一、信息安全问题日益突出

案例1：

西安重型机械研究所(简称西重所)前高级工程师裴国良在跳槽后，通过移动硬盘将原单位的近万张商业秘密技术设计图纸“剽窃”到新单位中冶连铸技术工程有限公司，后来中冶连铸公司在诸多工程项目屡次中标，使西重所失去应有的市场份额，经济上蒙受了巨大损失。这次“剽窃式跳槽”在给西重所造成重大损失的同时，也让裴国良教训深刻。西安市中院日前宣判：裴国良被判3年有期徒刑、5万元罚金，还要与中冶连铸公司共同赔偿西重所经济损失1782万元。这是目前国内赔偿额最大的一起商业秘密侵权案。

案例2：

金凤凰公司是深圳市龙岗区一家大型家具公司，2004年1月，该公司原采购部经理戴某、图纸设计员吴某“跳槽”到龙岗区另一家家具生产企业金富丽公司。他们“跳槽”前利用职务之便，通过电子邮件带出大量金凤凰公司的受控文件，并且将金凤凰公司家具产品图纸用于金富丽公司生产。当年，金富丽公司迅速组织生产销售了大量与金凤凰公司产品风格外观极为近似的高档家具，造成金凤凰公司巨额损失。2006年8月23日深圳市中级人民法院对金富丽公司侵犯商业秘密一案作出终审判决，判被告金富丽公司构成侵犯商业秘密罪，判处罚金人民币50万元。该公司的直接责任人员戴某、吴某被判处有期徒刑1年，缓刑两年。

互联网和IT技术的普及，使得应用信息突破了时间和空间上的障碍，信息的价值在不断提高。但与此同时，计算机病毒、系统非法入侵、数据泄密、木马植入、漏洞非法利用等信息安全事件时有发生。据公安部的调查结果显示，每年都有将近50%的企业发生过信息安全事件。

在工业时代，世界上最大的商业秘密，代号 7X 的可口可乐配方，采取了严密的保密措施，为可口可乐公司赢得了超过800 亿美元无形资产。信息目前已经成为公司的机密资产。上面两个案例均是商业机密信息丢失给企业造成的重要损失。保护企业商业机密已经成为企业维护知识产权的重要手段了。

二、信息安全是系统

随着信息技术的发展随之而来的是大量的存储数据，越来越多的技术资料被存储于电脑外围设备中，包括硬盘、磁带、光盘等介质中。对很多企业来说，计算机设计的图纸或者作品，已经成为企业的核心技术和命脉，因此，计算机中存储信息的安全，也越来越受到人们的重视。人们采用了各种不同的手段来保护数据的安全，包括使用多个备份来保护数据防止意外丢失而造成损失，使用防火墙保护数据防止外部入侵的攻击，使用防病毒软件防止病毒的破坏，使用严格的管理制度，防止数据外泄等。

但是经常发生的情况是，安全投入也不少，但是还是不见效果。原因就在于安全不是简简单单的设备堆积，不是说买几套防火墙或者IPS就够了的。安全也不是单纯的技术问题，光靠技术手段无法完全解决安全问题。所以安全尤其是企业信息安全是一整套系统，涵盖了技术系统和管理系统。

公司员工要时刻记住信息安全，首先，将信息安全纳入员工考核体系，作为员工选拔的重要参考因素；其次，在日常工作中，加强信息安全的宣传、培训等；再次，通过有效的控制手段、技术保障来贯彻信息安全；最后，实行有效的奖惩制度和相关法律保障。

l         法律：员工任职期间需要签署保密协议，第三方合作人员必须签署保密协议

l         奖惩：对于违反信息安全策略的员工，根据情节严重程度进行处罚，包括通报批评，罚款和降薪等措施

l         培训/宣传：新员工入职和第三方合作人员需要定期学习信息安全策略流程和规定

l         技术保障：员工离职时收回所有涉及公司业务内容的信息，并立即取消对所有系统的访问权限

l         考核：将信息安全纳入员工考核体系，作为员工选拔的重要参考因素

管理制度跟上之后，就需要有技术手段来执行和监督。信息技术可以避免信息泄漏事件的发生，将泄密事件的可能降到最低，同时也提供事后审计手段，当信息泄漏之后，能够追踪要责任人，调查清楚事件的来龙去脉，为防止以后类似事件发生提供参考。

三、五层安全体系

对于企业来讲，商业机密包括了财务数据、客户资料、设计方案和程序代码等等，其他任何数据的丢失都可能给企业带来巨大的损失。企业信息安全体系最终目的就是保护数据安全，不受偶然的或者恶意的原因而遭到破坏、更改、泄露。

要切实保护商业机密，需要构建的是整套安全系统，从各个层面各个角度来进行安全保护。H3C创新性地提出了五层安全体系，从网络安全、终端安全、应用安全、数据安全和环境安全五个层面来构建企业安全平台，将安全威胁彻底拒之于门外。

第一层：网络安全

终端安全常见问题：非法终端接入网络、终端端口泄密

网络边界保护

随着企业网络上承载的业务越来越多，越来越重要，构建一个安全、高效的网络环境对企业而言已经是势在必行。但与此同时，蠕虫病毒、黑客攻击、恶意P2P流量等等网络威胁却愈演愈烈。H3C的边界安全解决方案，将高性能的安全设备部署在网络边界上，通过集成和融合使安全设备的综合防御能力不断提升，最大程度地保护网络边界安全。

网络边界保护四部曲：

l         小型规模网络：MSR路由器充当防火墙功能

l         中型规模网络：SecPath/SecBlade防火墙提供2-4层包过滤

l         大中型规模网络：SecPath/SecBlade IPS提供4-7层安全防护

l         大型规模网络：部署防火墙、IPS以及网络产品，安全管理平台进行统一安全管理。

内网安全保护

在所有的安全事件中，有超过70%的安全事件是发生在内网上的，并且随着网络的庞大化和复杂化，这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点，但是由于局域网以纯二层交换环境为主、节点数量多、分布复杂等原因，一直以来也都是安全建设的难点。基于H3C在以太网安全领域积累的大量经验，在H3C交换机产品中提供了大量的安全特性，可以充分保障局域网的安全。

H3C局域网交换机的安全特性包括：

þ        防DDOS攻击

þ        防蠕虫病毒

þ        接入安全技术——防IP伪装

þ        防中间人攻击——STP Root / BPDU 保护

þ        防ARP欺骗

þ        DHCP server 保护

þ        路由协议攻击防护能力

通过部署H3C局域网交换机，同时开启相关的安全功能，进行内网安全保护，可以有效的将病毒和攻击扼杀在摇篮里。

第二层：终端安全

终端安全常见问题：非法终端接入网络、终端端口泄密

终端接入安全

普通企业网络不对接入电脑进行认证，外部人员携带电脑进入公司办公区，可随意接入公司网络，访问内网资源，这样直接导致公司机密文件被外部人员访问甚至带出，后果非常危险。H3C的EAD端点准入防御系统能对登录内网的用户进行唯一性身份认证，限制非法终端或非授权、外来用户接入随意使用网络，同时禁止任何方式（包括使用拨号、双网卡等）使终端一台计算机同时可访问办公、业务网和Internet。

为了确保只有符合企业安全标准的用户接入网络，EAD通过交换机的配合，强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估。EAD方案同时通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动，可以将不符合安全要求的终端限制在“隔离区” 内，防止“危险”终端对局域网安全的损害，避免“易感”终端受病毒、蠕虫的攻击，从而大幅度提升了局域网抵御新兴安全威胁的能力。

终端端口安全

通过移动存储介质带出文件是主要的信息泄漏途径之一，因此PC终端的存储媒体、介质信息泄漏防护也是非常重要的功能。利用第三方防水墙，可以进行存储媒体、介质防护，包括软盘存储器防护，可移动存储器防护和CD-ROM 防护。其中可移动存储器包括USB 接口的所有可移动存储设备，包括U 盘、移动硬盘。通过电脑终端的端口控制，将容易泄密的端口全面进行，可以达到最佳预防效果。

第三层：应用安全

互联网应用安全：

随着网络的发展，基于互联网的应用也越来越普及，像QQ、MSN、BT等即时通信工具和P2P工具都成了现代人生活的必备工具，然而MSN,QQ，BT等工具现在也成了很多企业CIO们最挠头的问题。首先QQ/MSN在企业中使用很容易造成文件泄密，QQ/MSN都具备点对点传输文件的功能，网管员很难监控，所以经常有通过QQ/MSN等工具传输部门机密文件的事件发生。BT、电驴、ftp等工具也有这种文件泄密的可能。另外这些互联网应用还容易影响工具效率，甚至感染病毒。所以企业中通常需要对即时通信工具或者P2P工具进行管控，限制甚至禁止他们的运行，以确保互联网应用安全。

限制互联网应用有两种方式：一种是在出口设备处进行控制，另一种是在PC机上进行控制。在出口设备上，可以选择MSR路由器或者Secpath防火墙，通过端口和IP地址等策略限制QQ/MSN/BT等应用。如果需要更好、更多、更快地进行限制，可以选择部署ACG应用控制网关，通过对应用的协议特征码深入分析来限制，限制的应用种类更多。

另外可以在PC终端处进行限制，当机器运行EAD认证时，程序先检查系统有没有运行QQ.exe、MSN.exe等进程，如果有运行，则可强制其下线，禁止其接入网络。当前这需要在EAD服务器端设置相应的策略，在“可控制软件管理”中将需要禁止运行的进程加入到“可控制软件列表”当中。这样就从根源上面断绝了容易泄密的互联网工具的使用。

邮件审计

目前电子邮件已经成为人们最重要的沟通方式。电子邮件快捷、方便的特点已经成为企业与外部沟通的最有效的方式之一。企业内部大量的信息都通过电子邮件方式发送到外部，因而电子邮件也成为泄漏企业重要信息的重要途径之一。

在企业中为了保证电子沟通安全，通常要部署电子邮件审计系统，对于邮件中的敏感字、关键字进行过滤，或者延迟发送，待管理员审核。对于已经发出的邮件，需要进行事后审计发件人、发送时间、发送主题、内容和附件，万一发生电子邮件泄密事件，可以进行追溯，追究到责任人。

H3C的ACG提供了Email的监控与审计功能，可以部署在网络出口，对E-mail行为进行策略设置，同时保留日志进行日后审计。

第四层：数据安全

服务器备份方式将重要数据的计算和存储放在一台设备中，带来了很多的安全隐患。其一，服务器承载的应用种类日益复杂，升级维护更趋频繁；相应的，新业务系统带来的磁盘扩容也是家常便饭。两者各自的操作都会让对方业务中断，更可能给对方带来致命的灾难。其二，病毒和误操作等导致数据丢失往往发生在不经意之间。数据如果不能精确地恢复到故障刚刚发生之前，那和没有恢复其实也没什么两样了。

将数据的计算和存储相分离，采用数据的集中存储和快照多时间点保护等IP存储技术，已成为数据安全防护的趋势。H3C提出的IP存储整合解决方案，利用IP存储设备构建起一个同时兼顾在线存储与近线备份的CDP连续数据保护平台，在实现高可靠、高性能的在线集中存储的同时，保证了近线备份存储的高效与安全，为企业业务的连续性与数据的安全保护与恢复提供了坚实基础。

企业利用H3C的IP存储解决方案，可以轻松实现主机系统和数据保护，对企业重要在线数据盘实时、多时间点保护，一旦出现故障，在10分钟内恢复数据和业务。

第五层：环境安全

企业安放工作也是信息安全的内容之一，下班时间外人直接进入办公环境，盗窃文件或者盗窃笔记本电脑、服务器等硬件设备，存储在其中的机密文件也会相应丢失，所以一般企业都会上视频监控系统，并且照片相应的管理员，随时随地监视办公室的人流情况。但传统监控的缺陷一直是企事业单位主管的心结。传统监控不仅图像差，检索麻烦，关键是过分依赖使用者本人的责任心。而且即使再有责任心的人，整天面对大量重复单调的监控画面也会大大降低敏感度。如何利用新技术提高监控系统的可靠性，切实保障办公环境安全，减少财务丢失，更好地提升公司管理效率，是每个希望提升信息部门在公司地位的CIO需要考虑的现实问题。

IP网络让监控画面可同步传给保卫科、公安和消防部门，单位主管在家也能现场指挥处理；IP存储基于数据块的实时备份，使得保卫人员可以随意调阅案发前的所有情况，哪怕就是一分钟之前的情况。在企业实际使用中，可以在下班以后在资料室或者其他有保密资料存放的地方开启IP智能监控功能，当这个区域出现出现人的时候，监控系统自动报警，可以发邮件给管理员，或者发短信给管理员，这样管理员在家里可直接打开监控页面，察看当时的情况。

网络安全、终端安全、应用安全、数据安全和环境安全五个层面的安全体系保障了企业机密信息和数据的安全，实现了信息安全的“四不原则”。

1. 进不来，通过物理隔离等手段，阻止非授权用户进入网络

2. 拿不走，使用屏蔽、防下载机制，实现对用户的权限控制

3. 读不懂，通过认证和加密技术，确信信息不暴露给未经授权的人或程序

4. 跑不掉，使用日志、安全审计、监控技术追踪进攻者，并通过证据的保存使得攻击者不能抵赖自己的行为

H3C在五层安全体系分别提供了相应的产品和解决方案，企业根据自身的现状进行信息安全整体规划，然后安全不同阶段来分步实施，以保证信息安全投资的高效利用。

四、为企业安全保驾护航

经过多年的高速发展，H3C已成为IT安全领域的领导者之一，市场份额占据国内第二位；其中，H3C IPS产品已处于国内绝对领先地位。H3C在ItoIP核心战略的指引下，逐步形成了覆盖计算安全、通信安全及数据安全的端到端安全解决方案，并推出包括安全交换机、路由器、防火墙/VPN、UTM、IPS、应用优化与控制、EAD、安全评估与咨询以及安全管理中心在内的业界最完整的安全产品线。

2007年，H3C安全以“专业安全、应用为本”为发展理念，推出了OAA系列业务模块和以IPS、异常流量清洗AFC、应用控制网关ACG等为代表的全系列4-7层产品，这标志着H3C对应用层安全前沿技术的理解和精通；2007年8月，H3C推出全球首款万兆防火墙模块SecBlade FW，使H3C成为能提供万兆高端安全平台的少数厂商之一。目前，H3C正努力通过先进的安全管理平台,制定有效的安全策略和联动机制，对安全事件进行统一响应和处理，实现从局部安全、全局安全上升到智能安全的阶段性跨越。

H3C安全完善的技术解决方案与以上产品相配合，已规模应用于政府、金融以及电信等行业。成功应用于交通部、人事部、劳动部、中国农业银行、中国人寿、国家电网公司、中国石化、中国石油、国家大剧院、新华社、国家金融交易平台、中国网通集团、上海电信、浙江移动等，并得到广泛认可。同时，与微软、Intel、卡巴斯基、CommTouch、SecureComputing等众多业内知名厂商，建立最广泛的合作，通过兼容、认证和联盟等方式，共同为用户提供最佳的IT安全解决方案。