Symanec云安全解決方案.doc

精選資料云計算系統(tǒng)安全規(guī)劃與要求可修改編輯1概述12云計算模型與安全13云安全建設(shè)依據(jù)與參照34云平臺安全框架原則45云安全建設(shè)重點45.1云安全面臨的主要威脅45.2云安全建設(shè)的關(guān)鍵領(lǐng)域55.2.1云安全治理域治理和企業(yè)風(fēng)險管理法律與電子證據(jù)發(fā)現(xiàn)合規(guī)與審計信息生命周期管理可移植性和互操作性115.2.2云安全運行域業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)數(shù)據(jù)中心運行應(yīng)急響應(yīng)、通告和補救應(yīng)用安全加密和密鑰管理身份和訪問管理虛擬化176Symantec云安全解決方案186.1企業(yè)風(fēng)險管理（CCS/ESM）186.2電子證據(jù)發(fā)現(xiàn)與歸檔（EV）216.3合規(guī)與審計（SSIM）226.4數(shù)據(jù)泄露防護（DLP）246.5虛擬化安全（SEP+SCSP）266.5.1SEP266.5.2SCSP306.6加密和密鑰管理（PGP）31文檔信息屬性內(nèi)容文檔名稱：Symantec云安全解決方案文檔編號：文檔版本：0.1版本日期：2011/06/22文檔狀態(tài)：制作人：祝曉光審閱人：版本變更記錄版本修訂日期修訂人描述0.12011/06/22祝曉光初始版本1 概述云計算（或云）是一個演化中的詞匯，它描述了很多現(xiàn)有的計算技術(shù)和方法朝各種不同方向的發(fā)展。云將應(yīng)用和信息資源與底層的用以交付它們的基礎(chǔ)設(shè)施和機制分開。云強化了協(xié)作、敏捷、擴展性、可用性，以及通過優(yōu)化的、更有效率的計算來降低成本的潛能。更具體地說，云描述了由“資源池”化的計算、網(wǎng)絡(luò)、信息和存儲等組成的服務(wù)、應(yīng)用、信息和基礎(chǔ)設(shè)施等的使用。這些組件可以迅速策劃、置備、部署和退役，并且可以迅速擴充或縮減，提供按需的、效用計算類似的分配和消費模式。云架構(gòu)對安全架構(gòu)的影響，可以被映射到某個安全、可操作控制、風(fēng)險評估和管理框架等諸多要素的補償模型中去，進而符合合規(guī)性標準。云計算系統(tǒng)設(shè)備作為云計算平臺的管理設(shè)備，在功能方面，首先需要具備對后臺多種資源的管理功能，根據(jù)業(yè)務(wù)需要定制不同資源組合的服務(wù)，通過資源的自動部署和靈活調(diào)度，提供給用戶使用。平臺管理員和用戶通過服務(wù)門戶完成云計算平臺的管理功能和服務(wù)的申請流程。同時，管理設(shè)備需要對在云計算平臺的健康狀態(tài)進行監(jiān)控，滿足日常運維的需要。云安全技術(shù)和設(shè)備為云計算系統(tǒng)對外提供可靠的、實時的、精確的信息與服務(wù)給予充分的保障2 云計算模型與安全云服務(wù)的交付可以分為三種模式以及不同的衍生組合。這三種基本類型經(jīng)常被稱為“SPI”模型，其中SPI分別代表軟件、平臺和基礎(chǔ)設(shè)施（作為服務(wù)）。它們的定義如下：l 云軟件作為服務(wù) (SaaS). 提供給用戶的能力是使用服務(wù)商運行在云基礎(chǔ)設(shè)施之上的應(yīng)用。用戶使用各種客戶端設(shè)備通過“瘦”客戶界面（例如瀏覽器）等來訪問應(yīng)用（例如基于瀏覽器的郵件）。用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，例如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲、甚至其中單個的應(yīng)用能力，除非是某些有限用戶的特殊應(yīng)用配置項。l 云平臺作為服務(wù) (PaaS). 提供給用戶的能力是在云基礎(chǔ)設(shè)施之上部署用戶創(chuàng)建或采購的應(yīng)用，這些應(yīng)用使用服務(wù)商支持的編程語言或工具開發(fā)，用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、或存儲等，但是可以控制部署的應(yīng)用，以及應(yīng)用主機的某個環(huán)境配置。l 云基礎(chǔ)設(shè)施作為服務(wù) (IaaS). 提供給用戶的能力是云供應(yīng)了處理、存儲、網(wǎng)絡(luò)，以及其它基礎(chǔ)性的計算資源，以供用戶部署或運行自己任意的軟件，包括操作系統(tǒng)或應(yīng)用。用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，但是擁有對操作系統(tǒng)、存儲和部署的應(yīng)用的控制，以及一些網(wǎng)絡(luò)組件的有限控制（例如主機防火墻等）。NIST給云計算定義了五個關(guān)鍵特征、三個服務(wù)模型、四個部署模型。如下圖所示：IaaS 是所有云服務(wù)的基礎(chǔ)，PaaS建立在IaaS之上，而SaaS又建立在PaaS之上，參見云參考模型的圖示。如同云服務(wù)能力是繼承的那樣，信息安全風(fēng)險和問題也是繼承的。云參考模型對于將真實服務(wù)和某個架構(gòu)框架聯(lián)系在一起，進而理解需進行安全分析的資源和服務(wù)是非常重要的。IaaS涵蓋了從機房設(shè)備到其中的硬件平臺等所有的基礎(chǔ)設(shè)施資源層面，它包括了將資源抽象化（或相反）的能力，并交付連接到這些資源的物理或邏輯網(wǎng)絡(luò)連接，終極狀態(tài)是IaaS提供商提供一組API，允許用戶與基礎(chǔ)設(shè)施進行管理和其它形式的交互。PaaS位于IaaS之上，又增加了一個層面用以與應(yīng)用開發(fā)框架、中間件能力以及數(shù)據(jù)庫、消息和隊列等功能集成。PaaS允許開發(fā)者在平臺之上開發(fā)應(yīng)用，開發(fā)的編程語言和工具由PaaS支持提供。SaaS位于底層的IaaS和PaaS之上。SaaS能夠提供獨立的運行環(huán)境，用以交付完整的用戶體驗，包括內(nèi)容、展現(xiàn)、應(yīng)用和管理能力。因此，必須清楚，在三個模型中，集成的特色功能、復(fù)雜性與開放性（可增強性）以及安全等方面會有一些明顯的折中。三種云部署模型之間的折中包括：l 一般來說，SaaS會在產(chǎn)品中提供最為集成化的功能，最小的用戶可擴展性，相對來說較高的集成化的安全（至少提供商承擔(dān)安全的職責(zé)）。l PaaS提供的是開發(fā)者在平臺之上開發(fā)自己應(yīng)用的能力。因此它傾向于提供比l SaaS更多的可擴展性，其代價是SaaS那些已經(jīng)用戶可用的特色功能。這種折中也會延伸到安全特色和能力上，雖然內(nèi)置的安全能力不夠完備，但是用戶卻擁有更多的靈活性去實現(xiàn)額外的安全。l IaaS幾乎不提供那些和應(yīng)用類似的特色功能，但卻有極大地“可擴展性”。這一般是指IaaS在除了保護基礎(chǔ)設(shè)施自身之外的安全保護能力和功能更少。IaaS模型要求云用戶自己管理和安全保護操作系統(tǒng)、應(yīng)用和內(nèi)容。3 云安全建設(shè)依據(jù)與參照云安全聯(lián)盟CSA是在2009年的RSA大會上宣布成立的。自成立后，CSA迅速獲得了業(yè)界的廣泛認可?，F(xiàn)在和ISACA、OWASP等業(yè)界組織建立了合作關(guān)系，很多國際領(lǐng)袖公司成為其企業(yè)成員。企業(yè)成員涵蓋了國際領(lǐng)先的電信運營商、IT和網(wǎng)絡(luò)設(shè)備廠商、網(wǎng)絡(luò)安全廠商、云計算提供商等。云安全聯(lián)盟發(fā)布的云安全指南及其開發(fā)成為云計算領(lǐng)域令人矚目的安全活動。2009年12月17日，云安全聯(lián)盟發(fā)布了新版的云安全指南v2.1，代表著云計算和安全業(yè)界對于云計算及其安全保護的認識的一次重要升級。 本方案將以CSA云計算關(guān)鍵領(lǐng)域安全指南V2.1為主，并參考業(yè)內(nèi)云安全建設(shè)的最佳實踐來闡述云安全建設(shè)的重點和方法。4 云平臺安全框架原則5 云安全建設(shè)重點5.1 云安全面臨的主要威脅根據(jù)云安全聯(lián)盟的調(diào)查結(jié)果，云安全面臨的主要威脅有：l 云資源的濫用和盜用l 數(shù)據(jù)丟失/數(shù)據(jù)泄漏l 惡意內(nèi)部人士l 賬戶服務(wù)或流量劫持l 共享技術(shù)潛在風(fēng)險l 不安全的API l 未知風(fēng)險預(yù)測安全防護包括如下方面：l 物理安全：數(shù)據(jù)中心進出應(yīng)有安全管控，并留存記錄備查l 網(wǎng)絡(luò)安全：數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)應(yīng)該妥善隔離，數(shù)據(jù)傳輸必須加密l 身份驗證：建議采用雙重身份驗證l 權(quán)限管理：不同用戶間的數(shù)據(jù)應(yīng)完全隔離，同一用戶數(shù)據(jù)須有完善權(quán)限管控l 密鑰管理：密鑰管理服務(wù)器應(yīng)強化安全防護，且必須考量密鑰回復(fù)機制l 系統(tǒng)安全：必須建立安全防護措施保護系統(tǒng)安全，并定期進行漏洞掃描l 日志記錄：所有操作均應(yīng)留存日志記錄l 災(zāi)備管理：數(shù)據(jù)中心應(yīng)建立完善的災(zāi)備管理體系l 內(nèi)控流程：數(shù)據(jù)中心內(nèi)部應(yīng)有明確的控管流程，并定期進行內(nèi)外部審計l 合約管理：服務(wù)水平協(xié)議應(yīng)明訂安全需求與賠償條款5.2 云安全建設(shè)的關(guān)鍵領(lǐng)域5.2.1 云安全治理域 治理和企業(yè)風(fēng)險管理定義與目標在云計算中，有效地治理和企業(yè)風(fēng)險管理是從良好開發(fā)的信息安全治理過程得到的，是組織全面企業(yè)風(fēng)險治理的關(guān)注點。良好開發(fā)的信息安全治理過程會使信息安全管理程序一直可依據(jù)業(yè)務(wù)伸縮、可在組織內(nèi)重復(fù)、可測量、可持續(xù)、可防御、可持續(xù)改進且具有成本效益。云計算中的治理和企業(yè)風(fēng)險管理的基本問題關(guān)系到識別和實施適當(dāng)?shù)慕M織架構(gòu)、流程及控制來維持有效的信息安全治理、風(fēng)險管理及合規(guī)性。應(yīng)確保在任何云部署模型中，都有適當(dāng)?shù)男畔踩灤┯谛畔⒐?yīng)鏈，包括云計算服務(wù)的供應(yīng)商和用戶，及其支持的第三方供應(yīng)商。關(guān)鍵性挑戰(zhàn)l 基于風(fēng)險評估的信息安全控制l 信息安全管理有效性指標測量l 可證明的服務(wù)水平協(xié)議(SLA)l 風(fēng)險評估和管理方法l 適當(dāng)?shù)娘L(fēng)險控制技術(shù)功能需求l 具備ISO17799、SOX、CIS、SANS20等業(yè)內(nèi)最佳實踐的安全風(fēng)險管理及合規(guī)性檢查模板，可基于該模板定制、細化適合用戶自己的內(nèi)容l 提供安全風(fēng)險對應(yīng)的解決方案，具有廣泛的漏洞庫、知識庫內(nèi)容l 系統(tǒng)之間的通信使用128位的DES-X加密算法及高級Diffie-Helman密鑰交換算法保證組件的通信安全l 提供ODBC接口可將安全風(fēng)險數(shù)據(jù)導(dǎo)入用戶定制的數(shù)據(jù)庫文件中，如：WORD、EXCEL、FoxPro、ACCESS、Visual FoxPro Databasel 支持的操作系統(tǒng)平臺的安全風(fēng)險評估包括但不限于：WIN2000/NT，AIX，HP-UX，SOLARIS，IRIX，LINUX，TRUE64/OSF1，Sequent，NetWare，VMS,，AS400，AT&T/NCR等l 支持的數(shù)據(jù)庫安全風(fēng)險評估包括但不限于：Oracle，DB2，SYBASE，SQL等 法律與電子證據(jù)發(fā)現(xiàn)定義與目標云計算相關(guān)的法律問題的完整分析應(yīng)該考慮功能、司法和合同這幾方面的問題，包括：l 功能方面主要包括確定云計算中的功能和服務(wù)，杜絕因此產(chǎn)生參與者和利益相關(guān)者（stakeholder）的法律問題l 司法方面主要包括政府管理法案和制度對于云計算服務(wù)、利益相關(guān)者和數(shù)據(jù)資產(chǎn)的影響l 合同方面主要包括合同的結(jié)構(gòu)、條件和環(huán)境，以及云計算環(huán)境中的Stakeholder解決和管理法律和安全問題的實施辦法實施安全策略以滿足當(dāng)?shù)胤ㄒ?guī)對跨邊界數(shù)據(jù)流合規(guī)要求的先決條件，是了解云服務(wù)提供商數(shù)據(jù)存貯的地點；作為個人數(shù)據(jù)或企業(yè)知識產(chǎn)權(quán)資產(chǎn)的保管者，采用云計算服務(wù)的企業(yè)應(yīng)該保證該數(shù)據(jù)以原始的、可認證的格式保存所有者信息。關(guān)鍵性挑戰(zhàn)l 非結(jié)構(gòu)化數(shù)據(jù)的歸檔、搜索、電子證據(jù)發(fā)現(xiàn)l 頻繁流動的員工使企業(yè)信息外流l 法律法規(guī)對電子信息保存要求l 郵件系統(tǒng)遷移對歸檔數(shù)據(jù)產(chǎn)生的影響功能需求l 統(tǒng)一的歸檔平臺，支持郵件系統(tǒng)、文件服務(wù)器、即時通訊軟件、Sharepoint等消息平臺的歸檔l 支持主流郵件系統(tǒng)如：Exchange 2003、Exchange 2007、IBM Lotus Domino 等l 硬件存儲無關(guān)性；支持主流存儲廠商的存儲設(shè)備，可以把DAS、SAN 和 NAS存儲選件用作歸檔存儲l 支持單實例存儲l 靈活的郵件遷移策略，需要圖形化的手段而非腳本語言實現(xiàn)簡化管理。l 歸檔壓縮存儲，存儲歸檔文件的時候，文件是經(jīng)過壓縮的。壓縮比例不低于60%，從而節(jié)省近一半的存儲資源l 支持用戶郵箱歸檔和日志歸檔，實現(xiàn)無限容量郵箱的功能，可作為郵件安全審計平臺 合規(guī)與審計定義與目標在云計算平臺中各層面的安全性審計與安全合規(guī)性管理的要求尤為重要，該部分功能是云平臺的各層面安全已經(jīng)具備一定的日志和專項審計功能基礎(chǔ)上，達到統(tǒng)一、集中的安全審計管理和安全合規(guī)性管理功能。包括：安全監(jiān)控管理、安全合規(guī)管理的內(nèi)容。需要理解如下幾點：l 使用特定云服務(wù)時的監(jiān)管法規(guī)適用性l 云提供商和消費者在合規(guī)責(zé)任上的區(qū)別l 云提供商提供合規(guī)所需資料的能力l 云消費者需要協(xié)助云提供商縮小和審計者/評估者之間的差異關(guān)鍵性挑戰(zhàn)l 基于SAS 70 TYPE II的審計和安全控制l ISO/IEC 27001/27002認證和標準l 合規(guī)證據(jù)的收集與存儲l 合規(guī)對基礎(chǔ)架構(gòu)和流程的影響l 合規(guī)對數(shù)據(jù)安全的影響l 滿足各種當(dāng)前和未來的合規(guī)需求功能需求l 在云平臺環(huán)境下，系統(tǒng)自身的安全監(jiān)控除需支持通用主機系統(tǒng)的運行狀態(tài)監(jiān)控、日志審計監(jiān)控、安全配置監(jiān)控外，還應(yīng)支持對于虛擬層的上述監(jiān)控；l 可依賴虛擬層相關(guān)產(chǎn)品提供的監(jiān)控數(shù)據(jù)，納入該平臺的統(tǒng)一分析和管理；l 支持云平臺環(huán)境下，各類安全設(shè)備、系統(tǒng)的安全事件、安全日志的統(tǒng)一監(jiān)控和管理。包括但不限于：防火墻安全事件、IDS安全事件、漏洞掃描系統(tǒng)報告、防病毒系統(tǒng)病毒事件等。l 應(yīng)廣泛支持云平臺環(huán)境下的各類安全系統(tǒng)，形成統(tǒng)一的安全數(shù)據(jù)采集。l 平臺支持對于安全事件的統(tǒng)一分析、安全審計功能。監(jiān)控及審計內(nèi)容包括但不限于：事件時間、事件對象、事件類型、事件的源及目的、事件的影響等內(nèi)容。l 在云平臺環(huán)境下，系統(tǒng)自身的安全監(jiān)控除需支持通用主機系統(tǒng)的運行狀態(tài)監(jiān)控、日志審計監(jiān)控、安全配置監(jiān)控外，還應(yīng)支持對于虛擬層的上述監(jiān)控。l 支持按照統(tǒng)一的設(shè)備安全基線要求，以及SOX等國內(nèi)、國際法規(guī)要求，在云平臺環(huán)境下具體的安全配置要求的檢查。l 支持檢查策略的統(tǒng)一要求，在系統(tǒng)和設(shè)備層面的技術(shù)映射，以及自動化的合規(guī)檢查、違規(guī)告警與報告，以及相應(yīng)的修復(fù)建議。l 明確云平臺的合規(guī)考核標準，特別是符合SLA要求的合規(guī)標準。l 支持自動獲取全球當(dāng)前最新安全威脅情況的實時更新。系統(tǒng)應(yīng)該內(nèi)置完整的知識庫系統(tǒng)，覆蓋主流IT供應(yīng)商各個產(chǎn)品的不同版本，對于各種安全事件給出詳細描述、損害分析、解決方法及補丁鏈接等資源；l 平臺支持合規(guī)性的報告輸出，滿足云管理平臺運維考核，以及服務(wù)級別要求；報表功能內(nèi)置可支持SOX、ISO27001、PCI、FSIMA、HIPPA等主流合規(guī)報表模板； 信息生命周期管理定義與目標信息安全的主要目標之一是保護我們系統(tǒng)和應(yīng)用程序的基礎(chǔ)數(shù)據(jù)。當(dāng)向云計算過渡的時候，傳統(tǒng)的數(shù)據(jù)安全方法將遭到云模式架構(gòu)的挑戰(zhàn)。彈性、多租戶、新的物理和邏輯架構(gòu)，以及抽象的控制需要新的數(shù)據(jù)安全策略。數(shù)據(jù)安全生命周期與信息生命周期管理是不同的，其反映了安全受眾的不同需要。數(shù)據(jù)安全生命周期可分為六個階段，即創(chuàng)建、存儲、使用、共享、歸檔、銷毀。關(guān)鍵性挑戰(zhàn)l 數(shù)據(jù)安全。保密性、完整性、可用性、真實性、授權(quán)、認證和不可抵賴性。l 數(shù)據(jù)存放位置。必須保證所有的數(shù)據(jù)包括所有副本和備份，存儲在合同、服務(wù)水平協(xié)議和法規(guī)允許的地理位置。l 數(shù)據(jù)刪除或持久性。 數(shù)據(jù)必須徹底有效地去除才被視為銷毀。因此，必須具備一種可用的技術(shù)，能保證全面和有效地定位云計算數(shù)據(jù)、擦除/銷毀數(shù)據(jù)，并保證數(shù)據(jù)已被完全消除或使其無法恢復(fù)。l 不同客戶數(shù)據(jù)的混合：數(shù)據(jù)尤其是保密/敏感數(shù)據(jù)不能在使用、儲存或傳輸過程中，在沒有任何補償控制的情況下與其它客戶數(shù)據(jù)混合。數(shù)據(jù)的混合將在數(shù)據(jù)安全和地緣位置等方面增加了安全的挑戰(zhàn)。l 數(shù)據(jù)備份和恢復(fù)重建（Recovery and Restoration）計劃：必須保證數(shù)據(jù)可用，云數(shù)據(jù)備份和云恢復(fù)計劃必須到位和有效，以防止數(shù)據(jù)丟失、意外的數(shù)據(jù)覆蓋和破壞。不要隨便假定云模式的數(shù)據(jù)肯定有備份并可恢復(fù)。l 數(shù)據(jù)發(fā)現(xiàn)（discovery）：由于法律系統(tǒng)持續(xù)關(guān)注電子證據(jù)發(fā)現(xiàn)，云服務(wù)提供商和數(shù)據(jù)擁有者將需要把重點放在發(fā)現(xiàn)數(shù)據(jù)并確保法律和監(jiān)管當(dāng)局要求的所有數(shù)據(jù)可被找回。l 數(shù)據(jù)聚合和推理：數(shù)據(jù)在云端時，會有新增的數(shù)據(jù)匯總和推理的方面的擔(dān)心，可能會導(dǎo)致違反敏感和機密資料的保密性。功能需求l 創(chuàng)建識別可用的數(shù)據(jù)標簽和分類。企業(yè)數(shù)字權(quán)限管理（DRM）可能是一種選擇。數(shù)據(jù)的用戶標記在WEB2.0環(huán)境中應(yīng)用l 存儲識別文件系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)DBMS和文檔管理系統(tǒng)等環(huán)境中的訪問控制。加密解決方案，涵蓋如電子郵件、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫、文件和文件系統(tǒng)。內(nèi)容發(fā)現(xiàn)工具（如DLP數(shù)據(jù)丟失防護）更有助于識別和審計。l 使用活動監(jiān)控，可以通過日志文件和基于代理的工具。基于數(shù)據(jù)庫管理系統(tǒng)解決方案的對象級控制。l 共享活動監(jiān)控，可以通過日志文件和基于代理的工具?；跀?shù)據(jù)庫管理系統(tǒng)解決方案的對象級控制。識別文件系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和文檔管理系統(tǒng)等環(huán)境中的訪問控制。加密解決方案，涵蓋如電子郵件、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫、文件和文件系統(tǒng)。通過DLP實現(xiàn)基于內(nèi)容的數(shù)據(jù)保護。l 歸檔加密，如磁帶備份和其他長期儲存介質(zhì)。資產(chǎn)管理和跟蹤l 銷毀加密和粉碎：所有加密數(shù)據(jù)相關(guān)的關(guān)鍵介質(zhì)的銷毀。通過磁盤“擦拭”和相關(guān)技術(shù)實現(xiàn)安全刪除。物理銷毀，如物理介質(zhì)消磁。通過內(nèi)容發(fā)現(xiàn)以確認銷毀過程.信息生命周期管理貫穿整個云安全建設(shè)的過程，其它具體功能需求參考其它治理域和運行域中相應(yīng)的技術(shù)和管理需求。 可移植性和互操作性定義與目標可移植性和互操作性必須被作為云項目風(fēng)險管理和安全保證的一部分而提前考慮。在云中提供提供異地災(zāi)備可提供高可用性的服務(wù)；使用SaaS的客戶關(guān)注的重點不在于應(yīng)用的可移植性，而是保持或增強舊應(yīng)用程序的安全功能，以成功的完成數(shù)據(jù)遷移。在PaaS情況下，為達到可移植性，一定程度上對應(yīng)用的修改是需要的。關(guān)注的重點在于當(dāng)保存或增加安全控制時，最大限度的降低應(yīng)用重寫的數(shù)量，同時成功的完成數(shù)據(jù)遷移。在IaaS情況下，關(guān)注的重點和期望是應(yīng)用和數(shù)據(jù)都能夠遷移到新的云提供商并順利運行。關(guān)鍵性挑戰(zhàn)l 無法接受續(xù)約帶來的費用增加l 提供商停止了業(yè)務(wù)運營l 提供商在沒有給出合理的數(shù)據(jù)遷移計劃之前，關(guān)停了企業(yè)正在使用的服務(wù)l 無法接受服務(wù)質(zhì)量的下降，比如無法完成關(guān)鍵業(yè)績要求或SLAl 發(fā)生在云用戶和提供商之間的分歧。功能需求l 廣泛平臺支持云存儲管理可以運行在多種操作系統(tǒng)平臺上，如IBMAIX、HPUX、Solaris、Linux等，以邏輯卷的方式透明統(tǒng)一地使用和管理各種品牌的隨機存儲。邏輯卷能夠在不同的操作系統(tǒng)平臺上直接掛接使用，從而保證應(yīng)用轉(zhuǎn)換到新的操作系統(tǒng)上運行時，不需要復(fù)雜的數(shù)據(jù)遷移過程，簡化應(yīng)用平臺轉(zhuǎn)換的過程l 在線功能能夠在Oracle訪問不受影響的情況下對磁盤陣列進行在線管理，包括磁盤故障在線修復(fù)、新設(shè)備在線擴容、并根據(jù)應(yīng)用需要對邏輯卷容量進行在線擴大和縮小調(diào)整，以及在線性能優(yōu)化等。同時支持在線添加或刪除RAC節(jié)點。l 存儲虛擬化管理支持對異構(gòu)存儲陣列的動態(tài)多路徑管理。通過多個光纖通道訪問異構(gòu)存儲設(shè)備時，支持磁盤陣列能夠?qū)崿F(xiàn)的A/A以及A/P的工作方式l 跨卷在線遷移支持跨卷（磁盤陣列）的文件系統(tǒng)，并支持在文件系統(tǒng)架構(gòu)不變的情況下，數(shù)據(jù)可以在不同的卷（磁盤陣列）上在線遷移。從而實現(xiàn)在不改變文件系統(tǒng)結(jié)構(gòu)，不定頓應(yīng)用的前提下，在任何時候?qū)⑷魏挝募w移到任何存儲上去5.2.2 云安全運行域 業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)定義與目標傳統(tǒng)的物理安全、業(yè)務(wù)連續(xù)性計劃（BCP）和災(zāi)難恢復(fù)（DR）等形成的專業(yè)知識與云計算仍然有緊密關(guān)系。由于云計算的迅速變化和缺乏透明度，這就要求在傳統(tǒng)的安全、業(yè)務(wù)連續(xù)性規(guī)劃和災(zāi)難恢復(fù)領(lǐng)域的專業(yè)人員不斷進行審查和監(jiān)測。當(dāng)前面臨的的挑戰(zhàn)是如何合作進行風(fēng)險識別、確認相互依存、整合、動態(tài)并且有效的利用資源。云計算和與之配套的基礎(chǔ)設(shè)施可以幫助減少某些安全問題，但也可能會增加某些安全問題，肯定不會消除人們對安全的需要。隨著業(yè)務(wù)和技術(shù)領(lǐng)域的重要變革的深入，傳統(tǒng)安全原則依然存在。關(guān)鍵性挑戰(zhàn)功能需求 數(shù)據(jù)中心運行定義與目標云計算數(shù)據(jù)中心通過IT資源共享來創(chuàng)造效率和規(guī)模效益，不同云服務(wù)提供商的在技術(shù)架構(gòu)和基礎(chǔ)設(shè)施可能會有所不同，但是為了符合安全要求，他們都必須全部能夠展示系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)、管理、部署和人員方面的全方位相互隔離，為了不互相干擾，每一層基礎(chǔ)設(shè)施的控制隔離需要適當(dāng)加以整合。處理資源動態(tài)分配，以便在商業(yè)系統(tǒng)的正常起伏波動過程中預(yù)測系統(tǒng)可用性和性能的適當(dāng)水平。許多客戶對所涉及的自動化水平作出了不正確的假設(shè)。在配置資源達到容限時，云服務(wù)提供商要確保其它的資源可以及時地?zé)o縫地提供給客戶。關(guān)鍵性挑戰(zhàn)l 如何實現(xiàn)前面所論述的“云計算的5大關(guān)鍵特征”l 技術(shù)架構(gòu)和基礎(chǔ)設(shè)施是否會影響滿足服務(wù)水平協(xié)議SLA和解決安全問題的能力l 承諾或授權(quán)進行客戶方或外部第三方審計的權(quán)利l 用IT視角去審視業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計劃功能需求 應(yīng)急響應(yīng)、通告和補救定義與目標部署到云的應(yīng)用程序并不總是把數(shù)據(jù)完整性和安全性設(shè)計放在第一位，這可能導(dǎo)致脆弱的應(yīng)用部署進云環(huán)境，進而引發(fā)安全事故。此外，基礎(chǔ)設(shè)施架構(gòu)的缺陷、加固規(guī)程中的錯誤、以及簡單的操作疏忽都會對云服務(wù)的運營構(gòu)成重大的威脅。事件處理過程需要專業(yè)技術(shù)人員、但隱私和法律專家，在事件響應(yīng)中，會在通知、補救、以及隨后可能采取的法律行動中發(fā)揮關(guān)鍵作用。關(guān)鍵性挑戰(zhàn)l 針對應(yīng)用程序數(shù)據(jù)的未經(jīng)授權(quán)訪問的補救選項l 事故和事件的精確識別l 事件檢測和分析工具以及兼容性l 協(xié)助事件響應(yīng)的關(guān)鍵能力功能需求 應(yīng)用安全定義與目標由于云環(huán)境其靈活性、開放性、以及公眾可用性這些特性，給應(yīng)用安全的基本假設(shè)帶來了很多挑戰(zhàn)。這些假設(shè)中的一部分可以很好理解，而很多卻不容易理解。從設(shè)計到運維再到最終退役；基于云計算的應(yīng)用軟件需要經(jīng)過類似于DMZ區(qū)部署的應(yīng)用程序那樣的嚴格設(shè)計，包括深入的前期分析，涵蓋了傳統(tǒng)的如何管理信息的機密性、完整性，以及可用性等方面。關(guān)鍵性挑戰(zhàn)l 應(yīng)用安全架構(gòu)大多數(shù)應(yīng)用程序會與其它多個不同的系統(tǒng)產(chǎn)生依賴關(guān)系，應(yīng)用程序的依賴性可能非常動態(tài)，甚至每個依賴都代表一個獨立的第三方服務(wù)提供商，云特性使配置管理和緊隨的配置供應(yīng)比傳統(tǒng)的應(yīng)用程序部署更為復(fù)雜。l 軟件開發(fā)生命周期（SDLC）云計算影響SDLC的各個方面，涵蓋應(yīng)用程序體系結(jié)構(gòu)、設(shè)計、開發(fā)、質(zhì)量保證、文檔、部署、管理、維護和退役。l 合規(guī)性合規(guī)性明顯會影響數(shù)據(jù)，而且也會影響應(yīng)用程序（例如，監(jiān)管要求如何實現(xiàn)程序中的一個特定加密函數(shù)）、平臺（對操作系統(tǒng)的控制和設(shè)置的命令）和進程（如對安全事件的報告要求）。l 工具和服務(wù)圍繞著開發(fā)和維護運行應(yīng)用程序需要的工具和服務(wù)，云計算對工具和服務(wù)帶來了一系列的新挑戰(zhàn)。這其中包括開發(fā)和測試工具、應(yīng)用程序管理工具、對外服務(wù)的耦合、以及庫和操作系統(tǒng)服務(wù)的依賴性。了解誰提供、誰擁有、誰運行的后果、并承擔(dān)相關(guān)的責(zé)任非常重要。l 脆弱性包括良好文檔化的和不停演化中的web應(yīng)用脆弱性，還有那些在機器與機器之間的、面向服務(wù)架構(gòu)（SOA）的應(yīng)用程序的脆弱性，這些SOA應(yīng)用正在不斷地被部署進云中。功能需求 加密和密鑰管理定義與目標云用戶和提供商需要避免數(shù)據(jù)丟失和被竊。強加密及密鑰管理是云計算系統(tǒng)需要用以保護數(shù)據(jù)的一種核心機制。由于加密本身不能保證防止數(shù)據(jù)丟失，因此法律法規(guī)中的責(zé)任避風(fēng)港（safe harbor provisions）將加密數(shù)據(jù)的丟失看作根本沒有丟失。加密提供了資源保護功能，同時密鑰管理則提供了對受保護資源的訪問控制。關(guān)鍵性挑戰(zhàn)l 加密的機密性和完整性n 加密網(wǎng)絡(luò)傳輸中的數(shù)據(jù)n 加密靜止數(shù)據(jù)n 加密備份媒介中的數(shù)據(jù)l 密鑰管理n 保護密鑰存儲n 訪問密鑰存儲n 密鑰備份和恢復(fù)功能需求l 支持Windows/Linux/Mac OS/RIM/Windows Mobile等各種平臺l 密鑰管理支持PGP以及X.509證書密鑰；具備密鑰恢復(fù)和密鑰重建功能l 支持全盤加密、郵件加密、文件加密、共享磁盤加密、虛擬磁盤加密、集中管理與報表呈現(xiàn)l 提供加密傳輸手段，對云平臺應(yīng)用中傳輸?shù)臄?shù)據(jù)進行加密保護。l 受保護的應(yīng)用包括但不限于：郵件、文件傳輸；l 采用的安全協(xié)議包括但不限于：SSL、secure-FTP等l 提供對不同租戶的敏感數(shù)據(jù)的機密存儲的功能。l 支持密鑰的生成、發(fā)放、回收等密鑰管理功能 身份和訪問管理定義與目標管理身份和訪問企業(yè)應(yīng)用程序的控制仍然是當(dāng)今的IT面臨的最大挑戰(zhàn)之一，延伸企業(yè)身份管理服務(wù)到云計算確是實現(xiàn)按需計算服務(wù)戰(zhàn)略的先導(dǎo)，因此對企業(yè)基于云的身份和訪問管理（IAM）是否準備就緒進行客戶的評估是采納云生態(tài)系統(tǒng)的必要前提。關(guān)鍵性挑戰(zhàn)l 身份供應(yīng)：云計算服務(wù)的主要挑戰(zhàn)之一是在云端安全和及時地管理報到（供應(yīng)，即創(chuàng)建和更新帳戶）和離職（取消供應(yīng)，即刪除用戶帳戶）的用戶。此外，已經(jīng)實行內(nèi)部用戶管理的企業(yè)將尋求將這些進程和實踐引伸到云端服務(wù)。l 認證：當(dāng)開始利用云端服務(wù)時，以可信賴及易于管理方式來認證用戶是一個至關(guān)重要的要求。必須解決跟身份認證有關(guān)的挑戰(zhàn)，例如憑證管理、強認證（通常定義為多因素身份認證）、委派身份認證、及跨越所有云服務(wù)類型的信任管理。l 聯(lián)盟：聯(lián)盟身份管理在使企業(yè)能夠利用所選擇的身份提供商（IdP）去認證云用戶提供了至關(guān)重要的作用的。身份提供商（IdP）與服務(wù)提供商（SP）以安全的方式交換身份屬性也是一個重要的要求。應(yīng)了解各種挑戰(zhàn)和可能的解決方案，包括有關(guān)身份生命周期管理、可用的認證方法來保護機密性和完整性；與此同時支持不可抵賴性。l 授權(quán)和用戶配置文件管理：用戶配置文件和訪問控制方針的要求，取決于用戶是否以自己的名義行事或作為一個機構(gòu)。在SPI環(huán)境下的訪問控制的要求包括建立可信任用戶配置文件和規(guī)則信息，不但用它來控制在云端服務(wù)的訪問，而且運行方式符合審核的要求。功能需求l 管理分布式環(huán)境下的用戶，包括能夠為用戶配置一個或多個角色；l 主動強制安全策略，實現(xiàn)基于角色和規(guī)則的自動化管理；l 可模擬策略變更，從而便于掌握新的安全策略對用戶可能產(chǎn)生的影響；l 通過自動化流程分配訪問請求，在未得到即時響應(yīng)的情況下送至上一級審批人；l 提供執(zhí)行口令和個人信息變更的 Web 自助接口； 虛擬化定義與目標虛擬化的可擴展有利于加強在基礎(chǔ)設(shè)施、平臺、軟件層面提供多租戶云服務(wù)的能力，然而也會帶來其它安全問題，應(yīng)充分考慮這些安全問題。虛似化技術(shù)有許多種，最常用的是操作系統(tǒng)虛擬化，如果云服務(wù)的基礎(chǔ)設(shè)施采用了虛擬機（VM）技術(shù)，這些VM系統(tǒng)間的隔離加固是必須要考慮的。虛擬操作系統(tǒng)管理方面的實踐現(xiàn)狀是：大多數(shù)提供缺省安全保護的進程都未被加入，因此必須特別注意如何代替它們的功能。虛擬化技術(shù)本身引入了hypervisor和其它管理模塊這些新的攻擊層面，但更重要的是虛擬化對網(wǎng)絡(luò)安全帶來的嚴重威脅，虛擬機間通過硬件的背板而不是網(wǎng)絡(luò)進行通信，因此，這些通信流量對標準的網(wǎng)絡(luò)安全控制來說是不可見的，無法對它們進行監(jiān)測、在線封堵，類似這些安全控制功能在虛擬化環(huán)境中都需要采用新的形式。數(shù)據(jù)混合在集中的服務(wù)和存儲中是另一需考慮的問題，云計算服務(wù)提供的集中數(shù)據(jù)在理論上應(yīng)比在大量各種端點上分布的數(shù)據(jù)更安全，然而這同時也將風(fēng)險集中了，增加了一次入侵可能帶來的后果。還有就是不同敏感度和安全要求的VM如何共存。在云計算中，某一最低安全保護的租戶，其安全性會成為多租戶虛擬環(huán)境中所有租戶共有的安全性，除非設(shè)計一種新的安全結(jié)構(gòu)，安全保護之間不會通過網(wǎng)絡(luò)相互依賴。關(guān)鍵性挑戰(zhàn)l 針對虛擬化平臺的Hypervisor層具備的防攻擊與入侵的安全要求（如針對端口、命令、文件等方面的內(nèi)容）l 針對虛擬化平臺的Hypervisor層具備的安全配置要求及補丁管理要求l 針對虛擬化平臺的Hypervisor層的訪問接口及安全控制要求功能需求l VM Image 文件嚴格的訪問控制及文件泄露防護l 支持offline vmdk病毒掃描和安全的Base Image排除功能l 支持VM病毒掃描結(jié)果的共享，對于虛擬機中病毒掃描后安全的文件列表需要進行共享，減少在其他VM中對于同一文件的掃描，提高掃描效率l 具備掃描風(fēng)暴規(guī)避的功能，防止同一物理機上多臺虛擬機同時掃描造成的性能風(fēng)暴l 可同時監(jiān)控虛擬化平臺hypervisor/Guest OS的安全性問題，并鎖定ESX hypervisor and Guest OS 安全配置，并且進行分層訪問控制l 對Guest OS的多個sym-link 卷的多文件進行監(jiān)控，多平臺上產(chǎn)生相同動作的時候生成單個事件6 Symantec云安全解決方案Symantec整體云安全解決方案涵蓋并符合CSA云安全建設(shè)指南的核心指導(dǎo)思想，包括治理域和運行域的內(nèi)容，其邏輯架構(gòu)如下圖所示：6.1 企業(yè)風(fēng)險管理（CCS/ESM）企業(yè)面臨的一項主要挑戰(zhàn)就是如何確保IT系統(tǒng)符合管理層制定的安全準則，及時發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)中存在的諸如系統(tǒng)漏洞、配置錯誤、文件變更、違背安全策略的情況并加以矯正。全面發(fā)現(xiàn)企業(yè)在技術(shù)和管理上存在的缺陷與風(fēng)險，并提供相應(yīng)的補救措施。Symantec Enterprise Security Manager（ESM）是一種融主機和網(wǎng)絡(luò)安全漏洞掃描于一體和策略一致性風(fēng)險評估工具，用于評估各種網(wǎng)絡(luò)設(shè)備（包括交換機、路由器、應(yīng)用服務(wù)器、終端等等）、多種操作系統(tǒng)平臺和應(yīng)用系統(tǒng)的安全性，同時檢查這些系統(tǒng)是否符合業(yè)界最佳的安全實踐和規(guī)范。ESM可評估的操作系統(tǒng)包括不同種類的網(wǎng)絡(luò)設(shè)備，UNIX（HP-UX，Solaris，AIX），Windows，Linux，Netware，AS400和OpenVMS，應(yīng)用系統(tǒng)則包括Web 服務(wù)器（Apache、IIS、iPlanet），數(shù)據(jù)庫服務(wù)器（DB2，Oracle、SQL Server）和防火墻（CheckPoint）。內(nèi)嵌了針對下列標準和安全最佳實踐的檢查策略：l ISO 17799l Sarbanes-Oxley法案l FISMA NIST 800-53，SANS Top 20 l CIS Benchmarksl Graham-Leach-Bliley Act (GLBA)l HIPAAl NERC - North American Energy Reliability Councill VISA Cardholder Information Security Program (CISP)Symantec ESM對操作系統(tǒng)、應(yīng)用代碼、系統(tǒng)及應(yīng)用的配置、授權(quán)帳戶安全、目錄文件系統(tǒng)、網(wǎng)絡(luò)訪問安全及DOS攻擊等均提供了有效的管理、檢查和保證。ESM 在35個以上的平臺上共執(zhí)行超過4000種安全檢查。ESM的邏輯部署架構(gòu)圖如下所示：Symantec Control Compliance Suite 實現(xiàn)了關(guān)鍵 IT 遵從流程的自動化，即通過將策略與多個框架、標準和法規(guī)（包括 NERC CIP 要求）相對應(yīng)，將不明確的規(guī)則轉(zhuǎn)化成切實可行的 IT 策略。該套件可評估技術(shù)和程序控制并將這些評估與既定的風(fēng)險標準進行比較。無需安裝代理即可收集有關(guān)配置、權(quán)限、補丁程序和漏洞的遵從證據(jù)。Symantec ControlCompliance Suite 還包括程序活動的手動驗證，詳細說明了需要采取哪些措施來彌補與標準和策略之間的差距。通過在整個企業(yè)提供制定和發(fā)布策略的自動化策略管理，CCS 可減少 IT 部門遵從多項法規(guī)（包括 NERC CIP）所致的成本增加。其工作流程如下圖所示：6.2 電子證據(jù)發(fā)現(xiàn)與歸檔（EV）Symatnec Enterprise Vault（EV）為客戶的郵件系統(tǒng)和文件系統(tǒng)提供卓越的安全保護和電子證據(jù)發(fā)現(xiàn)解決方案。通過有效維持通訊系統(tǒng)及數(shù)據(jù)的安全及隨時可用，節(jié)省用戶的投資成本，并通過歸檔實現(xiàn)對歷史數(shù)據(jù)的生命周期管理。它可以在云平臺中給客戶帶來以下好處： 自動管理電子郵件的整個生命周期。根據(jù)企業(yè)定義策略，保護企業(yè)知識產(chǎn)權(quán)，保持訪問，快速發(fā)現(xiàn)內(nèi)容?？梢詫⑦@些策略定義用于企業(yè)用戶組 (OU)或者用戶組或者單個用戶 提供了靈活的歸檔框架，從而幫助減少存儲成本并簡化管理的同時可以發(fā)現(xiàn)保存在電子郵件、文件系統(tǒng)和共享環(huán)境中的內(nèi)容 松耦合架構(gòu)保障郵件系統(tǒng)和文件系統(tǒng)的性能和可靠性 通過在策略控制下將內(nèi)容自動地歸檔至在線存儲區(qū)（用于主動保存和無縫檢索信息）來對其進行管理 專門的客戶端應(yīng)用程序進行補充以增強企業(yè)管理、風(fēng)險管理和法律保護 幫助企業(yè)降低圍繞應(yīng)用程序存儲管理、一致性保留和發(fā)現(xiàn)以及升級、遷移和整合等問題的業(yè)務(wù)量和IT 風(fēng)險Symantec EV幫助企業(yè)進行歸檔和電子證據(jù)發(fā)現(xiàn)的邏輯架構(gòu)如下圖所示：6.3 合規(guī)與審計（SSIM）為了能全面反映IT安全風(fēng)險，協(xié)調(diào)處理安全事件，降低安全風(fēng)險，增強事后審計取證的能力要求，除需要建立嚴密的計算機管理規(guī)章制度、運行規(guī)程之外，還要建立良好的故障處理反應(yīng)機制，對風(fēng)險政策制度、安全信息分析、風(fēng)險監(jiān)控等方面實行全行集中管理，建立健全的安全集中監(jiān)控體系，保障信息系統(tǒng)的安全正常運行，對違規(guī)的各種行為能夠及時監(jiān)控和報警，并提供靈活的審計和查詢能力。Symantec Security Information Manager(SSIM) 系統(tǒng)以模塊化架構(gòu)提供日志集中收集與管理、實時安全監(jiān)控、合規(guī)則審計、及全面的風(fēng)險管理能力，并著力減少管理人員的工作負擔(dān)，提高工作效率。其整體架構(gòu)如下：Symantec合規(guī)與審計監(jiān)控系統(tǒng)總體架構(gòu)分為四個層次：l 信息收集層對云平臺中各種原始設(shè)備（如安全設(shè)備、主機設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、應(yīng)用等）中收集安全事件，標準化及原始日志的壓縮存儲；事件收集的方式包括：n Syslogn 專用Agentn SNMP等n ODBC、JDBCn OPSEC在該層面，除了能對多種類型的原始設(shè)備進行安全事件收集外，還會定期從Symantec 全球漏洞及威脅實時監(jiān)測系統(tǒng)獲得最新的安全信息（包括漏洞庫、威脅庫、解決方案庫）以提高整個安全監(jiān)控系統(tǒng)平臺的安全風(fēng)險檢測能力。l 協(xié)調(diào)分析層在信息收集層面收集到原始數(shù)據(jù)后，相關(guān)數(shù)據(jù)會自動進入?yún)f(xié)調(diào)分析層面。該層面是合規(guī)審計與安全監(jiān)控系統(tǒng)事件的處理中樞，所有安全數(shù)據(jù)經(jīng)收集后會進行正則化/標準化處理，轉(zhuǎn)變?yōu)镾ymantec 安全監(jiān)控系統(tǒng)能夠識別的數(shù)據(jù)內(nèi)容（數(shù)據(jù)標準化）。關(guān)聯(lián)分析引擎可將不同類型的安全事件依據(jù)定義的規(guī)則進行關(guān)聯(lián)分析，這種關(guān)聯(lián)分析是跨產(chǎn)品的，以期形成安全攻擊過程的因果關(guān)系。同時，經(jīng)過關(guān)聯(lián)分析后的數(shù)據(jù)，如果形成了“安全威脅安全漏洞核心資產(chǎn)”三種要素的有效結(jié)合便會在實時風(fēng)險分析界面上進行呈現(xiàn)。此時，風(fēng)險管理還提供一個非常重要的功能脆弱性驗證，即管理員可以對該風(fēng)險中涉及的安全漏洞進行實時驗證，以保證風(fēng)險數(shù)據(jù)的真實、可靠。l 綜合處理層 綜合處理層面一方面可以為協(xié)調(diào)分析層面提供數(shù)據(jù)來源（如資產(chǎn)信息，安全策略管理信息等），另一方面要協(xié)調(diào)各方進行重要安全風(fēng)險的發(fā)布和處理。針對安全風(fēng)險的響應(yīng)方式是多樣化，如進入工單系統(tǒng)，發(fā)送Email，電話/短消息等。同時，本網(wǎng)絡(luò)內(nèi)的安全信息可通過數(shù)據(jù)發(fā)布工具發(fā)布到內(nèi)部的信息共享平臺上進行內(nèi)部的數(shù)據(jù)共享。l 緊急響應(yīng)層 為緊急響應(yīng)服務(wù)提供支持，允許利用專家經(jīng)驗來響應(yīng)安全風(fēng)險。正如專業(yè)安全服務(wù)一樣，合規(guī)審計與安全監(jiān)控系統(tǒng)可以通過電話/E-mail 等方式與安全專家建立聯(lián)系，以快速獲得專家級的安全服務(wù)。合規(guī)審計系統(tǒng)的邏輯部署架構(gòu)如下圖所示：6.4 數(shù)據(jù)泄露防護（DLP）信息泄露防護是云計算平臺中關(guān)鍵技術(shù)之一。有效的DLP解決方案一般有四個基本功能：l 夠鑒定和區(qū)分敏感數(shù)據(jù)l 根據(jù)數(shù)據(jù)的內(nèi)容和范圍采用不同的策略l 對流動數(shù)據(jù)進行實時監(jiān)控以確保相關(guān)策略正確地被落實l 能夠進行審計并對關(guān)鍵數(shù)據(jù)的狀況進行報告分析，對受到威脅的數(shù)據(jù)進行文檔處理Symantec Vontu DLP解決方案可以提供對格式化數(shù)據(jù)、非格式化數(shù)據(jù)進行“指紋”識別和匹配，最大限度的保證了誤報和漏報率；部署方式亦可分為網(wǎng)絡(luò)部署、終端部署、存儲部署三種模式，全方位覆蓋企業(yè)信息泄露的威脅，提供充分的保障！其部署架構(gòu)如下圖所示：DLP網(wǎng)絡(luò)部署模式DLP端點部署模式Vontu 存儲部署模式（Network Discover）可以過程掃描任何數(shù)據(jù)存儲庫，對敏感數(shù)據(jù)可按預(yù)定的策略進行隔離、告警等行為，支持掃描的目標包括：l 文件服務(wù)器：Windows、Linux、Unix、Novell、Solaris 和 NAS 文件等l 數(shù)據(jù)庫：Oracle、Microsoft SQL Server 和 IBM DB2 等l 協(xié)作平臺： Notes、Exchange、SharePoint、Documentum 和 LiveLink 等l Web 站點：公共 web 站點、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)、維客和基于 web 的應(yīng)用等。l 臺式機和筆記本總體來講，Symantec Vontu DLP解決方案是基于內(nèi)容的信息泄露防護，并且在終端層面、網(wǎng)絡(luò)層面、存儲層面提供全方位的立體式監(jiān)控與防護6.5 虛擬化安全（SEP+SCSP）6.5.1 SEPSymantec Endpoint Protection 12.1（SEP）在虛擬化安全保護提供多種技術(shù)以提高安全掃描效率、減少誤報等，包括：l Virtual Image Exception 允許用戶排除掃描基線虛機的所有文件。企業(yè)在云計算平臺中應(yīng)用大量的虛擬機系統(tǒng)，如VMWARE和CITRIX等，傳統(tǒng)的防病毒技術(shù)需要使用相同掃描引擎在虛擬環(huán)境中分別獨立的進行掃描，這導(dǎo)致虛擬環(huán)境的共享資源和終端的性能下降到難以忍受的地步，尤其是文件存儲成為了共享資源的瓶頸，稱之為殺毒風(fēng)暴；企業(yè)中存在大量的虛機模板，Virtual Image Exception(VIE)技術(shù)能讓管理員方便的設(shè)置虛擬機的文