企業(yè)網(wǎng)絡信息平安整體解決方案技術白皮書目錄一、完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡架構 41、域結構管理模式 42、網(wǎng)絡拓撲結構設計 43、三層交換與VLAN結合 54、企業(yè)網(wǎng)管軟件 6二、構建全方位的數(shù)據(jù)泄漏防護系統(tǒng) 121、文檔平安管理系統(tǒng) 132、企業(yè)U盤認證系統(tǒng) 143、打印監(jiān)控系統(tǒng) 15三、建立一體化的本地/異地備份與容災體系 17四、建立防火墻、防入侵及一體化平安網(wǎng)關解決方案 201、趨勢科技防毒墻-服務器版（SP）： 212、Juniper防火墻： 22隨著計算機技術的飛速發(fā)展，在計算機上處理的業(yè)務也由基于單機的數(shù)學運算、文件處理，基于簡潔連接的內(nèi)部網(wǎng)絡的內(nèi)部業(yè)務處理、辦公自動化等，發(fā)展到基于困難的內(nèi)部網(wǎng)企業(yè)外部網(wǎng)和全球互聯(lián)網(wǎng)的企業(yè)級計算機處理系統(tǒng)和世界范圍內(nèi)的信息共享。在計算機連接實力連接范圍大幅度提高的同時，基于網(wǎng)絡連接的內(nèi)部網(wǎng)絡平安、數(shù)據(jù)信息平安、資源安排以及員工工作效率低下等問題也日益突出。為了解決企業(yè)面臨的這些問題，我們可以從幾方面入手：首先，完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡架構；其次，構建全方位的數(shù)據(jù)泄漏防護系統(tǒng)；再次，建立一體化的本地/異地備份與容災體系；最終，建立防火墻、防入侵及一體化平安網(wǎng)關解決方案，達到凈化企業(yè)內(nèi)部網(wǎng)絡環(huán)境提升員工工作效率的目的。一、完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡架構在規(guī)劃和設計企業(yè)總體網(wǎng)絡架構時，應從企業(yè)應用為最基本動身點，將企業(yè)當前和各類應用和將來會上的應用都必需全部考慮進來，特殊是要為企業(yè)業(yè)務的擴展留下足夠的帶寬和可擴展的空間。這些方面干脆關系到企業(yè)網(wǎng)絡架構中各類網(wǎng)絡設備(如路由器、交換機、平安網(wǎng)關、服務器等)的選購 決策，以及確定企業(yè)互聯(lián)網(wǎng)總出口帶寬的大小和企業(yè)網(wǎng)絡的最終拓撲及規(guī)模。同時網(wǎng)絡架構應當具有很高的敏捷性和可擴展性，可以隨意增加或縮減單元。另外還應當考慮企業(yè)當前的技術條件是否滿意對網(wǎng)絡進行可控和可管理的要求。下面我們就分幾方面來優(yōu)化企業(yè)內(nèi)部網(wǎng)絡架構。1、域結構管理模式在許多小型企業(yè)公司內(nèi)部的網(wǎng)絡還是采納對等網(wǎng)模式（工作組），在這種工作模式下任何一臺電腦只要接入網(wǎng)絡，其他機器就都可以訪問共享資源，如共享上網(wǎng)等。盡管對等網(wǎng)絡上的共享文件可以加訪問密碼，但是特別簡潔被破解。在由Windows9x構成的對等網(wǎng)中，數(shù)據(jù)的傳輸是特別擔心全的。同時也無法對網(wǎng)絡內(nèi)部的計算機進行集中化的管理，導致數(shù)據(jù)泄漏。這時候我們就須要在公司內(nèi)至少配置一臺服務器負責每一臺聯(lián)入網(wǎng)絡的電腦和用戶的驗證工作，相當于一個單位的門衛(wèi)一樣，稱為“域限制器(DomainController，簡寫為DC)”。域限制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數(shù)據(jù)庫。當電腦聯(lián)入網(wǎng)絡時，域限制器首先要鑒別這臺電腦是否是屬于這個域的，用戶運用的登錄賬號是否存在、密碼是否正確。假如以上信息有一樣不正確，那么域限制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限愛護的資源，他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源，這樣就在肯定程度上愛護了網(wǎng)絡上的資源。域限制器的功能除了上面說到的可以做身份驗證之外，還可以對屬于域的全部計算機的操作權限（安裝/卸載軟件、更改IP地址、更改計算機設置等）進行有效的限制，以達到集中化管理的目的。2、網(wǎng)絡拓撲結構設計組網(wǎng)方式：樹形組網(wǎng)方案該方案引入二級聯(lián)網(wǎng)方式，骨干層交換機采納了高性能的千兆級二層交換機，連接服務器、路由器與網(wǎng)絡打印機。二級交換機采納24+2口交換機，其中的兩個端口為1000M，用于接入骨干交換機，其余10/100M端口連接相對分散的桌面用戶。方案特點：二級聯(lián)網(wǎng)方式更好的將數(shù)據(jù)通過骨干交換機分散處理，它與服務器之間通過1000M高速交換端口連接，以滿意大容量數(shù)據(jù)傳輸?shù)囊?。骨干交換機和二級分交換機的連接則采納了快速以太網(wǎng)通道（FEC）技術，有效的擴展了網(wǎng)絡的帶寬。這項技術能夠把2-4個物理鏈路聚合在一起，在全雙工工作模式下達到400-800M的帶寬，F(xiàn)EC技術能夠充分利用現(xiàn)有設備實現(xiàn)高速數(shù)據(jù)傳遞。同時該方案具有結構簡潔敏捷，特別便于擴充。而且所需電纜長度很短，削減了安裝費用，易于布線和維護工作。3、三層交換與VLAN結合許多企業(yè)在網(wǎng)絡設計初期采納二層交換技術的網(wǎng)絡架構，核心交換機采納二層交換技術，在原先只有幾十到100多臺工作站的狀況下，網(wǎng)絡性能較志向。但是隨著網(wǎng)絡規(guī)模在不斷擴大，工作站增加到200臺左右時，網(wǎng)絡性能明顯下降。另外，對于這種網(wǎng)絡，很簡潔發(fā)生諸如網(wǎng)卡故障等緣由引起的網(wǎng)絡廣播風暴，而且一旦發(fā)生廣播風暴，很難查找故障點，甚至導致網(wǎng)絡癱瘓，網(wǎng)絡維護工作量很大。假如我們采納三層交換技術的網(wǎng)絡架構，同時在局域網(wǎng)內(nèi)劃分若干VLAN（虛擬網(wǎng)）后，網(wǎng)絡性能將大為改善。這是因為三層交換技術就是“二層交換技術+路由轉發(fā)”。它解決了二層交換技術不能處理不同IP子網(wǎng)之間的數(shù)據(jù)交換的缺點，又解決了傳統(tǒng)路由器低速、困難所造成的網(wǎng)絡瓶頸問題。再協(xié)作VLAN技術將將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個不同的網(wǎng)段，從而實現(xiàn)虛擬工作組的技術。這樣有三個好處：一是提高網(wǎng)絡平安性，不同VLAN的數(shù)據(jù)不能自由溝通，須要接受第三層的檢驗，因此，在肯定程度上加強了虛網(wǎng)間的隔離，有效防止外部用戶入侵，提高了平安性。二是隔離廣播信息，劃分VLAN后，廣播域縮小，有利于改善網(wǎng)絡性能，能夠將廣播風暴限制在一個VLAN內(nèi)部，同時使網(wǎng)絡管理趨于簡潔。三是增加網(wǎng)絡應用的敏捷性，VLAN是在一個有多臺交換機的局域網(wǎng)中統(tǒng)一設定的，這使得用戶可以不受所連交換機的限制，不論用戶節(jié)點移動到局域網(wǎng)中哪一臺交換機上，只要仍屬于原來的虛網(wǎng)，則應用環(huán)境沒有任何變更。注：骨干交換機應當采納高帶寬的千兆以上交換機。因為它是網(wǎng)絡的樞紐中心，重要性突出。在大中型企業(yè)中核心層設備采納雙機冗余熱備份是特別必要的，也可以運用負載均衡功能，來改善網(wǎng)絡性能。即兩臺核心交換機正常狀況下都參加工作，當其中的任何一臺發(fā)生故障時，另外一臺可以自動、無縫地接管它的工作，無需人工干預故障切換。全面提高網(wǎng)絡對突發(fā)事故的自動容錯實力，最小化網(wǎng)絡的失效時間。4、企業(yè)網(wǎng)管軟件企業(yè)網(wǎng)絡架構在經(jīng)過以上三個步驟的部署以后比較完善了，但是還缺乏有效的企業(yè)網(wǎng)絡管理軟件來對網(wǎng)絡設備進行管理，針對這種狀況我們可以配置一套“方正網(wǎng)略網(wǎng)絡架構管理系統(tǒng)”，它在整合了傳統(tǒng)網(wǎng)管軟件功能的同時，重點突出了便利、好用的特點，幫助企業(yè)管理人員維護好自身的網(wǎng)絡。通過對網(wǎng)絡設備的管理、網(wǎng)絡狀態(tài)的分析、設備性能的監(jiān)測以及各種故障事務的診斷和快速修復，為企業(yè)供應一個穩(wěn)定牢靠的網(wǎng)絡環(huán)境。方正網(wǎng)略NetInWayPro充分考慮了當前企業(yè)級網(wǎng)管軟件的用戶需求，將系統(tǒng)分為以下四大功能模塊，每個模塊的功能如下：☆IP管理（網(wǎng)絡IP資源愛護、非法IP接入阻斷、定期統(tǒng)計IP運用狀況，回收長期不運用IP）☆設備管理（網(wǎng)絡拓撲自動生成、遠程查詢網(wǎng)絡設備的資源運用狀況和網(wǎng)絡設備連接狀況）☆性能分析（網(wǎng)絡流量的圖形化顯示、實時監(jiān)控設備端口的PPS、對內(nèi)網(wǎng)有害流量進行阻斷）☆故障管理（檢測IP故障、設備故障、流量故障、蠕蟲故障）NetInWayPro版本采納了簡潔明白的用戶界面，如下圖所示。在此用戶界面中，把主要功能（IP管理、設備管理、性能分析、故障管理）包含在同一界面中，便利用戶運用?，F(xiàn)在對方正網(wǎng)略NetInWayPro做個簡潔介紹：1、IP管理全面了解整個網(wǎng)絡的設備運行狀況、IP地址資源運用狀況，對IP地址資源進行有效的管理。對接入網(wǎng)絡的計算機進行認證和管理,禁止未認證的計算機私自接入網(wǎng)絡,保障網(wǎng)絡的平安運行。便利的IP地址資源安排管理、實時的IP故障監(jiān)測與報警、有效的故障響應策略，使企業(yè)真正感受和駕馭網(wǎng)絡資源的運動脈搏！對于新入網(wǎng)的設備，在入網(wǎng)申請到IP地址的時候，系統(tǒng)將記錄并依據(jù)此設備的運用狀況。假如此設備想占用網(wǎng)絡中已經(jīng)被運用的IP，系統(tǒng)將產(chǎn)生報警，如下圖所示：2、設備管理NetInWayPro供應了對網(wǎng)絡重要設備的系統(tǒng)信息、流量信息進行監(jiān)控和管理的功能，設備管理的主要功能如下：☆支持網(wǎng)絡視圖功能，自動搜尋網(wǎng)絡拓撲結構，并生成網(wǎng)絡拓撲結構圖；☆網(wǎng)絡設備（路由器、交換機、服務器、打印機等）進行實時狀態(tài)監(jiān)控；☆遠程查詢服務器的CPU、內(nèi)存以及硬盤的利用率和內(nèi)存中的運行進程信息；☆遠程查詢網(wǎng)絡設備的連接狀態(tài)、Hop數(shù)目、連接路徑狀況等信息；☆監(jiān)控網(wǎng)絡設備端口的PPS，剛好檢測和阻斷蠕蟲或內(nèi)網(wǎng)異樣流量猛增設備。在設備管理中，網(wǎng)絡拓撲結構采納圖示方式表示，拓撲結構自動發(fā)覺，企業(yè)網(wǎng)絡架構一目了然；同時可以快速的看出網(wǎng)絡的狀態(tài)（正?；蚬收系龋?。對于超過臨界值或懇求PPS無應答時，節(jié)點顏色將變紅，并被隔離。剛好把握網(wǎng)絡拓撲和節(jié)點的變更；圖形化的網(wǎng)絡統(tǒng)計數(shù)據(jù)顯示,有助于規(guī)劃長期網(wǎng)絡發(fā)展。同時，NetInWayPro還可以全天候24小時監(jiān)控數(shù)千個網(wǎng)絡設備的運行狀態(tài)，如應答時間、損失率、生存時間等，如檢測到故障，將實時報警并通知管理者。3、性能分析NetInWayPro性能分析是以SNMP為基礎，執(zhí)行網(wǎng)絡監(jiān)控。監(jiān)控信息是以日、周、月、年為周期記錄日志。性能分析包括：網(wǎng)絡流量監(jiān)控和實時網(wǎng)絡利用率查詢。性能分析模塊對網(wǎng)絡設備和鏈路狀況進行實時監(jiān)測，剛好發(fā)覺和處理網(wǎng)絡故障；對出現(xiàn)故障的節(jié)點進行隔離，引導管理員快速定位、解除網(wǎng)絡故障；自動生成帶寬運用狀況的圖表，用于長期趨勢分析和制定帶寬運用安排，并可優(yōu)化自身的網(wǎng)絡應用，依據(jù)所供應的精確而剛好的數(shù)據(jù)作出軟硬件升級安排的確定。4、故障管理NetInWayPro故障管理完成網(wǎng)絡故障（IP故障、設備故障、流量故障、WDI故障）的剛好發(fā)覺和報警，具體功能如下：☆故障閱讀及定期刷新☆故障分類、排序、統(tǒng)計☆故障報警，并通知管理員☆閱讀故障的用戶權限管理☆條件查詢歷史故障功能NetInWayPro供應了各種具體報告（IP狀態(tài)報告書、設備狀態(tài)報告書、流量分析報告書、故障狀況報告書）的多種模板。在完成了上述四個步驟的部署之后就完成了企業(yè)網(wǎng)絡架構的完整設計方案，接下來將對企業(yè)網(wǎng)絡信息平安整體解決方案的其他部分進行闡述。二、構建全方位的數(shù)據(jù)泄漏防護系統(tǒng)近年來，泄密案件日益成為企業(yè)管理者的夢魘。各種數(shù)據(jù)泄露事務越演越烈，不僅給企業(yè)帶來嚴峻的干脆經(jīng)濟損失，而且在品牌價值、投資人關系、社會公眾形象等多方面造成損害。為防止數(shù)據(jù)外泄，企業(yè)往往不惜花巨資購進防火墻、入侵檢測、防病毒、漏洞掃描等網(wǎng)絡平安產(chǎn)品，以為可以高枕無憂了。其實，這種想法是錯誤而且極其危急的。FBI和CSI對484家公司進行了網(wǎng)絡平安專項調(diào)查，調(diào)查結果顯示：超過85%的平安威逼來自公司內(nèi)部。在損失金額上，由于內(nèi)部人員泄密導致了6056.5萬美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。因此，企業(yè)在加強網(wǎng)絡平安建設和信息平安管理的基礎上，必需采納先進的數(shù)據(jù)泄露防護(DLP)體系防止企業(yè)敏感資料泄密。在經(jīng)過之前幾個月時間對各種防泄密產(chǎn)品的了解、測試，建議采納巨石數(shù)據(jù)泄露防護系統(tǒng)。它基于“事前防范，事中限制，事后審計”的基本思路，以密碼技術為支撐、以身份認證為基礎、以數(shù)據(jù)平安為核心、以監(jiān)控審計為依據(jù)，通過對數(shù)據(jù)的創(chuàng)建、流轉、銷毀的全過程監(jiān)控，從數(shù)據(jù)存儲、網(wǎng)絡傳輸?shù)葘用嬷郑采w數(shù)據(jù)平安的各個方面，構建全方位的數(shù)據(jù)泄漏防護系統(tǒng)。各子系統(tǒng)功能簡介：數(shù)據(jù)存儲平安文檔平安管理系統(tǒng)HS-Key采納透亮加解密技術，在不知不覺中自動完成文件加密。科學、完善的解密審批流程，防止機密文件非法外泄。精確限制外發(fā)出去的文件的運用權限，不再“覆水難收”精細的文件權限限制，確保加密文件的合法運用企業(yè)U盤認證系統(tǒng)HS-UCS完善的U盤認證體系，防止未認證的U盤在企業(yè)內(nèi)部運用。文件打印平安打印監(jiān)控系統(tǒng)HS-PrtMon支持打印內(nèi)容監(jiān)控，供應全方位的打印監(jiān)控和打印管理功能十幾種報表類型從費用、負荷等全方面反映打印狀況。文檔平安管理系統(tǒng)實現(xiàn)功能HS-Key是HS-DLP體系的基礎核心軟件，用于對企業(yè)的機密文件資料進行加密愛護，有效防止員工主動泄密或無意間的數(shù)據(jù)泄露。HS-Key通過文件加密、權限管理、流程管理，以及與AD域和企業(yè)現(xiàn)有的管理系統(tǒng)的緊密結合，來達到企業(yè)對文件平安性和管理人性化的雙重要求。文檔平安管理系統(tǒng)功能特點：功能特點說明文件自動加密，無需人工干預HS-Key采納透亮加解密技術，可以在用戶沒有感覺的狀況下，完成文件的自動加密。精細權限限制，限制文件流轉既可限制文件內(nèi)容復制、拖拽、打印、截屏等操作。也可對文件（本地磁盤\網(wǎng)絡磁盤\移動磁盤文件等）和文件夾的操作進行分權限/分級/分用戶限制。集成管理系統(tǒng)，完備融合流程可與Windows域用戶完備結合。同時可以和企業(yè)的OA/PDM/ERP等管理系統(tǒng)進行緊密的集成，進行組織架構的導入\同步，工作流程融合等。開放策略管理，輕松擴展需求用戶可依據(jù)需求，隨意添加需加密監(jiān)控的應用程序和文件類型，無需二次開發(fā)即可適應將來環(huán)境，為用戶節(jié)約投資成本。解密審批流程，貼合企業(yè)管理加密文件或郵件附件，必需經(jīng)過解密審批流程或者郵件解密流程方能正常完成解密外發(fā)。外發(fā)文件限制，覆水亦可收回可以對外發(fā)離開企業(yè)的文件的讀寫權限、打開次數(shù)、打開時間、復制截屏等操作權限進行精確限制。強制或不強制，部門區(qū)分對待可以依據(jù)不同部門的加密需求選擇是否強制加密，如技術部門可以強制進行全盤加密，銷售部門可以有選擇的加密。黑白名單功能，加強平安管理可對信任的郵箱設置為白名單，加密文件發(fā)往白名單郵箱時自動解密，發(fā)往黑名單郵件時自動拒絕發(fā)送；可對與工作無關的閑聊程序、嬉戲等程序做限制，禁止運行和啟動，實現(xiàn)應用程序黑白名單的管理效果。離網(wǎng)工作限制，外出亦可限制有效限制離網(wǎng)工作電腦的運用權限，并可協(xié)作加密狗來實現(xiàn)指定的管控功能。日志審計功能，追溯平安責任供應完善的事后追查和操作日志檢索功能，對于全部可能造成文件泄密的途徑都可進行追蹤和篩查。文檔平安管理系統(tǒng)實施部署圖：企業(yè)U盤認證系統(tǒng)實現(xiàn)功能U盤的平安認證可以有效防止非法U盤在企業(yè)（或政府）內(nèi)部的運用而導致的泄密問題。UCS系統(tǒng)采納了先進的WDM驅動技術、加密技術和磁盤讀寫權限限制技術，集U盤身份識別、數(shù)據(jù)加密和權限限制功能為一體，是目前功能最強大、平安性最高的U盤認證系統(tǒng)之一。企業(yè)U盤認證系統(tǒng)功能特點：功能特點說明平安U盤制作將任何的一般U盤轉換為一個具有身份標識，并且具有加密功能的U盤。該U盤插入到一般未授權的計算機中，U盤內(nèi)容無法讀取。U盤智能識別可自動識別一般U盤和授權認證U盤，未經(jīng)授權認證的U盤無法在電腦上運用；U盤身份識別經(jīng)過認證的U盤運用時，必需再次輸入密碼，驗證通過后方能正常運用；U盤統(tǒng)一管理全部經(jīng)過認證的U盤在運用時，都可以通過總控臺進行監(jiān)控和記錄；外網(wǎng)限制運用當平安U盤帶回家中，由于無法進行身份認證，所以無法正常運用。U盤運用權限限制限制指定的計算機對于U盤的只讀\禁止運用權限。企業(yè)U盤認證系統(tǒng)實施部署圖：打印監(jiān)控系統(tǒng)實現(xiàn)功能Web方式的打印監(jiān)控系統(tǒng)，支持打印內(nèi)容監(jiān)控，供應全方位的打印監(jiān)控和打印管理功能。十幾種報表類型從費用、負荷等全方面反映打印狀況。完善的設定，可以讓企業(yè)在發(fā)生數(shù)據(jù)泄密時追溯到源頭。打印監(jiān)控系統(tǒng)主要功能特點：功能特點說明打印事務記錄記錄每次打印的服務器、打印機、文檔名、用戶、計算機、打印字節(jié)數(shù)、打印頁數(shù)、打印時間、紙張大小、色調(diào)、打印費用等信息。打印內(nèi)容保存·完整保存每次打印任務的全部內(nèi)容為Tiff圖像格式；·可設定某打印機是否須要保存內(nèi)容及保存的辨別率；·可設定某些用戶的打印內(nèi)容不要保存，哪怕是打印到設定為須要保存內(nèi)容的打印機上；·非PCL和PostScript打印機供應打印內(nèi)容保存，可在打印機上重新打印還原；客戶端認證·支持客戶端打印時彈窗輸入用戶名和密碼認證；·支持客戶端一機多用戶（多人共用一臺電腦）的打印監(jiān)控和計費；·支持依據(jù)打印項目進行認證、監(jiān)控和計費；用戶配額·設定固定配額和依據(jù)年、季、月、周、日打印配額；·置透支方案，依據(jù)比例或金額設定透支上限；打印事務提示·可設定在打印起先、打印勝利和打印失敗時提示打印人；·提示方式支持Windows系統(tǒng)消息；查詢與報表·打印日志查詢，可按時間段、文檔名、用戶名、計算機名和打印機名；·匯總統(tǒng)計報表，供應交叉表和主從表分析，供應表格形式的匯總報表，支持導出成Excel格式；·任務分析報表，具體有文件類型打印統(tǒng)計、打印的頁數(shù)統(tǒng)計、紙張大小統(tǒng)計、打印色調(diào)統(tǒng)計和打印方式統(tǒng)計；·負荷分析報表，具體有打印機日志統(tǒng)計、打印服務器日志統(tǒng)計、計算機打印日志統(tǒng)計和用戶打印統(tǒng)計；·時間分析報表，具體有24小時、天、周、季和年度分布分布；集中管理、認證計費·隨意多臺打印機均可納入管理，實現(xiàn)集中管理、集中認證計費，便利用戶對打印資源的集中管理和成本限制；·多級權限管理，敏捷安排不同功能、不同角色的管理帳戶；打印簽核·用戶的打印任務必需經(jīng)過管理員查看打印內(nèi)容，批準后才送往打印機，適合敏感信息和高成本打印機的全面監(jiān)控打印內(nèi)容存儲備份（附加模塊）。打印內(nèi)容存儲備份可以時時將保存的打印內(nèi)容進行自動存貯備份，便于打印平安存檔和防災。在企業(yè)內(nèi)部部署了HS-DLP體系套件之后，全部敏感、機密的數(shù)據(jù)都被透亮加密與外部之間設了一道平安屏障。即使數(shù)據(jù)被員工以打印的方式帶出，也可以通過打印監(jiān)控系統(tǒng)執(zhí)行倒查機制找出泄密的源頭。這樣就可以從多方面、最大限度的杜絕敏感、機密數(shù)據(jù)泄漏事務的發(fā)生幾率，降低企業(yè)的損失。三、建立一體化的本地/異地備份與容災體系隨著企業(yè)對于數(shù)據(jù)可用性的依靠性越來越高，數(shù)據(jù)已成為企業(yè)最為珍貴的財寶。要保證企業(yè)業(yè)務持續(xù)的運作和勝利，就要愛護基于計算機的信息。但是由于自然災難或是人為錯誤引發(fā)的業(yè)務宕機給企業(yè)造成無可估量的損失，不能被企業(yè)所接受。因此，為企業(yè)的信息系統(tǒng)建立起有效的備份與容災體系，在發(fā)生各類災難時快速響應、全力保證業(yè)務連續(xù)性，成為保證企業(yè)連續(xù)運營的關鍵。美國飛康CDP備份/容災一體化解決方案，徹底變更了傳統(tǒng)的數(shù)據(jù)備份及災難復原方式，全面整合了數(shù)據(jù)備份、系統(tǒng)復原、災難復原、本地及異地容災等多項功能。無論企業(yè)的應用服務器發(fā)生任何意外，例如，惡意的程序破壞、文件損毀、人為誤刪誤改、操作系統(tǒng)宕機、硬件故障，甚至整個機房毀于意外，都可以完整愛護整個信息系統(tǒng)，徹底解決全部傳統(tǒng)備份與容災難題。幫助企業(yè)最大程度的使數(shù)據(jù)丟失最少(RPO)，業(yè)務中斷時間最短(RTO)。飛康CDP備份/容災一體化解決方案的特點：☆1分鐘馬上驗證并復原備份傳統(tǒng)備份機制只能從備份紀錄中確認備份工作執(zhí)行勝利，卻不能保證數(shù)據(jù)能夠用于正確復原。飛康CDP在主機端就能快速轉換為快照磁盤并閱讀快照內(nèi)容，通過iSCSI及FC與應用服務器連結，一分鐘內(nèi)就能檢查快照磁盤里的文件內(nèi)容，并干脆加載數(shù)據(jù)庫系統(tǒng)進行數(shù)據(jù)比對和復原驗證，完全不須要耗時的數(shù)據(jù)回存過程，或占用服務器本身的磁盤空間，影響系統(tǒng)運行。☆5分鐘復原中斷的業(yè)務系統(tǒng)傳統(tǒng)備份機制愛護下的服務器，一旦發(fā)生黑客/病毒攻擊、打補丁造成系統(tǒng)不穩(wěn)定、系統(tǒng)崩潰，就必需經(jīng)過繁復且冗長的回存過程，才能讓系統(tǒng)復原正常運行。利用飛康CDP的SANBoot功能，可以在意外發(fā)生后，通過安裝在應用服務器上的FCHBA或iSCSIHBA，在應用服務器重新開機后接手本機硬盤，5分鐘內(nèi)就能復原系統(tǒng)正常運行，無需重新安裝操作系統(tǒng)和數(shù)據(jù)復原過程。☆10鐘讓故障服務器復原運行當服務器因主板等硬件故障或遭受自然災難，導致整臺服務器無法運行時,必需送修或更換備機，相當耗時費勁。飛康CDP利用虛擬服務器(如VMware)作為復原平臺，采納P2V復原機制，將CDP管理器內(nèi)的磁盤快照，通過iSCSI干脆供應應虛擬機運用，無需冗長的文件系統(tǒng)轉換過程，更不用考慮硬件與驅動程序的兼容性，10分鐘內(nèi)就能從虛擬機上啟動系統(tǒng)，快速復原服務。四、建立防火墻、防入侵及一體化平安網(wǎng)關解決方案由于在現(xiàn)今的網(wǎng)絡環(huán)境下，計算機病毒有不行估量的威逼性和破壞力，因為病毒在網(wǎng)絡中存儲、傳播、感染的方式各異且途徑多種多樣，因此計算機病毒的防范是網(wǎng)絡平安性建設中重要的一環(huán)。企業(yè)應當構造全網(wǎng)統(tǒng)一的防病毒體系。除了部署全網(wǎng)統(tǒng)一集中管理的網(wǎng)絡版殺毒軟件之外，還要在內(nèi)部網(wǎng)與外部網(wǎng)之間，設置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問限制。兩者相輔相成是愛護內(nèi)部網(wǎng)平安的最主要、同時也是最有效、最經(jīng)濟的措施。對于為什么在部署了網(wǎng)絡版殺毒軟件之后還要設置防火墻，可以這么理解：殺毒軟件之所以能殺毒，純粹是依據(jù)病毒樣本的代碼特征來識別是否是病毒，但是對于未知的病毒或變種的病毒，由于這些病毒木馬的特征沒有被殺毒軟件所駕馭，因此殺毒軟件對它們既不能報警，也無法剿殺。所以我們就須要設置防火墻來守護企業(yè)網(wǎng)絡的大門（出入口）。舉個直觀的例子：企業(yè)內(nèi)部網(wǎng)絡就好比是座城堡，網(wǎng)絡管理員是這個城堡的最高統(tǒng)帥，殺毒軟件和防火墻是負責平安的警衛(wèi)，各有分工。殺毒軟件負責對進入城堡的人進行身份鑒別，假如發(fā)覺可疑人物就隔離或者干脆殺除；而防火墻則是門衛(wèi)，掌管網(wǎng)絡的各扇門（端口），對每一個進出城堡的人都進行檢查，一旦發(fā)覺沒有出入證的人就向網(wǎng)絡管理員確認。因此，任何木馬或間諜軟件，或許可能在殺毒軟件的眼皮底下偷偷記錄用戶帳號和密碼，可是由于防火墻把門看得死死的，再多的信息也傳不出去，從而愛護了企業(yè)網(wǎng)絡的平安。另外，對于黑客的攻擊，殺毒軟件是沒有任何方法的，因為黑客的操作不具有任何特征碼，殺毒軟件自然無法識別，而防火墻可以把企業(yè)內(nèi)部網(wǎng)絡的每個端口都隱藏起來，讓黑客找不到入口，自然也就保證了企業(yè)網(wǎng)絡的平安。針對上述狀況，我們可以在企業(yè)服務器上部署趨勢科技防毒墻-服務器版（SP），監(jiān)控和查殺網(wǎng)絡內(nèi)部的病毒、木馬。同時在網(wǎng)關處設置瞻博（JuniperSSG-320M-SH）硬件防火墻對進出的信息進行平安過濾，以此構建平安、無毒的局域網(wǎng)絡。趨勢科技防毒墻-服務器版（SP）的產(chǎn)品架構：ServerProtect是通過一個3層的結構為網(wǎng)絡供應病毒防護：管理限制臺、信息服務器、標準服務器。管理員可以利用管理限制臺配置信息服務器（IS），然后利用信息服務器限制IS域內(nèi)的標準服務器。產(chǎn)品主要功能與特性：☆三層式架構執(zhí)行遠程管理☆內(nèi)建完整的說明功能☆工作管理導向作業(yè)☆支持趨勢EPS企業(yè)平安防護策略☆智能型處理行動☆智能型掃描服務☆書目或文件寫愛護功能☆趨勢TSC系統(tǒng)病毒清除程序☆集中式局域網(wǎng)管理Juniper防火墻介紹：Juniper供應了可擴展的網(wǎng)絡平安解決方案，適用于包括寬帶移動用戶、中小型企業(yè)Internet邊界、大型企業(yè)的內(nèi)部網(wǎng)絡平安域劃分和限制，以至電子商務網(wǎng)站的服務器愛護等等。Juniper全功能防火墻采納實時檢測技術，可以防止入侵者和拒絕服務(denial-of-service)的攻擊。同時，Juniper與國際各大品牌廠商合作供應多種領先的平安技術的集成，包括深層檢測功能（Juniper）、防病毒（卡巴斯基）、垃圾郵件過濾（賽門鐵克）、和網(wǎng)頁過濾（美訊智）4種，并且可以供應試用的臨時許可license，可以讓用戶在肯定時間內(nèi)下載特征庫及運用該內(nèi)容平安更新。過了試用期后，用戶必需定購年度服務來獲得最新的入侵防護攻擊庫、病毒庫、并得到垃圾郵件和網(wǎng)頁過濾的定時更新。Juniper防火墻功能特點：深層檢測功能：深層檢測功能（DeepInspection，簡稱DI）是Juniper的防火墻操作系統(tǒng)ScreenOS里集成的一個特地對網(wǎng)絡流量里的應用層攻擊（包括網(wǎng)絡蠕蟲、木馬和惡意軟件）進行檢測的功能，其實就是將Juniper的IPS/IDP的入侵檢測和防護的功能集成到Juniper防火墻的ScreenOS里面，對會話實施基于狀態(tài)的策略的同時進行對應用層攻擊特征的匹配，并且作出相應的愛護動作。防病毒：防病毒也是一項內(nèi)容愛護不行缺少的部分。深層檢測（DI）是對應用層限制字段信息進行攻擊特征匹配（一般是蠕蟲病毒或緩沖區(qū)溢出等攻擊），而防病毒是針