企业信息系统整体安全解决方案

企业信息系统整体安全解决方案内容摘要：

ntec 公司是世界上唯一一家同时具备国际领先的防垃圾邮件技术和防病毒技术的厂商，产品之间不存在集成和兼容性的问题，保证了用户使用的稳定性；  通过电子邮件防火墙技术，实现在真正 的垃圾邮件与病毒邮件到达用户网络之前，就阻止其企图的功能。 通过此技术，可以极大的节省用户网络的带宽利用，并且真正保护了最终邮件服务器的可用资源（ SMS 8200独有）；  可有效防止 DHA 攻击、垃圾邮件攻击、病毒攻击、空连接攻击、多重压缩攻击等各种针对电子邮件系统的 DOS 攻击（ SMS 8200 独有）；  通过邮件源信誉度判断、 SPF 发件人身份认证技术以及第四代增强型的URL 过滤技术，可以有效的识别目前危害最大的“网络钓鱼”（ Phishing）电子邮件，从而保障目标企业的员工不会遭受到巨大的经济损失；  强大的最终 用户可配置功能。 最终用户通过登陆管理配置界面，可以管理与自己有关的隔离区垃圾邮件，并且可以自定义个体的黑名单、白名单和语言选项，从而大大的降低管理员的管理负担； 北京赛门铁克信息技术有限公司 企 业 信息系统整体安全 解决方案 —————————————————————————————————————————————— 12  能够支持包括英文、中文、法文、德文、日文、韩文等 12 种语言的垃圾邮件识别和过滤。 4． 企业 网终端安全防护 企业 网内的终端数量庞大，各自归属的管理网段不一。 因此建议对于客户端的安全防护 按不同的需求部署。 对于属于 企业 信息中心管理的客户端统一安装Symantec Client Security（以下简称 SCS）。 而对于 经销商、供应商 等，要视 企业 的管理 制度来确定是否强制安装客户端安全软件。 我们以 内部网 为例，说明 企业 网的客户端 安全部署方案。  在 企业内部的 工作终端上部署赛门铁克功能强大的 SCS。 它同时具有病毒防护、入侵保护、防火墙保护等多种 功能，可以对混合型威胁到达主动的防御目的。  在所有的 Windows 服务器上安装 Symantec Antivirus for Servers。  工作终端均接受相应的 SCS 服务器的管理。  针对 企业 网的全网 防病毒系统的升级，建议首先每天自动升级 信息中心的 一级单位防病毒服务器的病毒定义码、扫描引擎、特征库（漏洞特征库和攻击特 征库）和安全规则（防火墙策略），所有客户端可自动地到防病毒服务器上升级。  如果需要设立二级防病毒管理中心 （例如，各 分厂，分公司 ） ， 各二级单位的防病毒 服务器到一级单位的防病毒服务器进行病毒定义码、扫描引擎、特征库和安全规则的升级，同时作为备份，条件允许的二级单位防病毒服务器也可以自己通过 INTRANET 到赛门铁克网站进行升级。 北京赛门铁克信息技术有限公司 企 业 信息系统整体安全 解决方案 —————————————————————————————————————————————— 13 图 10： 企业 网客户端安全防护 除了对 企业 客户端部署安全防护产品以外，在 企业 信 息网内的关键网段，如科研、研发 网段，还需要对访问的客户端部署网络 准入控制策略 Network Admission Control( NAC)。 网络准入控制的核心思想是屏蔽一切不安全的设备和人员接入 企业 内部 网络，或者规范终端用户接入网络的行为，从而铲除对企业重要 网络威胁的源头，避免事后处理的高额成本。 我们可以在访问控制级别较高的网段内部署赛门铁克网络准入控制方案。 当外来相关人员接入 企业 网 内部的时候，边界的准入措施 （防火墙等） 往往会失去效用，这时就需要借助 赛门铁克 强制服务器（ Lan Enforcer）。 Lan Enforcer 可以和 交换机在接入层对 企业 网终端 实现网络准入控制。 示意图如下： 北京赛门铁克信息技术有限公司 企 业 信息系统整体安全 解决方案 —————————————————————————————————————————————— 14 图 11： 内部 网段 客户端 准入控制 Lan Enforcer 强制服务器可以管理支持 的交换机。 它要求交换机主动认证接入的 PC。 如果 PC 上没有安装 赛门铁克 客户端软件，或者其他主机安全状况检查没有达标，则交换机可以根据 Lan Enforcer 指令，容许或拒绝其接入内部网络。 也可以将此类 PC 隔离到一个漫游区，外来用户，移动用户可以在漫游区修复安全状况，或者受限制的访问网络。 一旦安全修复完成， Lan Enforcer 强制服务器会通知交换机将该 终端 从漫游区切换到 工作 VLAN 之中。 三、 企业安全整体方案 总结 本建议 方案是从典型的 企业 网结构出发建立起的全方位的安全防护方案。 企业 网的特点是平台相对开放，用户终端多。 因此，本方案 从网络边界防护、网络内部监控，垃圾邮件控制，终端安全方案 等 几个方面对 企业 网的信息安全 进行 规划 ， 从而实现 对 整体 网络的安全保护。 北京赛门铁克信息技术有限公司 企 业 信息系统整体安全 解决方案 —————————————————————————————————————————————— 15 第二 部分 制造业信息 系统存储 解决方案 一、 行业背景 企业为适应未来的发展，提高在市场上的竞争力，先后成功实施了跟企业发展相关的应用系统， 在 业务 、 办公等系统中带来了明显的效益。 但在应用系统规模日益扩大，企业的生产和经营越来越依赖 IT 系统的同时，也给企业数据的安全防护带来更大的 挑战，信息系统中数据的可靠性，将直接关系到企业的业务 系统 能否正常运行。 目前的 企 业已经达成一种共识，即企业信息 系统 和 业务数据是一种非常关键和重要的无形 资产，为了保护企业在 IT 上的投入，最关键的问题是建立一套完善的 存储系统 ，当发生任何的 风险 时，能够尽快的恢复计算机系统 、应用 和数据，保证业务 系统 能够 不中断运转。 二、 制造业 信息系统 的 典型 架构 由于行业的自身特点，通常的核心信息系统和平台分布状况如下： 名称 运行平台 应用系统 数据库 /应用组件 重要性 ERP 服务器 Windows/ Unix ERP 系统 （双机高可用） SQL /ORACLE /SAP 非常重要 中间件服务 Windows 2020 /2020 Server ERP 中间服务系统 中间件产品 非常重要 CRM 服务器 Windows /Unix 客户关系管理系统 Sql Server ( 或Oracle) 重要 PLM Windows /Unix 产品生命周期管理系统 Sql Server ( 或Oracle) 非常重要 PDM Windows /Unix 产品数据管理系统 Sql Server ( 或Oracle) 非常重要 邮件服 务器 Windows /Unix 邮件及办公自动化 Domino ( 或Exchange) 重要 域控制器 Windows 2020 /2020 Server 主域控制器 AD 目录 重要 WEB/代理 /门户服务器 Windows 2020 /2020 Server WEB/代理 /门户 服务 SharePoint Potal Server Apache Web Server （或其它应用 ) 重要 文件 /打印 Windows 2020 文件共享 /打印服 重要 北京赛门铁克信息技术有限公司 企 业 信息系统整体安全 解决方案 —————————————————————————————————————————————— 16 服务器 /2020 Server 务 个人 电脑 Windows 2020 /XP CAD 系统 Auto CAD 等软件 重要 目前很多企业的客户还是通过简单的手工方式管理这些环境中的数据备份，有的甚至还完全没有 任何 数据保护 手段 ，这隐藏着极大的风险。 Symantec 提供专业的存储软件，能够为客户实现完善的端到端的数。