全面防御，恒揚科技為中石油的信息安全保駕護航

　　2013年6月5日，前美國中央情報局雇員愛德華·斯諾登向英國《衛(wèi)報》和美國《華盛頓郵報》爆料，曝光了美國國家安全局（NSA）等美國政府部門監(jiān)視公民隱私的“棱鏡”項目。

　　“棱鏡門”事件改變了全世界對網(wǎng)絡安全的關注重點，人們開始重新審視網(wǎng)絡安全問題。最大的變化是，更多的企業(yè)和政府單位開始關注自己的數(shù)據(jù)是否安全。

　　短板才是防御重點

　　棱鏡門事件也證明了信息安全領域，沒有“完美防線”只有“木桶理論”。無論多豪華的防線，一個漏洞便會讓所有防御形同虛設。石化行業(yè)歷來都是走在企業(yè)信息化的前端，每年的信息化建設更是“不計成本”。如下表所示，2015年能源行業(yè)的信息化投資規(guī)模將高達505.7億元。

　　作為全球500強企業(yè)排名13位，世界50強石化公司排名第5的中石油，早在20世紀就開始了全面信息化與國際接軌的道路。如今，龐大的信息化基礎建設在增強中石油企業(yè)競爭力的同時，也帶來了不可避免的信息安全問題！

　　如何找出安全短板建立安全堡壘？

　　國家計算機應急響應中心數(shù)據(jù)顯示，在所有的計算機安全事件中，約有52%是人為因素造成的，技術錯誤和組織內部人員作案各占10%，3%左右是由外部不法人員的攻擊造成。所以，建立安全的主動防御機制，才能內外兼顧杜絕安全短板。

　　2014年，中石油攜手恒揚科技采用DLP+IDS的組合方式防內御外，將信息安全提升一個新高度！如圖1-2所示，恒揚分流器配合DLP Server和IDS Server監(jiān)控管理企業(yè)與外部網(wǎng)絡之間的交換的所有數(shù)據(jù)，在檢測外部入侵的同時，防止內部數(shù)據(jù)的泄露，建設起一個高性能的安全堡壘。

　　在此整體方案中，

　　DLP：（Data Leakage Prevention數(shù)據(jù)泄漏防護）主要為企業(yè)內部建立防泄漏機制。通過劃分文檔密級，嚴格控制權限分配，對內部文檔、電子郵件、網(wǎng)絡數(shù)據(jù)、即時消息等等方式進行防泄漏檢測和控制。對數(shù)據(jù)泄漏、信息安全做主動防御檢測。

　　IDS：（Intrusion Detection Systems入侵檢測系統(tǒng)）依照一定的安全策略，通過軟、硬件，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。

　　而恒揚分流器做到了：

• 確保全面防御，不留安全短板

　　恒揚分流器FC1800從線路中采集上下行所有數(shù)據(jù)，然后負載均衡轉發(fā)到DLP Server，同時鏡像一份數(shù)據(jù)到IDS Server。即所有數(shù)據(jù)都會同時接受DLP Server的防泄密檢測和IDS Server的入侵檢測。真正做到全面防御。

• 雙層冗余，拒絕單點故障，避免監(jiān)控漏洞

　　在安全堡壘的實際建設過程中，分流器是主備配置，確保設備本身出現(xiàn)突發(fā)故障時不會造成數(shù)據(jù)采集斷流。同時FC分流器負載均衡轉發(fā)數(shù)據(jù)到DLP Server時，若服務器群組中的設備出現(xiàn)突發(fā)故障，F(xiàn)C1800可自動檢測接口狀態(tài)，將流量均衡至其他正常服務器。從而真正避免單點故障，避免監(jiān)控漏洞！

• 嚴格流量控制，不讓數(shù)據(jù)脫離監(jiān)控

　　中石油本次全面防御的整體方案中，DLP Server的接入性能只有400MB，F(xiàn)C1800分流器在采集完整數(shù)據(jù)的同時，通過配置精確的轉發(fā)規(guī)則和流量統(tǒng)計進行嚴格流量控制，確保轉發(fā)至每臺DLP Server的流量不超過400MB。不讓數(shù)據(jù)成為監(jiān)控和防泄漏檢測的“漏網(wǎng)之魚”。