2013年6月5日，前美國中央情報局雇員愛德華·斯諾登向英國《衛報》和美國《華盛頓郵報》爆料，曝光了美國國家安全局（NSA）等美國政府部門監視公民隱私的“棱鏡”項目。

“棱鏡門”事件改變了全世界對網絡安全的關注重點，人們開始重新審視網絡安全問題。最大的變化是，更多的企業和政府單位開始關注自己的數據是否安全。

短板才是防御重點

棱鏡門事件也證明了信息安全領域，沒有“完美防線”只有“木桶理論”。無論多豪華的防線，一個漏洞便會讓所有防御形同虛設。石化行業歷來都是走在企業信息化的前端，每年的信息化建設更是“不計成本”。如下表所示，2015年能源行業的信息化投資規模將高達505.7億元。

作為全球500強企業排名13位，世界50強石化公司排名第5的中石油，早在20世紀就開始了全面信息化與國際接軌的道路。如今，龐大的信息化基礎建設在增強中石油企業競爭力的同時，也帶來了不可避免的信息安全問題！

如何找出安全短板建立安全堡壘？

防內御外，確保數據安全

國家計算機應急響應中心數據顯示，在所有的計算機安全事件中，約有52%是人為因素造成的，技術錯誤和組織內部人員作案各占10%，3%左右是由外部不法人員的攻擊造成。所以，建立安全的主動防御機制，才能內外兼顧杜絕安全短板。

2014年，中石油攜手恒揚科技采用DLP+IDS的組合方式防內御外，將信息安全提升一個新高度！如圖1-2所示，恒揚分流器配合DLP Server和IDS Server監控管理企業與外部網絡之間的交換的所有數據，在檢測外部入侵的同時，防止內部數據的泄露，建設起一個高性能的安全堡壘。

在此整體方案中，

DLP：（Data Leakage Prevention數據泄漏防護）主要為企業內部建立防泄漏機制。通過劃分文檔密級，嚴格控制權限分配，對內部文檔、電子郵件、網絡數據、即時消息等等方式進行防泄漏檢測和控制。對數據泄漏、信息安全做主動防御檢測。

IDS：（Intrusion Detection Systems入侵檢測系統）依照一定的安全策略，通過軟、硬件，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。

而恒揚分流器做到了：

* 確保全面防御，不留安全短板

恒揚分流器FC1800從線路中采集上下行所有數據，然后負載均衡轉發到DLP Server，同時鏡像一份數據到IDS Server。即所有數據都會同時接受DLP Server的防泄密檢測和IDS Server的入侵檢測。真正做到全面防御。

* 雙層冗余，拒絕單點故障，避免監控漏洞

在安全堡壘的實際建設過程中，分流器是主備配置，確保設備本身出現突發故障時不會造成數據采集斷流。同時FC分流器負載均衡轉發數據到DLP Server時，若服務器群組中的設備出現突發故障，FC1800可自動檢測接口狀態，將流量均衡至其他正常服務器。從而真正避免單點故障，避免監控漏洞！

* 嚴格流量控制，不讓數據脫離監控

中石油本次全面防御的整體方案中，DLP Server的接入性能只有400MB，FC1800分流器在采集完整數據的同時，通過配置精確的轉發規則和流量統計進行嚴格流量控制，確保轉發至每臺DLP Server的流量不超過400MB。不讓數據成為監控和防泄漏檢測的“漏網之魚”。