的關(guān)注重點(diǎn),人們開始重新審視網(wǎng)絡(luò)安全問題。最大的變化是,更多的企業(yè)和政府單位開始關(guān)注自己的數(shù)據(jù)是否安全。

短板才是防御重點(diǎn)

棱鏡門事件也證明了信息安全領(lǐng)域,沒有“完美防線”只有“木桶理論”。無論多豪華的防線,一個(gè)漏洞便會(huì)讓所有防御形同虛設(shè)。石化行業(yè)歷來都是走在企業(yè)信息化的前端,每年的信息化建設(shè)更是“不計(jì)成本”。如下表所示,2015年能源行業(yè)的信息化投資規(guī)模將高達(dá)505.7億元。

作為全球500強(qiáng)企業(yè)排名13位,世界50強(qiáng)石化公司排名第5的中石油,早在20世紀(jì)就開始了全面信息化與國(guó)際接軌的道路。如今,龐大的信息化基礎(chǔ)建設(shè)在增強(qiáng)中石油企業(yè)競(jìng)爭(zhēng)力的同時(shí),也帶來了不可避免的信息安全問題!

如何找出安全短板建立安全堡壘?

防內(nèi)御外,確保數(shù)據(jù)安全

國(guó)家計(jì)算機(jī)應(yīng)急響應(yīng)中心數(shù)據(jù)顯示,在所有的計(jì)算機(jī)安全事件中,約有52%是人為因素造成的,技術(shù)錯(cuò)誤和組織內(nèi)部人員作案各占10%,3%左右是由外部不法人員的攻擊造成。所以,建立安全的主動(dòng)防御機(jī)制,才能內(nèi)外兼顧杜絕安全短板。

2014年,中石油攜手恒揚(yáng)科技采用DLP+IDS的組合方式防內(nèi)御外,將信息安全提升一個(gè)新高度!如圖1-2所示,恒揚(yáng)分流器配合DLP Server和IDS Server監(jiān)控管理企業(yè)與外部網(wǎng)絡(luò)之間的交換的所有數(shù)據(jù),在檢測(cè)外部入侵的同時(shí),防止內(nèi)部數(shù)據(jù)的泄露,建設(shè)起一個(gè)高性能的安全堡壘。

在此整體方案中,

DLP:(Data Leakage Prevention數(shù)據(jù)泄漏防護(hù))主要為企業(yè)內(nèi)部建立防泄漏機(jī)制。通過劃分文檔密級(jí),嚴(yán)格控制權(quán)限分配,對(duì)內(nèi)部文檔、電子郵件、網(wǎng)絡(luò)數(shù)據(jù)、即時(shí)消息等等方式進(jìn)行防泄漏檢測(cè)和控制。對(duì)數(shù)據(jù)泄漏、信息安全做主動(dòng)防御檢測(cè)。

IDS:(Intrusion Detection Systems入侵檢測(cè)系統(tǒng))依照一定的安全策略,通過軟、硬件,對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

而恒揚(yáng)分流器做到了:

* 確保全面防御,不留安全短板

恒揚(yáng)分流器FC1800從線路中采集上下行所有數(shù)據(jù),然后負(fù)載均衡轉(zhuǎn)發(fā)到DLP Server,同時(shí)鏡像一份數(shù)據(jù)到IDS Server。即所有數(shù)據(jù)都會(huì)同時(shí)接受DLP Server的防泄密檢測(cè)和IDS Server的入侵檢測(cè)。真正做到全面防御。

* 雙層冗余,拒絕單點(diǎn)故障,避免監(jiān)控漏洞

在安全堡壘的實(shí)際建設(shè)過程中,分流器是主備配置,確保設(shè)備本身出現(xiàn)突發(fā)故障時(shí)不會(huì)造成數(shù)據(jù)采集斷流。同時(shí)FC分流器負(fù)載均衡轉(zhuǎn)發(fā)數(shù)據(jù)到DLP Server時(shí),若服務(wù)器群組中的設(shè)備出現(xiàn)突發(fā)故障,F(xiàn)C1800可自動(dòng)檢測(cè)接口狀態(tài),將流量均衡至其他正常服務(wù)器。從而真正避免單點(diǎn)故障,避免監(jiān)控漏洞!

* 嚴(yán)格流量控制,不讓數(shù)據(jù)脫離監(jiān)控

中石油本次全面防御的整體方案中,DLP Server的接入性能只有400MB,F(xiàn)C1800分流器在采集完整數(shù)據(jù)的同時(shí),通過配置精確的轉(zhuǎn)發(fā)規(guī)則和流量統(tǒng)計(jì)進(jìn)行嚴(yán)格流量控制,確保轉(zhuǎn)發(fā)至每臺(tái)DLP Server的流量不超過400MB。不讓數(shù)據(jù)成為監(jiān)控和防泄漏檢測(cè)的“漏網(wǎng)之魚”。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)