2013年6月5日,前美國中央情報局雇員愛(ài)德華·斯諾登向英國《衛報》和美國《華盛頓郵報》爆料,曝光了美國國家安全局(NSA)等美國政府部門(mén)監視公民隱私的“棱鏡”項目。
“棱鏡門(mén)”事件改變了全世界對網(wǎng)絡(luò )安全的關(guān)注重點(diǎn),人們開(kāi)始重新審視網(wǎng)絡(luò )安全問(wèn)題。最大的變化是,更多的企業(yè)和政府單位開(kāi)始關(guān)注自己的數據是否安全。
短板才是防御重點(diǎn)
棱鏡門(mén)事件也證明了信息安全領(lǐng)域,沒(méi)有“完美防線(xiàn)”只有“木桶理論”。無(wú)論多豪華的防線(xiàn),一個(gè)漏洞便會(huì )讓所有防御形同虛設。石化行業(yè)歷來(lái)都是走在企業(yè)信息化的前端,每年的信息化建設更是“不計成本”。如下表所示,2015年能源行業(yè)的信息化投資規模將高達505.7億元。
作為全球500強企業(yè)排名13位,世界50強石化公司排名第5的中石油,早在20世紀就開(kāi)始了全面信息化與國際接軌的道路。如今,龐大的信息化基礎建設在增強中石油企業(yè)競爭力的同時(shí),也帶來(lái)了不可避免的信息安全問(wèn)題!
如何找出安全短板建立安全堡壘?
防內御外,確保數據安全國家計算機應急響應中心數據顯示,在所有的計算機安全事件中,約有52%是人為因素造成的,技術(shù)錯誤和組織內部人員作案各占10%,3%左右是由外部不法人員的攻擊造成。所以,建立安全的主動(dòng)防御機制,才能內外兼顧杜絕安全短板。
2014年,中石油攜手恒揚科技采用DLP+IDS的組合方式防內御外,將信息安全提升一個(gè)新高度!如圖1-2所示,恒揚分流器配合DLP Server和IDS Server監控管理企業(yè)與外部網(wǎng)絡(luò )之間的交換的所有數據,在檢測外部入侵的同時(shí),防止內部數據的泄露,建設起一個(gè)高性能的安全堡壘。
在此整體方案中,
DLP:(Data Leakage Prevention數據泄漏防護)主要為企業(yè)內部建立防泄漏機制。通過(guò)劃分文檔密級,嚴格控制權限分配,對內部文檔、電子郵件、網(wǎng)絡(luò )數據、即時(shí)消息等等方式進(jìn)行防泄漏檢測和控制。對數據泄漏、信息安全做主動(dòng)防御檢測。
IDS:(Intrusion Detection Systems入侵檢測系統)依照一定的安全策略,通過(guò)軟、硬件,對網(wǎng)絡(luò )、系統的運行狀況進(jìn)行監視,盡可能發(fā)現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網(wǎng)絡(luò )系統資源的機密性、完整性和可用性。
而恒揚分流器做到了:
- 確保全面防御,不留安全短板
恒揚分流器FC1800從線(xiàn)路中采集上下行所有數據,然后負載均衡轉發(fā)到DLP Server,同時(shí)鏡像一份數據到IDS Server。即所有數據都會(huì )同時(shí)接受DLP Server的防泄密檢測和IDS Server的入侵檢測。真正做到全面防御。
- 雙層冗余,拒絕單點(diǎn)故障,避免監控漏洞
在安全堡壘的實(shí)際建設過(guò)程中,分流器是主備配置,確保設備本身出現突發(fā)故障時(shí)不會(huì )造成數據采集斷流。同時(shí)FC分流器負載均衡轉發(fā)數據到DLP Server時(shí),若服務(wù)器群組中的設備出現突發(fā)故障,FC1800可自動(dòng)檢測接口狀態(tài),將流量均衡至其他正常服務(wù)器。從而真正避免單點(diǎn)故障,避免監控漏洞!
- 嚴格流量控制,不讓數據脫離監控
中石油本次全面防御的整體方案中,DLP Server的接入性能只有400MB,FC1800分流器在采集完整數據的同時(shí),通過(guò)配置精確的轉發(fā)規則和流量統計進(jìn)行嚴格流量控制,確保轉發(fā)至每臺DLP Server的流量不超過(guò)400MB。不讓數據成為監控和防泄漏檢測的“漏網(wǎng)之魚(yú)”。
