2013年6月5日，前美國中央情報局雇員愛德華·斯諾登向英國《衛(wèi)報》和美國《華盛頓郵報》爆料，曝光了美國國家安全局（NSA）等美國政府部門監(jiān)視公民隱私的“棱鏡”項(xiàng)目。

　　“棱鏡門”事件改變了全世界對網(wǎng)絡(luò)安全的關(guān)注重點(diǎn)，人們開始重新審視網(wǎng)絡(luò)安全問題。最大的變化是，更多的企業(yè)和政府單位開始關(guān)注自己的數(shù)據(jù)是否安全。

　　短板才是防御重點(diǎn)

　　棱鏡門事件也證明了信息安全領(lǐng)域，沒有“完美防線”只有“木桶理論”。無論多豪華的防線，一個漏洞便會讓所有防御形同虛設(shè)。石化行業(yè)歷來都是走在企業(yè)信息化的前端，每年的信息化建設(shè)更是“不計(jì)成本”。如下表所示，2015年能源行業(yè)的信息化投資規(guī)模將高達(dá)505.7億元。

　　作為全球500強(qiáng)企業(yè)排名13位，世界50強(qiáng)石化公司排名第5的中石油，早在20世紀(jì)就開始了全面信息化與國際接軌的道路。如今，龐大的信息化基礎(chǔ)建設(shè)在增強(qiáng)中石油企業(yè)競爭力的同時，也帶來了不可避免的信息安全問題！

　　如何找出安全短板建立安全堡壘？

　　國家計(jì)算機(jī)應(yīng)急響應(yīng)中心數(shù)據(jù)顯示，在所有的計(jì)算機(jī)安全事件中，約有52%是人為因素造成的，技術(shù)錯誤和組織內(nèi)部人員作案各占10%，3%左右是由外部不法人員的攻擊造成。所以，建立安全的主動防御機(jī)制，才能內(nèi)外兼顧杜絕安全短板。

　　2014年，中石油攜手恒揚(yáng)科技采用DLP+IDS的組合方式防內(nèi)御外，將信息安全提升一個新高度！如圖1-2所示，恒揚(yáng)分流器配合DLP Server和IDS Server監(jiān)控管理企業(yè)與外部網(wǎng)絡(luò)之間的交換的所有數(shù)據(jù)，在檢測外部入侵的同時，防止內(nèi)部數(shù)據(jù)的泄露，建設(shè)起一個高性能的安全堡壘。

　　在此整體方案中，

　　DLP：（Data Leakage Prevention數(shù)據(jù)泄漏防護(hù)）主要為企業(yè)內(nèi)部建立防泄漏機(jī)制。通過劃分文檔密級，嚴(yán)格控制權(quán)限分配，對內(nèi)部文檔、電子郵件、網(wǎng)絡(luò)數(shù)據(jù)、即時消息等等方式進(jìn)行防泄漏檢測和控制。對數(shù)據(jù)泄漏、信息安全做主動防御檢測。

　　IDS：（Intrusion Detection Systems入侵檢測系統(tǒng)）依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

　　而恒揚(yáng)分流器做到了：

• 確保全面防御，不留安全短板

　　恒揚(yáng)分流器FC1800從線路中采集上下行所有數(shù)據(jù)，然后負(fù)載均衡轉(zhuǎn)發(fā)到DLP Server，同時鏡像一份數(shù)據(jù)到IDS Server。即所有數(shù)據(jù)都會同時接受DLP Server的防泄密檢測和IDS Server的入侵檢測。真正做到全面防御。

• 雙層冗余，拒絕單點(diǎn)故障，避免監(jiān)控漏洞

　　在安全堡壘的實(shí)際建設(shè)過程中，分流器是主備配置，確保設(shè)備本身出現(xiàn)突發(fā)故障時不會造成數(shù)據(jù)采集斷流。同時FC分流器負(fù)載均衡轉(zhuǎn)發(fā)數(shù)據(jù)到DLP Server時，若服務(wù)器群組中的設(shè)備出現(xiàn)突發(fā)故障，F(xiàn)C1800可自動檢測接口狀態(tài)，將流量均衡至其他正常服務(wù)器。從而真正避免單點(diǎn)故障，避免監(jiān)控漏洞！

• 嚴(yán)格流量控制，不讓數(shù)據(jù)脫離監(jiān)控

　　中石油本次全面防御的整體方案中，DLP Server的接入性能只有400MB，F(xiàn)C1800分流器在采集完整數(shù)據(jù)的同時，通過配置精確的轉(zhuǎn)發(fā)規(guī)則和流量統(tǒng)計(jì)進(jìn)行嚴(yán)格流量控制，確保轉(zhuǎn)發(fā)至每臺DLP Server的流量不超過400MB。不讓數(shù)據(jù)成為監(jiān)控和防泄漏檢測的“漏網(wǎng)之魚”。