华为赛门铁克TSM终端安全管理系统
随着企业和组织网络规模的增大,分支机构、移动办公、访客等增加了网络中的接入点,使存在于各层的网络漏洞成倍的增加,以利益驱动的专业黑客往往锁定企业终端为目标,利用终端中的安全漏洞,获取对重要资源的访问权限,进而对核心业务系统发起攻击,造成数据被窃听或破坏,核心业务中断、恶意代码传播等安全事故,使企业业务和声誉受损。
通过全面端点安全评估和统一配置,华为赛门铁克Secospace TSM (Terminal Security Management,终端安全管理)系统,在端点接入网络前主动进行安全状态评估,建立基于用户角色的网络访问机制,并为不符合安全基线的终端提供系统漏洞修复,从而将病毒屏蔽在网络之外,为企业和组织构建一个完整、简单和易于管理的终端安全环境。
纵深化防御:结合终端层、网络层、应用层形成纵深安全防御体系,为企业和组织构筑完整的网络安全防线——在终端层主动评估终端安全状态,与网络层的安全接入控制设备联动实现基于用户角色的访问控制,并协同应用层的补丁、资产管理,主动阻止和隔离风险,有效增强整网对抗风险的能力。
一体化部署:为应对日益复杂的安全攻击,往往需要部署多家厂商的终端管理产品,而这些解决方案间缺乏关联度,难以一体化运作,造成采购成本昂贵、结构复杂和难以维护。针对企业需要简化IT解决方案的实际需求,TSM系统整合接入控制、强制安全策略遵从、员工行为管理、补丁管理、资产管理和软件分发等于一体,为企业建立一个一体化、完整的终端安全管理体系,有效降低IT部署复杂度,提高成本效益。
全方位保护: 企业内部信息安全管理是以安全法规为基础、安全技术为支撑、业务流程和安全管理为保障的系统工程。TSM系统以安全策略为中心,通过策略检查、接入控制、行为审计和补丁修复建立不断完善的PDCA防护过程,为企业提供全方位内网终端安全管理和保护,持续改进企业安全状况,提升企业信息安全管理水平。
主要功能:
?网络安全接入控制,发现并控制内部员工、外来访客和合作伙伴等对企业网络资源的访问,防止非法用户和不安全的终端接入内网,并根据用户身份授权访问指定的内网资源;
?终端安全基线管理,集中配置终端的安全基线,全面评估终端的安全状态,对不符合安全基线的终端进行隔离、修复,提高终端的安全防护水平,保证企业整网的安全;
?用户行为管理,审计并控制终端用户违法企业管理制度的行为,如非法外联、计算机外设、网络访问行为等,防止计算机和网络资源的滥用和恶意破话,规范终端用户使用IT资源的行为,提高企
业整网的可用性和效率;
?补丁和软件分发,提供智能、高效的补丁和软件分发功能,准确的评估系统漏洞,在最大限度降低网络带宽占用率的同时,帮助及时终端更新补丁,消除终端的安全漏洞;
?企业资产安全审计,动态收集企业软、硬件资产信息,跟踪企业资产变更,帮助管理员全面了解
终端资产状况,提供企业整网的IT管理水平。
多种接入控制方案,满足各种网络接入场景下的准入控制需求
?安全接入控制网关,电信级硬件网关设备,提供对终端的安全接入控制,部署和维护简单,安全
可靠、性能卓越,最高支持40000并发用户数;
?802.1x控制方式,基于端点的安全接入控制,支持国内外主流厂商交换机,有效保证网络的接入
安全;
?主机防火墙接入控制方式,基于主机防火墙的纯软方案,不依赖于任何网络设备,实现基于端点的安全接入控制,部署、维护简单,可主动阻止或隔离未安装代理的不安全终端对邻居终端的访问,
减少威胁。
全面的身份认证方式,不同场景下灵活选择
提供基于用户名密码的认证授权,同时也广泛支持主流的外部认证平台,如:AD、LDAP、USBKEY+数字证书等,节省用户投资的同时极大的方便了管理员对访问用户进行统一的管理和配置,很大程度上降低了支持和维护的成本。同时,提供基于Agent客户端和基于IE浏览器的的无Agent认证方式,灵活满足内部员工、移动办公用户和临时访客的安全接入认证需求。
基于用户角色的网络访问权限控制,保障企业核心业务系统安全
通过用户角色进行访问控制,严格控制企业员工、外部访客和合作伙伴等对企业内网资源的访问范围,防止越权访问,保障企业核心业务系统安全。
强大的终端互访控制功能,满足企业对终端隔离的需求
提供终端互访控制功能,支持终端层的安全域划分,不同安全域之间的互访需可信授权,有效保证终端之间的互访隔离。
灵活可配的安全策略管理,适应不同企业的安全管理政策
基于模板的动态策略管理方式,配置灵活、扩展方便,不同的用户、不同的部门、不同的时间可应用不同的安全策略。
丰富的的终端安全检查策略,整体提高终端的安全基线
业界最多的终端安全检查策略,提供完善的系统安全加固和安全防护方案,全面评估终端的安全状态,保证终端安全、受控,帮助企业安全管理政策的落实,满足企业对法律法规遵从性的需求。
持续的员工行为管理,保障更高的IT资源的可用性和使用效率
提供上网行为审计、软件使用审计等安全策略,对员工违规行为进行审计和控制,在帮助提高员工安全意识的同时,保证企业IT资源的合理使用。
自动化补丁管理,快速、高效修复终端安全漏洞
基于策略的补丁分发机制,可针对部门实施针对性的补丁分发,支持一键自动修复功能;主动搜集客户端的补丁漏洞信息,采用华为赛门铁克"子网快速下载"技术,在最大限度降低网络带宽占用率的同时,快速、高效地消除终端的安全漏洞;提供详细的补丁报表,以便管理员实时掌握补丁分发状态。
完整的资产生命周期管理,自动收集信息资产状况,保障资产可控可管
提供完整的资产生命周期管理,系统可自动收集终端软、硬件资产信息,统计输出企业资产状态报表;跟踪资产变更,输出变更报表,实现资产管理IT化,保障企业信息资产可控可管。
部署灵活、方便,满足复杂网络环境下的部署需要
系统部署灵活,支持集中式或分布式部署;安全接入控制网关支持直挂或旁挂模式,支持双机热备,对企业现网改动小,满足复杂网络环境下的部署需求。
高可靠性,保障企业业务连续性
服务器采用资源池设计方式,支持负载均衡和冗余备份;安全接入控制网关提供特有的逃生通道功能;提供服务器平台监控工具,实时监控服务器和网关设备的运行状态,保证系统的高可靠性,保障企业业务连续性。
为何选择TSM
?结合公司自身多年信息安全管理和应用实践的成果;
?完善的接入控制方式,灵活适应各种网络环境下的接入控制需求;
?细粒度访问权限控制,基于用户角色授权不同访问后域,保护核心业务资源;
?强制安全策略检查,确保终端符合企业安全策略要求;
?实时监控员工行为,连续不间断防护,保证员工合理使用网络资源;
?自动化补丁检查与部署,自动修复漏洞,主动消除安全缺口;
?电信级安全标准:服务器采用资源池方式,实现负载均衡和冗余备份;SACG支持双机热备,提供系统安全逃生通道和负载均衡,最大可能保障业务连续性;
?部署灵活,支持集中式或分部式部署,SACG支持直挂或旁挂,对企业现网改动小,满足复杂网
络环境下的部署。
产品规格
Secospace 终端安全管理系统由安全代理(SA)、安全管理器(SM)、安全控制器(SC)、安全接入控制网关(可选)(SACG)四部分组成。
**省**医院终端安全整体解决方案 赛门铁克软件(北京)有限公司 2014-02-25
保密声明与用途 本文档包含“保密信息”(如下定义)。本文档旨在提供赛门铁克提交本文之时可提供的产品和(或)服务的概要信息。本文档专向**省**医院(以下简称“您”或“您的”)提供,因为赛门铁克认为“您”有意向与赛门铁克公司(以下简称“赛门铁克”)达成交易。此“保密信息”的唯一用途是帮助“您”决定是否就本文档中所述产品或服务与赛门铁克签订合同协议。赛门铁克努力确保本文档中包含的信息正确无误,对于此类信息中的任何错误或疏漏,赛门铁克不承担任何责任,并在此就任何准确性或其他方面的暗示保证明确提出免责。“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议,仅表明“您”有义务保护此处标识的任何“保密信息”。赛门铁克有权就任意及所有客户协议的条款与条件进行协商。 “您”与赛门铁克之间没有书面保密协议,但“您”阅读赛门铁克建议书即表明,在因本文档而交换和接收的赛门铁克保密信息和专有信息的范围内,包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息,无论书面还是口头形式(以下简称“保密信息”),“您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”,除非因需知晓该信息而必须提供,但必须遵守此类“保密信息”使用的管理条款与条件,而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件,且在任何情况下绝不低于合理的商业保护。 本文档及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有,未经赛门铁克事先书面许可,不得拷贝、复制或分发。赛门铁克提供本文档,但并不负责为“您”提供任何产品或任何服务。本文档阐述赛门铁克就本文所述主题而言的一般意图,赛门铁克的任何行为均取决于双方签订的正式书面协议。 除非“您”已经获得赛门铁克的事先书面许可,否则赛门铁克谨请“您”不要联系本文档中可能提及的任何赛门铁克客户。 一经请求即可提供此处所述产品使用和(或)服务交付所适用的赛门铁克条款与条件的副本以供查阅和审议。条款与条件可在签订合同时进行协商。 ? 2011 Symantec Corporation. ? 2011年 Symantec Corporation 版权所有。All Rights Reserved. 保留所有权利。 版本变更记录 1.0 2012-07-15 Eric Wang
华为网络准入控制及终端安全方案 一、面临挑战 企业网络从有线向无线转型的过程中,为保障网络安全,需实现有线无线一体化准入。而单一的解决方案,不能满足复杂网络环境下的多样化准入控制需求:多用户角色:传统的网络环境下,主要应用对象为企业员工,但在移动办公场景下,应用对象可扩展至访客、领导、VIP会员等多种用户角色,需基于用户角色在访问权限上做区别; 多分支异构:多分支机构中网络架构也会存在差异,如何做统一地接入管理,实现一体化认证,是一项重大的技术挑战; 多终端接入:传统网络主要使用PC连接,随着移动终端的普及,终端的数量及类型也随之增多,用户的体验要求也越来越高,同时也带来了更多安全上的挑战。 二、解决方案 1.华为网络准入控制及终端安全方案概述 宁盾网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证,判断是否准入网络以及获得访问权限,实现接入网络终端及用户身份的双重可信,提升网络安全。 其安全管理逻辑是先对接入内网终端进行合规性检查,并确认接入网络用户身份的真实性,根据终端风险以及用户角色动态赋予访问权限,并和第三方网络审计以及态势感知平台联动,实现内外网上网实名审计以及主动防御。 在此方案中,华为无线WLC开启portal认证,认证服务器指向宁盾认证服务平台,有线部分通过ND ACE结合AM做portal的统一准入,最终实现有线无线的一体化准入控制。
2.身份认证方式 2.1员工场景 ①用户名密码认证,用户名密码可以创建,也可以与AD、LDAP同步帐号信息; ②支持802.1X认证; ③支持802.1x+portal认证; ④支持802.1x+portal+动态码认证。 2.2访客场景 ①短信认证,可设定短信内容模版、短信验证码有效期及长度等; ②微信认证,通过关注微信公众号进行认证连接上网;
XXXX技术方案
第1章概述 计算机技术的不断发展,信息技术在企业网络中的运用越来越广泛深入,信息安全问题也显得越来越紧迫。自从80年代计算机病毒出现以来,已经有数万种病毒及其变种出现,给计算机安全和数据安全造成了极大的破坏。根据ICSA的统计报道,98% 的企业都曾遇过病毒感染的问题,63% 都曾因为病毒感染而失去文件资料,由ICSA评估每一个受电脑病毒入侵的公司电脑,平均要花约8,366美金,但更大的成本是来自修理时间及人力的费用,据统计,平均每一电脑要花费44小时的到21.7天的工作天才能完全修复。如何保证企业内部网络抵御网络外部的病毒入侵,从而保障系统的安全运行是目前企业系统管理员最为关心的问题。所以,系统安全应该包括强大的计算机病毒防护功能。 全球的病毒攻击数量继续上升,病毒本身变得越来越复杂而且更有针对性,这种新型病毒被称为混合型病毒,混合型病毒将传统病毒原理和黑客攻击原理巧妙的结合在一起,将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起。而最近对互联网威胁很大的间谍软件和广告软件,给企业不仅造成网络管理的复杂,同时可能会带给企业无法估计得损失。混合型病毒的传播速度非常快,其造成的破坏程度也要比以前的计算机病毒所造成的破坏大得多,混合型病毒的出现使人们意识必须设计一个有效的保护战略来在病毒爆发之前进行遏制。这个保护战略必须是主动式的,而不是等到事件发生后才作出反应,需要针对网络中所有可能的病毒攻击设置对应的防毒软件,建立全方位、多层次的立体防毒系统配置,通过在桌面和企业网络等级集成来提供病毒保护。作为世界互联网安全技术和整体解决方案领域的全球领导厂商,赛门铁克为个人和企业用户提供了全面的内容和网络安全解决方案。赛门铁克是病毒防护、风险管理、互联网安全、电子邮件过滤、远程管理和移动代码侦测等技术的领先供应商。为全世界1亿的客户提供了全面的Internet安全性产品、解决方案和服务。赛门铁克客户群不但包括世界上最大的公司、企业、政府部门以及高等教育机构,同时也为小型企业用户和个人用户提供服务。诺顿品牌领先世界防病毒市场,在业界颇受赞誉。
DKBA 华为技术有限公司内部技术规范 DKBA 7684-2014.07 终端电源安全测试规范V1.0 2014年xx月xx日发布2014年xx月xx日实施 华为技术有限公司 Huawei Technologies Co., Ltd. 版权所有侵权必究 All rights reserved
修订声明Revision declaration 本规范拟制与解释部门:终端可靠性实验室 本规范的相关系列规范或文件:无 相关国际规范或文件一致性:无 替代或作废的其它规范或文件:无 相关规范或文件的相互关系:无
终端电源安全测试规范V1.0 范围Scope: 本规范为了降低终端电源的市场安全失效率, 降低电源的FFR, 规定了终端电源常规安规测试的要求和测试方法,同时结合电源在市场上的不良安全失效案例,规定了电源非常规安全测试项目及测试方法, 其目的在于根据标准要求,统一测试方法,提高测试结果的准确性和可复现性,最终达到改善电源质量的目的. 简介Brief introduction: 本规范针对终端电源依据安规标准IEC/EN/UL60950-1, GB4943.1, IEC/EN/UL 60065, GB8898 在安规认证、摸底测试过程中,各项测试的目的、方法、结果判定进行统一的规范和指导,其目的在于让相关人员在安规测试业务上形成共识,以确保安规测试方法的正确性,提高测试结果的准确性和可复现性,从而提升工作效率。 关键词Key words: 终端电源、适配器、充电器、安规测试。 引用文件: 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 术语和定义Term&Definition: <对本文所用术语进行说明,要求提供每个术语的英文全名和中文解释。List all Terms in this document, full spelling of the abbreviation and Chinese explanation
华为赛门铁克TSM终端安全管理系统 随着企业和组织网络规模的增大,分支机构、移动办公、访客等增加了网络中的接入点,使存在于各层的网络漏洞成倍的增加,以利益驱动的专业黑客往往锁定企业终端为目标,利用终端中的安全漏洞,获取对重要资源的访问权限,进而对核心业务系统发起攻击,造成数据被窃听或破坏,核心业务中断、恶意代码传播等安全事故,使企业业务和声誉受损。 通过全面端点安全评估和统一配置,华为赛门铁克Secospace TSM (Terminal Security Management,终端安全管理)系统,在端点接入网络前主动进行安全状态评估,建立基于用户角色的网络访问机制,并为不符合安全基线的终端提供系统漏洞修复,从而将病毒屏蔽在网络之外,为企业和组织构建一个完整、简单和易于管理的终端安全环境。 纵深化防御:结合终端层、网络层、应用层形成纵深安全防御体系,为企业和组织构筑完整的网络安全防线——在终端层主动评估终端安全状态,与网络层的安全接入控制设备联动实现基于用户角色的访问控制,并协同应用层的补丁、资产管理,主动阻止和隔离风险,有效增强整网对抗风险的能力。 一体化部署:为应对日益复杂的安全攻击,往往需要部署多家厂商的终端管理产品,而这些解决方案间缺乏关联度,难以一体化运作,造成采购成本昂贵、结构复杂和难以维护。针对企业需要简化IT解决方案的实际需求,TSM系统整合接入控制、强制安全策略遵从、员工行为管理、补丁管理、资产管理和软件分发等于一体,为企业建立一个一体化、完整的终端安全管理体系,有效降低IT部署复杂度,提高成本效益。 全方位保护: 企业内部信息安全管理是以安全法规为基础、安全技术为支撑、业务流程和安全管理为保障的系统工程。TSM系统以安全策略为中心,通过策略检查、接入控制、行为审计和补丁修复建立不断完善的PDCA防护过程,为企业提供全方位内网终端安全管理和保护,持续改进企业安全状况,提升企业信息安全管理水平。 主要功能: ?网络安全接入控制,发现并控制内部员工、外来访客和合作伙伴等对企业网络资源的访问,防止非法用户和不安全的终端接入内网,并根据用户身份授权访问指定的内网资源; ?终端安全基线管理,集中配置终端的安全基线,全面评估终端的安全状态,对不符合安全基线的终端进行隔离、修复,提高终端的安全防护水平,保证企业整网的安全; ?用户行为管理,审计并控制终端用户违法企业管理制度的行为,如非法外联、计算机外设、网络访问行为等,防止计算机和网络资源的滥用和恶意破话,规范终端用户使用IT资源的行为,提高企 业整网的可用性和效率; ?补丁和软件分发,提供智能、高效的补丁和软件分发功能,准确的评估系统漏洞,在最大限度降低网络带宽占用率的同时,帮助及时终端更新补丁,消除终端的安全漏洞; ?企业资产安全审计,动态收集企业软、硬件资产信息,跟踪企业资产变更,帮助管理员全面了解 终端资产状况,提供企业整网的IT管理水平。
SPC-1存储性能测试标准的由来 这里我们首先来了解一下SPC存储性能测试的背景知识,SPC组织是存储领域性能测试权威机构,是由众多业内厂商组成的一个非营利性组织,核心成员主要包括IBM,HP,Oracle,希捷,富士通,日立,Netapp以及华为赛门铁克等厂商。 由于存储系统应用环境复杂,单纯的某项指标的测试往往不足以反映该存储系统在生产环境业务应用中的使用性能,为此,SPC组织针对业界典型的各类应用业务作了大量的调查分析工作,针对较为普遍的在线类业务、大规模文件处理类业务、面向文件系统的备份和恢复类业务分别推出了SPC-1、SPC-2、SPC-3BR三种测试规范和相应的测试工具,为客户采购存储系统时,评估存储系统的性能和性价比提供了现实可行的理论依据和测试工具。 其中SPC-1测试则针对存储子系统在执行关键业务应用时的性能表现。这些应用主要以随机I / O操作为特点,包括查询和更新操作。这一类应用的例子包括OLTP、数据库操作和邮件服务器运作等。由于中高端存储系统往往在用户的系统环境中担当关键业务应用的数据基础平台,也因此,SPC-1测试结果对于中高端存储系统来说有较强的参考意义。 由于在线业务具有如下特征:对读写反应时间敏感;工作负载动态变化;存储空间可靠性要求高;用户访问行为多样化;要求数据持续保存而不损坏或丢失等。针对在线应用环境的特征,SPC设计了八种模拟用户数据访问行为的I / O流,并通过并通过BSU(Business Scaling Units,事务扩展单元)来控制模拟应用的I / O请求的规模,通过ASU(Applications Storage Units,应用存储单元)来描述响应I / O请求的存储配置,这些元素共同组成了SPC-1的基准测试模型。 测试流程介绍 SPC-1正式的测试流程主要包括了metrics测试、repeat1测试、repeat2测试、persistence1测试及设备下电再上电后的persistence2测试这四个测试环节,具体测试流程参考下图所示:
组织结构 华为技术有限公司分为6大体系,分别是销售与服务,产品与解决方案,财经,市场策略,运作与交付,人力资源。其中销售与服务体系下在全球设有7大片区,分别是中国区(国内市场部,下设中国国内27个代表处),亚太片区,拉美片区,欧美片区,南部非洲片区,独联体片区和中东北非片区,各片区下还设有代表处驻扎在各国家,在代表处工作的员工同时受所在代表处及所属体系部门双重领导。华为公司还拥有一些子公司,包括有限公司,,有限公司,公司,有限公司,深圳有限公司,,,等。 华为公司的组织架构由上至下分别是董事会(BOD)-经营管理团队(EMT)-产品投资评审委员会(IRB)-六大体系的办公会议 组织变革 从产品线变革开始,以公司经营管理团队及战略与客户常务委员会作为实现市场驱动的龙头组织,强化Marketing体系对客户需求理解、战略方向把握和业务规划的决策支撑能力。同时,华为通过投资评审委员会(IRB)、管理团队、产品体系管理团队、运作与交付管理团队及其支持性团队的有效运作,确保以客户需求驱动华为整体的战略及其实施。 华为在全球设立了包括印度、美国、瑞典、欧洲(德意法等)、俄罗斯以及中国的北京、上海、南京、成都、西安、杭州等多个研究所,89000名员工中的48%从事研发工作,截止2006年年底已累计申请专利超过19000件,已连续数年成为中国申请专利最多的单位。 5月8日,华为启用新的系统CIS 9月,华为与合资设立的网络通讯设备品牌“华为3Com”(Huawei-3Com)改名为“”。 ,华为与赛门铁克合资成立存储与网络安全解决方案提供商——华为赛门铁克科技有限公司。 ,华为软件技术有限公司(下面简称:华为)于近日与朗新信息科技有限公司(下面简称:朗新)签署合资协议,成立合资公司。合资公司名称为北京华为朗新科技有限责任公司(下面简称:合资公司),总部所在地北京,由朗新董事长徐长军任合资公司的董事长。合资公司立足原朗新在中国电信、中国联通市场的现有产品和应用经验,结合华为的销售与服务网络及资金优势,加大投入,进一步为中国电信和中国联通客户提供更优质的解决方案和服务,构建有竞争力的全业务融合运营支撑系统。 华为公司组织结构特征是研发和市场大、生产小的哑铃型组织结构。这种组织结构体现了华为公司的战略取向,保障华为公司的业务处于高利润和高附加值的区间内。如下图: 华为与很多强调组织结构稳定的企业不同,华为建立的是一种可以有所变化的矩阵结构。换句话说,华为每次的产品创新都肯定伴随组织架构的变化,而在华为每3个月就会发生一次大的技术创新。这更类似于某种进退自如的创业管理机制。一旦出现机遇,相应的部门
Symantec 终端数据防泄露DLP ---解决方案 2018.7.21
1 方案概述1.1 产品推荐 Symantec Data Loss Prevention (下面简称DLP) 解决方案是业界第一个全面覆盖终端、网络和存储的数据防泄漏解决方案。它集发现,监控和保护于一体,为机密数据的存储和使用提供管理。无论是存储在网络的、还是不联网终端上的机密数据,DLP都可以发现它们,并且可以防止数据从存储、网关和终端处泄漏。 ●发现: 发现机密数据存储在哪里,创建敏感数据的资产清单,帮助管理 废弃数据清除。 ●监控: 帮助理解机密数据是如何被使用的,无论用户是在企业网络还是 在外网。获得机密数据使用的企业全局视图。 ●保护: 自动强制安全策略,主动式保护机密数据,防止其流失出企业。 ●管理: 所有工作在一个统一的平台上完成。如为整个企业制定统一的策 略,修复和报告事件,执行高精度检查等。 通过部署DLP从而更好地保护客户信息、知识产权;更好地遵从法规;维护品牌和声誉。
1.2 竞争优势分析 1.2.1 公司方面 1.2.1.1全球最大的信息安全厂商和服务提供商 赛门铁克公司(Nasdaq:上市公司,代号SYMC)成立于1982 年4 月, 于1989年6月23日首次发行股票上市。全球总部位于美国加利福尼亚州Cupertino,现已在40 多个国家设有分支机构,全球员工数量超过17,500 人。 赛门铁克有限公司(Symantec)是世界互联网安全技术和整体解决方案领 域的全球领导厂商,赛门铁克为个人和企业用户提供了全面的内容和网络安全 解决方案。赛门铁克是安全威胁防护、风险管理、互联网安全、电子邮件过滤、远程管理和移动代码侦测等技术的领先供应商。为全球超过五千万用户提供综 合性的互联网安全产品,方案和服务,包括大型企业,政府机构,教育机构, 小型企业和个人。 98 %的“财富(Fortune) 100 公司”使用赛门铁克的安 全方案。诺顿品牌领先世界零售市场,在业界颇受赞誉。 ●具有网络、终端、服务器、信息内容以及安全管理的整套解决方案; ●拥有并维护着全球最大的互联网安全智能预警网络和安全知识库, 并据此定期发布互联网威胁报告; ●拥有5个运营型SOC中心(日本与NTT合营),为全球上千家大型企业管理信息 安全服务;
华为安全管理中心解决方案 随着网络技术的快速发展和信息化进程的日渐深入,计算机网络已成为企业高效运营的重要支撑。工作效率的提高、企业信誉的提升、利润来源的拓展都依赖于稳定、高效、安全的网络环境。与此同时,各种网络攻击技术也变得越来越先进、越来越普及化,企业的网络系统面临着随时被攻击的危险,经常遭受不同程度的入侵和破坏,严重干扰了企业网络的正常运行。日益严峻的安全威胁迫使企业不得不加强对网络系统的安全防护,不断追求多层次、立体化的安全防御体系,逐步引入了防病毒、防火墙、IDS、VPN、AAA等大量异构的单点安全防御技术。然而,现有网络安全防御体系还是以孤立的单点防御为主,彼此间缺乏有效的协作,从而形成了一个个的安全“孤岛”,使得网络安全不得不面对新的挑战。 策略部署的挑战 立体化的安全防御体系缺乏统一的安全策略管理平台,使得网络管理人员无法全面掌握和控制网络的整体安全策略和安全状态,造成策略部署和管理上的困难,难以在全网统一实施企业安全策略,容易产生安全“缝隙”和“三不管”的灰色地带。 事件分析的挑战 多层次的安全防御体系产生的海量安全事件无法人为管理,各安全部件(如IDS、FW)本身的局限性造成的误报和漏报,容易导致重要的信息被淹没、真正的攻击被忽视。由于缺乏对整网安全状态和被保护对象的了解,现有的安全防御体系没有将资产或业务的价值体现到安全策略中,难以对安全事件的原因做深入的关联分析,无法从海量的安全事件中判断攻击有效性、区分防御重点。 风险响应的挑战 孤立的安全防御体系中,安全防护、安全检测、安全响应没有形成高效的闭环,各安全子系统的响应手段单一,安全部件、网络设备、用户终端和管理员之间缺乏协同与联动,导致企业网络对安全事件的响应能力低下,难以做到及时、准确的整体防御。 现有安全防御体系面临的问题不是单一的安全部件能够独立解决的。网络信息安全的“木桶原则”表明:一个木桶能装多少水不仅取决于短木板的长度,也取决于木板间的紧密程度;一个网络的安全不仅依赖于单个安全部件的能力,也依赖于各安全部件之间的紧密协作。因此,通过全面、集中的安全管理,智能、综合的事件分析,动态、广泛的协同响应,将不同领域的安全部件融合成一个无缝的安全体系,成为下一代整网安全解决方案的发展趋势。在此背景下,华为3Com计划推出安全管理中心解决方案,以开放的安全管理平台为框架,将安全体系中各层次的安全产品、网络设备、网络服务、用户终端等纳入一个紧密的统一管理平台中,通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应,在现有安全设施的基础上构建一个协同安全防御体系,大幅度提高企业网络的整体安全防御能力。华为3Com安全管理中心由策略管理、事件采集、分析决策、协同响应四个组件构成,与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。 基于安全管理中心的协同防御体系 华为3Com安全管理中心旨在集中部署网络安全保护策略,简化对安全部件的管理,确保网络安全策略的统一;广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件,通过关联来自于不同地点、不同层次、不同类型的安全事件,发现真正的安全风险,提高安全报警的信噪比;准确的、实时的评估当前的网络安全态势和风险,并根据预先制定的策略做出快速响应。其基本功能包括: 安全策略的集中部署 网络中的安全部件涉及身份安全、终端安全、设备安全、连接安全、网络安全等各个层面,对应的安全防护技术包括AAA、防病毒、漏洞检测、防火墙、VPN、IDS等不同层次的防
Symantec终端安全防护SPS企业版3.0方案建议书 xx有限公司 2020年01月
第1章项目综述 (1) 1.1项目需求分析 (1) 1.2总体技术思路及优势 (2) 第2章XX终端安全防护架构设计方案 (5) 2.1系统架构设计 (5) 2.2服务器和终端安全防护设计(SEP) (6) 2.3安全自我隔离(SNAC S ELF E NFORCEMENT) (9) 2.4终端系统保护和快速恢复设计(BESR) (10) 2.5邮件应用的安全防护设计(F OR D OMINO以及E XCHANGE) (13) 2.6WEB安全网关设计(可选) (16) 第3章SPS企业版技术方案特点总结 (19) 3.1全面性—合适的价格,一步到位的实现 (19) 3.2安全性—第一大安全品牌的强大的安全威胁防护 (20) 3.3保险性—具备强大的系统恢复功能,避免安全事故 (21) 3.4易用性—统一的控制平台 (21)
第1章项目综述 1.1项目需求分析 随着计算机技术的不断发展,信息技术在企业网络中的运用更加广泛,信息安全问题也显得尤为迫切。自从80年代计算机病毒出现以来,已经有数万种病毒及其变种出现,给计算机安全和数据安全造成了极大的破坏。而传统防病毒产品在应对新的终端安全威胁时效果欠佳,因为病毒来自与不同的传播途径,例如邮件,网页浏览,U盘的使用,高危程序的下载安装等多种途径,因此Symantec认为企业需要同时结合多种技术手段来综合的治理企业所面临的安全问题,巩固企业安全防线。 目前xx的防病毒体系还处于依赖传统的防病毒产品来应对安全威胁的阶段,产品覆盖范围有限,缺乏统一的管理平台,没有完善的病毒防护响应机制,没有办法杜绝全部的病毒传播途径,发生大的安全事故缺乏快速恢复的保障;同时随着xx信息化步伐的加快,建立一套适应xx未来发展的防病毒安全体系迫在眉睫。通过终端安全防护项目,设计一套满足xx未来发展的防病毒体系:建立系统的运维管理规范、技术体系标准,优化企业内网环境,减少病毒对企业员工的影响,提高员工的工作效率,为企业的快速发展提供保障。 -1-
华为的战略思想 战略思想是企业对真个发展目标的和发展规划的总体概括,决定了企业的发展方向。 华为在开始创业的最初几年里发展迅猛,市场拉动作用显著,但由于当时的管理体制还不健全,管理上只能更多地依靠领导者的个人能力和远见卓识,因此在这个时期,企业家个人的决策作用和领导力对企业的发展起着决定性的作用。 一、没有独裁就没有民族 国内通信制造企业决策机制大致有两种:一是企业领袖主导型,而是企业章程主导型。华为属于前者,对于在企业的发展,是很重要的。它可以有效解决企业面临的以下几个方面的问题: 1、集中和整合企业的资源。资金的短缺、人才的匮乏是华为一开始就面临的问题,它必须实现华为现有资源的有效利用。 2、捕捉发展机会,企业的战略重点是由企业家对机会的感觉驱动的。因此,任正非抓住了这个通讯行业发展的大趋势。 3、进行战略分析,任正非有着高瞻远瞩的意识:全局意识、大局意识、政治意识、全球意识、突出重点意识。 4、解决战略矛盾。协调组织和环境的矛盾,在华为组织和内外部资源进行协调,使之更能不断适应变化发展的环境。解决资源与目标的矛盾,一方面是华为自身资源的短缺,一方面的要面临实现华为目标的困难——成为世界级领导通讯产品企业。企业的经营方向不可能把所有的经历都放在所有的方向上,只有一种是企业的核心业务。 5、生存和发展的问题。企业要先生存下来,在能够实现发展。在电信形势一片大好的情况下,任正非表现得非常冷静,没有洋洋自得和全赏员工,而是写出了《华为的冬天》一文。指出了电信业的危机,并为华为今后的发展管理创造性的提出了发展改措施。 二、只做通讯产品 在《华为基本法》中我们看到,无论是从华为的战略目标还是投资方面,只有一个核心的方面:使华为成为世界一流的设备供应商。在从成立至今的24年时间里,不管是当初的股票热潮还是房地产,华为除了通讯产品外,华为从来没有涉足过任何一个哪怕投资就有利可图的领域。这也是今天华为能够与思科、爱立信等电信巨头面对面竞争的重要因素。 华为顶着“失败就破产”的巨大压力花费几年时间研制出高端路由器,他们愿意投资几十亿研发当时在我国还未发放牌照的3G产品。但是就是不会花费一份钱投资于股票,家电,地产业。无疑,华为今天又走在了世界通讯行业领先地位的前列。 三、危机意识 如果说一个企业没有很强烈的危机感,哪怕它的战略制定得再宏伟,也只怕在没有准备的情况下被突如其来的危机所打到。事实上,IT业的冬天不幸被任正非言中。2001年,全国电信固定资产投资2648亿元,在网络泡沫的2001年无疑也是互联网重整规模最惊心动魄的一年。数以百计的.com公司在宣布破产之列,从年初的https://www.doczj.com/doc/441380100.html,,到年尾的https://www.doczj.com/doc/441380100.html,。华为活了下来。 华为施行的狼群文化是众所周知的,从它的企业文化中就可以看得出来。“很多人说华为狼文化很可怕,我说这些人只看到了‘狼’字,没有关注‘群’字。华为是很讲团队协助的。华为是靠着华为人团结一致,艰苦奋斗才走到今天全球五百强企业里的。 此外,华为不断的抽调优秀的员工到海外去,迅速抢占发展中国家的市场,在刚到国外的时候;大规划的召集优秀人才,在研发上向高端通讯产品和无线电领域进发。 华为的战略选择 一、公司战略方案的选择
华为TSM终端安全管理系统 综述 随着企业和组织网络规模的增大,分支机构、移动办公、访客等增加了网络中的接入点,使存在于各层的网络漏洞成倍的增加,以利益驱动的专业黑客往往锁定企业终端为目标,利用终端中的安全漏洞,获取对重要资源的访问权限,进而对核心业务系统发起攻击,造成数据被窃听或破坏,核心业务中断、恶意代码传播等安全事故,使企业业务和声誉受损。 通过全面端点安全评估和统一配置,华为Secospace TSM (Terminal Security Management,终端安全管理)系统,在端点接入网络前主动进行安全状态评估,建立基于用户角色的网络访问机制,并为不符合安全基线的终端提供系统漏洞修复,从而将病毒屏蔽在网络之外,为企业和组织构建一个完整、简单和易于管理的终端安全环境。 纵深化防御:结合终端层、网络层、应用层形成纵深安全防御体系,为企业和组织构筑完整的网络安全防线——在终端层主动评估终端安全状态,与网络层的安全接入控制设备联动实现基于用户角色的访问控制,并协同应用层的补丁、资产管理,主动阻止和隔离风险,有效增强整网对抗风险的能力。 一体化部署:为应对日益复杂的安全攻击,往往需要部署多家厂商的终端管理产品,而这些解决方案间缺乏关联度,难以一体化运作,造成采购成本昂贵、结构复杂和难以维护。针对企业需要简化IT解决方案的实际需求,TSM系统整合接入控制、强制安全策略遵从、员工行为管理、补丁管理、资产管理和软件分发等于一体,为企业建立一个一体化、完整的终端安全管理体系,有效降低IT部署复杂度,提高成本效益。 全方位保护: 企业内部信息安全管理是以安全法规为基础、安全技术为支撑、业务流程和安全管理为保障的系统工程。TSM系统以安全策略为中心,通过策略检查、接入控制、行为审计和补丁修复建立不断完善的PDCA防护过程,为企业提供全方位内网终端安全管理和保护,持续改进企业安全状况,提升企业信息安全管理水平。 主要功能: ?网络安全接入控制,发现并控制内部员工、外来访客和合作伙伴等对企业网络资源的访问,防止非法用户和不安全的终端接入内网,并根据用户身份授权访问指定的内网资源; ?终端安全基线管理,集中配置终端的安全基线,全面评估终端的安全状态,对不符合安全基线的终端进行隔离、修复,提高终端的安全防护水平,保证企业整网的安全; ?用户行为管理,审计并控制终端用户违法企业管理制度的行为,如非法外联、计算机外设、网络访问行为等,防止计算机和网络资源的滥用和恶意破话,规范终端用户使用IT资
华为组织架构 华为技术有限公司分为6大体系,分别是销售与服务,产品与解决方案,财经,市场策略,运作与交付,人力资源。其中销售与服务体系下在全球设有7大片区,分别是中国区(国内市场部,下设中国国内27个代表处),亚太片区,拉美片区,欧美片区,南部非洲片区,独联体片区和中东北非片区,各片区下还设有代表处驻扎在各国家,在代表处工作的员工同时受所在代表处及所属体系部门双重领导。华为公司还拥有一些子公司,包括海思半导体有限公司,终端公司,华为数字技术有限公司,华为软件技术公司,安捷信电气有限公司,深圳慧通商务有限公司, 华为大学,华为赛门铁克科技有限公司,华为海洋网络有限公司等。华为公司的组织架构由上至下分别是董事会(BOD)-经营管理团队(EMT)-产品投资评审委员会(IRB)-六大体系的办公会议 组织变革 从产品线变革开始,以公司经营管理团队及战略与客户常务委员会作为实现市场驱动的龙头组织,强化 Marketing体系对客户需求理解、战略方向把握和业务规划的决策支撑能力。同时,华为通过投资评审委员会(IRB)、营销管理团队、产品体系管理团队、运作与交付管理团队及其支持性团队的有效运作,确保以客户需求驱动华为整体的战略及其实施。
华为在全球设立了包括印度、美国、瑞典、欧洲(德意法等)、俄罗斯以及中国的北京、上海、南京、成都、西安、杭州等多个研究所,89000名员工中的48%从事研发工作,截止2006年年底已累计申请专利超过19000件,已连续数年成为中国申请专利最多的单位。2006年5月8日,华为启用新的企业识别系统CIS 2006年9月,华为与3Com合资设立的网络通讯设备品牌“华为3Com”(Huawei-3Com)改名为“H3C”。 2007年,华为与赛门铁克合资成立存储与网络安全解决方案提供商——华为赛门铁克科技有限公司。 2010年,华为软件技术有限公司(下面简称:华为)于近日与朗新信息科技有限公司(下面简称:朗新)签署合资协议,成立合资公司。合资公司名称为北京 华为朗新科技有限责任公司(下面简称:合资公司),总部所在地北京,由朗新董事长徐长军任合资公司的董事长。合资公司立足原朗新在中国电信、中国联通市场的现有产品和应用经验,结合华为的销售与服务网络及资金优势,加大投入,进一步为中国电信和中国联通客户提供更优质的解决方案和服务,构建有竞争力的全业务融合运营支撑系统。 华为公司组织结构特征是研发和市场大、生产小的哑铃型组织结构。这种组织结构体现了华为公司的战略取向,保障华为公司的业务处于高利润和高附加值的区间内。如下图:
华为网络准入控制及终端安全方案4 华为网络准入控制及终端安全方案 一、面临挑战 企业网络从有线向无线转型的过程中,为保障网络安全,需实现有线无线一体化准入。而单一的解决方案,不能满足复杂网络环境下的多样化准入控制需求:多用户角色:传统的网络环境下,主要应用对象为企业员工,但在移动办公场景下,应用对象可扩展至访客、领导、VIP会员等多种用户角色,需基于用户角色在访问权限上做区别; 多分支异构:多分支机构中网络架构也会存在差异,如何做统一地接入管理,实现一体化认证,是一项重大的技术挑战; 多终端接入:传统网络主要使用PC连接,随着移动终端的普及,终端的数量及类型也随之增多,用户的体验要求也越来越高,同时也带来了更多安全上的挑战。 二、解决方案 1.华为网络准入控制及终端安全方案概述 宁盾网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证,判断是否准入网络以及获得访问权限,实现接入网络终端及用户身份的双重可信,提升网络安全。 其安全管理逻辑是先对接入内网终端进行合规性检查,并确认接入网络用户身份的真实性,根据终端风险以及用户角色动态
赋予访问权限,并和第三方网络审计以及态势感知平台联动,实现内外网上网实名审计以及主动防御。 在此方案中,华为无线WLC开启portal认证,认证服务器指向宁盾认证服务平台,有线部分通过ND ACE结合AM做portal的统一准入,最终实现有线无线的一体化准入控制。 2.身份认证方式 2.1员工场景 ①用户名密码认证,用户名密码可以创建,也可以与AD、LDAP同步帐号信息; ②支持802.1X认证; ③支持802.1x+portal认证; ④支持802.1x+portal+动态码认证。 2.2访客场景 ①短信认证,可设定短信内容模版、短信验证码有效期及长度等; ②微信认证,通过关注微信公众号进行认证连接上网; ③支持二次无感知认证,可设定有效期,超过有效期的访客须通过其他认证方式登录; ④支持协助扫码认证,快速授权上网,实现访客与被访人之间可追溯;
华为的成功案例 发展战略 华为坚持以客户为中心,以奋斗者为本,基于客户需求持续创新。 华为积极致力社会经济的可持续发展,努力构建一个人人共享、更加美好的全联接世界,实现人与人、行业与行业、物与物的全面互联。整合全球资源,开展本地化运营,提升当地技术与经济水平,实现整个产业链和行业之间的共赢和可持续发展。 为适应信息行业正在发生的革命性变化,华为围绕客户需求和技术领先持续创新,与业界伙伴开放合作,聚焦构筑面向未来的信息管道,持续为客户和全社会创造价值。基于这些价值主张,华为致力于丰富人们的沟通和生活,提升工作效率。与此同时,华为力争成为电信运营商和企业客户的第一选择和最佳合作伙伴,成为深受消费者喜爱的品牌。 1、华为的一体化战略 (1)、横向一体化战略 在华为的主要营业范围是交换,传输,无线和数据通信类电信产品,在电信领域为世界各地的客户提供网络设备、服务和解决方案。 (2)、纵向一体化战略 华为所面临的通讯信息市场,可谓是竞争激烈,强手如云,华为始终能够在竞争的过程中立于不败之地,占据主动。这要归功于华为灵动的纵向一体化战略的实施。 ●前向一体化战略 实施前向一体化战略可以是华为控制销售和分配渠道,有助于改善库存积压和生产下降的局面。 ●后向一体化战略 即发展企业原有业务生产经营所需的原料、配件、能源、包装和服务业务的生产经营。 华为先后成立了华为技术有限公司、海思公司,华为赛门铁克公司等从原材料、研发、以及和经销商合作、技术支持和服务等使得华为对原材料的成本、可获性及质量有了更大控制权。在拥有的众多的自主产权、产品和服务的差异化的同时,在于思科、爱立信、北电、贝尔等通讯巨头谈判时有了足够的底气和实力。 (3)、多样化战略—相关多样化战略的选择 华为在电信通信行业内,不断开拓新的产品和技术。 竞争战略 专业化战略 不走多元化发展的道路,华为选择了只做设备供应商,选择的是专业化的发展战略。它定位于“做世界级的、领先的通讯设备供应商。”并写入《华为基本法》,以制度的形式确定下来。 1、将非核心业务外包出去 2、、专业化产品体系
华为安全解决方案(模板)
目录 1 背景概述 (3) 1.1新时代下安全风险的变化 (3) 1.2传统安全防御手段的不足 (3) 1.3传统软件定义安全(SDS EC)的定义 (5) 2 安全解决方案设计 (6) 2.1安全分析器 (6) 2.2安全控制器 (7) 2.3安全执行器/采集器 (7) 3 华为安全解决方案技术亮点 (7) 3.1检测智能 (8) 3.1.1 基于大数据的智能安全威胁检测 (8) 3.1.2 基于ECA技术的恶意加密流量识别 (9) 3.1.3 网络诱捕技术,实现主动安全防御 (9) 3.1.4 多维度事件关联,攻击动作全路径识别 (10) 3.1.5 基于第三代沙箱的未知威胁检测 (11) 3.1.6 终端联动响应 (13) 3.1.6.1 调查取证 (14) 3.1.6.2 确认终端感染范围 (15) 3.1.6.3 终端联动处置 (16) 3.1.6.4 威胁响应编排 (16) 3.1.7 业务价值 (18) 3.2处置智能 (19) 3.2.1 网安协同联动防御能力 (19) 3.2.2 安全三层闭环联动(纯安全场景) (21) 3.2.3 网安一体化联动(DCN场景) (23) 3.2.4 业务价值 (24) 3.3运维智能 (24) 3.3.1 从应用到安全的自动映射 (24) 3.3.1.1 应用策略自动编排 (25) 3.3.2 基于动态访问关系的策略运维 (26) 3.3.3 业务价值 (27) 4 华为安全解决方案核心价值 (27)
1背景概述 1.1新时代下安全风险的变化 据统计全球每天诞生超过百万全新的恶意软件。以WannaCry勒索软件举例,17年5月12日20时左右,全球爆发大规模勒索软件感染事件,10个小时内感染了74个国家的4.5万台主机,直接经济损失达到数十亿美元规模。已有防御手段效果根本无法防御,已经加密的软件,除非交赎金否则无法还原。 基于特征检测的安全防御手段只能识别已知威胁,应对高级威胁响应周期漫长。以APT 为代表的高级威胁使得“依靠特征检测的方法”失效,给业界带来前所未有的挑战,迫切需要新的威胁分析与检测技术。企业或组织通常已部署专业的防火墙、IPS、终端安全软件、SOC/SIEM等安全防护产品,能够针对传统或已知威胁实现防护。然而以安全策略、签名、日志分析为中心的传统安全防御手段只能识别已知威胁,且存在应对快速演进的威胁检出时间滞后的弱点。在WannaCry风暴爆发以后,各企业忙于修补漏洞,一家大型IT企业客户也遭受到攻击,花了几周修复漏洞,然而效率极低,经过数周的修复,修复率居然不足30%。 1.2传统安全防御手段的不足 ?威胁判断技术颗粒粗 传统安全检测工具,在面临更加“伪装”的灰色流量进行检测时,已经存在很大局限性。业界能力以在事先人为的行为打分水平上的方式为主进行检测,比如注册表改写打5分,磁盘写文件打2分,Windows注册表自启动添加打5分,网络行为打5分等,把这个分数加起来,超过70分,就认为是高危了。这种权重打分的方式来判断一个未知的行为是否是威胁,等于确定了一个标尺,高于标准的为威胁需要处理,低于标准的就不是威胁。实际运行的结果是,威胁检出率较低漏报较高。对于隐藏在加密流量下的恶意威胁,在不解密的情况下,也没有有效检测手段识别安全风险。此外,由于信息安全从业人员总体数量的供不应求,以及预算限制等原因,加大人力投资提升检测能力并不现实。 ?无法自动免疫主机逃逸: 当前主流沙箱技术,主要基于行为的检测,在打分制的基础上有了一定检测效率的提升。
华为数据容灾方案调查 华为赛门铁克公司的存储产品主要是磁盘阵列OceanStor系列,相应提供了基于磁盘阵列技术的数据容灾解决方案。同时,华为将赛门铁克的NBU产品融入到自己的解决方案中,推出了由磁盘阵列OceanStor+Symantec NetBackup PureDisk软件构成的基于软件技术的数据容灾解决方案。 一、基于磁盘阵列技术的数据容灾解决方案 该方案同EMC的SRDF等磁盘复制技术类似,生产中心网络与异地容灾中心网络之间通过光纤链路相连,构成支持远程数据传输的SAN网络,如下图所示: 该方案优点就是将数据与应用系统分开,对主机系统的运行资源影响比较小。另外,由于运行机制是利用镜像来复制数据,并借助高速缓冲存储器加速I/O 存取,两端的数据差异时间点比较小,加上存储系统本身具备一定的容错能力,使之具有较高的运行性能和可靠性。但该技术最大的限制用户必须在本地端和容灾端分别配置两套相同的存储系统,不仅采购成本高,而且还要受制于单一的设备厂商,未来的扩展性势必缺乏弹性。 二、基于软件技术的数据容灾解决方案 本方案为远程办公室提供存储和带宽优化的数据保护,采用OceanStor磁盘阵列内嵌PureDisk软件组成PureDisk Storage Pool,用来存储远端办公室的数
据。PureDisk利用重复数据删除技术,可以减少上传数据量,节约存储池的使用量,也减少了对广域网带宽资源的使用。 该方案一个最大的特点就是使用了重复数据删除技术,提供该技术功能的PureDisk软件虽然使用的是NetBackup的品牌,但实际上是一个不需要用户使用NetBackup来运行的独立产品,当然也可以同NetBackup融合。 从整体来看,华为的数据容灾方案只是将磁盘阵列与赛门铁克软件做了一个组合,单个产品的功能对用户来说都是比较熟悉的。
华为赛门铁克HSCDA-Storage认证培训网络课程 -IP-SAN概述
课程目标●了解什么是IP-SAN ●掌握ISCSI协议技术原理 ●了解FCIP协议 ●了解IFCP协议
1.I P-SAN存储基础 1.1.IP-SAN的诞生 由于FC-SAN的高昂价格和自身的种种不足,使得SAN技术并不能得到真正意义上的普及,SAN更多的是被应用在高端存储市场。为了提高SAN的普及度,充分利用SAN本身所具备的架构优势,许多存储和网络设备开始考虑放弃使用异构的FC,而在应用广泛、构建费用低廉的IP网络上继续享受SAN架构所带来的存储性能优势。这样的市场需求直接导致了“Storage Over IP”的诞生。
1.2.IP存储的优势 因为采用目前应用广泛且相对比较成熟的IP技术,所以基于IP的存储网络构建也比较简单,所需要的时间也更短。此外,还可以充分利用目前在IP网络方面已经大量部署的设备和投资,且新购设备也不需要昂贵的光纤通道交换机,从而有效的降低了总体拥有成本,更好的保护了用户的投资。此外,由于IP技术的多年普及造就了众多的IP网络管理人员和技术人员,企业在部署IP存储之后无需再聘请专门的FC-SAN管理和技术人员,从而可以大大降低IP存储网络的维护和管理费用。另外,由于IP的广泛应用,IP-SAN允许数据存储发生在企业网络的任何地方而没有物理地理位置的限制,从而可以很方便的实现远程备份、镜像和灾难恢复。
尽管IP存储标准早已建立且应用,但是将其真正广泛应用到存储环境中还需要解决几个关键问题: 块数据传输问题:FC存储协议具有高速、低延迟和距离短的特点,计算机在这个网络中是所有外部设备的控制者,因而计算机和存储设备是主从关系,适合传输大块的数据(Block Data);而从网络协议上来看,IP协议具备速度低、延迟高和距离长的特点,比较适合传输大量的小块消息(Message)。从而,如何提高在IP网络中块数据的传输效率,是IP存储急需改进的方面。 TCP负载空闲引擎:由于IP协议是无连接不可靠的传输协议,数据的可靠性和完整性是由TCP协议来提供的。而TCP为了完成数据的排序工作需要占用较多的主机CPU资源导致事务处理延迟的增加。由此,一种叫做TCP负载空闲引擎(TCP Off-loading Engine,TOE)的设备可降低主机处理器的负载,并且,该设备被期待来最终解决处理器负载的问题。但是目前TOE设备较新,其硬件成本和复杂程度都较高,所以其较高的价格可能会延迟其广泛部署。 数据安全性:企业网络中最重要的还是数据,所以,SAN中保存的数据的安全性和可靠性应当受到格外的重视。当存储设备通过IP架构进行远程连接时,数据的安全性愈加重要。尽管IP协议可以配合IP Sec体系使用,但是也只能保护数据在网络传输过程的安全,它并没有采取任何措施来保证数据被保存在存储设备上的安全性。并且由于IP网络是开放式网络,通过IP网络传输数据仍然存在众多安全漏洞,所以,如何提高数据在传输过程的安全