2013年6月5日，前美国中央情报局雇员爱德华·斯诺登向英国《卫报》和美国《华盛顿邮报》爆料，曝光了美国国家安全局（NSA）等美国政府部门监视公民隐私的“棱镜”项目。

“棱镜门”事件改变了全世界对网络安全的关注重点，人们开始重新审视网络安全问题。最大的变化是，更多的企业和政府单位开始关注自己的数据是否安全。

短板才是防御重点

棱镜门事件也证明了信息安全领域，没有“完美防线”只有“木桶理论”。无论多豪华的防线，一个漏洞便会让所有防御形同虚设。石化行业历来都是走在企业信息化的前端，每年的信息化建设更是“不计成本”。如下表所示，2015年能源行业的信息化投资规模将高达505.7亿元。

作为全球500强企业排名13位，世界50强石化公司排名第5的中石油，早在20世纪就开始了全面信息化与国际接轨的道路。如今，庞大的信息化基础建设在增强中石油企业竞争力的同时，也带来了不可避免的信息安全问题！

如何找出安全短板建立安全堡垒？

防内御外，确保数据安全

国家计算机应急响应中心数据显示，在所有的计算机安全事件中，约有52%是人为因素造成的，技术错误和组织内部人员作案各占10%，3%左右是由外部不法人员的攻击造成。所以，建立安全的主动防御机制，才能内外兼顾杜绝安全短板。

2014年，中石油携手恒扬科技采用DLP+IDS的组合方式防内御外，将信息安全提升一个新高度！如图1-2所示，恒扬分流器配合DLP Server和IDS Server监控管理企业与外部网络之间的交换的所有数据，在检测外部入侵的同时，防止内部数据的泄露，建设起一个高性能的安全堡垒。

在此整体方案中，

DLP：（Data Leakage Prevention数据泄漏防护）主要为企业内部建立防泄漏机制。通过划分文档密级，严格控制权限分配，对内部文档、电子邮件、网络数据、即时消息等等方式进行防泄漏检测和控制。对数据泄漏、信息安全做主动防御检测。

IDS：（Intrusion Detection Systems入侵检测系统）依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

而恒扬分流器做到了：

* 确保全面防御，不留安全短板

恒扬分流器FC1800从线路中采集上下行所有数据，然后负载均衡转发到DLP Server，同时镜像一份数据到IDS Server。即所有数据都会同时接受DLP Server的防泄密检测和IDS Server的入侵检测。真正做到全面防御。

* 双层冗余，拒绝单点故障，避免监控漏洞

在安全堡垒的实际建设过程中，分流器是主备配置，确保设备本身出现突发故障时不会造成数据采集断流。同时FC分流器负载均衡转发数据到DLP Server时，若服务器群组中的设备出现突发故障，FC1800可自动检测接口状态，将流量均衡至其他正常服务器。从而真正避免单点故障，避免监控漏洞！

* 严格流量控制，不让数据脱离监控

中石油本次全面防御的整体方案中，DLP Server的接入性能只有400MB，FC1800分流器在采集完整数据的同时，通过配置精确的转发规则和流量统计进行严格流量控制，确保转发至每台DLP Server的流量不超过400MB。不让数据成为监控和防泄漏检测的“漏网之鱼”。