前言在市场竞争日趋激烈及全球经济一体化的今天，企业只有拥有高质量、高性价比、有特点和更人性化的多种优点相结合的产品，才能占有更多的市场分额。

为此，企业需要提高研发能力、降低生产成本、简化销售与采购流程、提升客户服务满意程度、同时在瞬息万变的市场上获取更新信息。

随着企业全面走向信息化运作的道路，各种新的管理手段不断问世。

ERP、MRP、SCM、CRM等企业应用迅速发展起来，有力地帮助企业提升竞争力。

这些应用的安全风险需求如下：∙ERP（企业资源管理）－成熟的ERP系统包含：财务子系统、进销子系统、人事劳资子系统、质量管理子系统等。

这些子系统和企业运营息息相关，要求7×24不间段运行，数据安全性要求高。

∙CAD系统（产品设计与开发）－数据量大，主要是矢量图。

数据分布在服务器和客户端上。

对实时性要求次之，但由于涉及到知识产权，数据要求有严格的防泄漏管理。

∙SCM、CRM、PDM、PLM（供应链、客户关系、产品数据与周期管理）－客户、供应商和产品信息，数据量不大，要求系统稳定，数据可靠不能丢失。

∙WEB、代理－企业对外门户，实时性要求高。

直接与互联网相连，网络安全性高，一旦出现问题，要快速恢复。

∙OA/邮件系统－系统数据量大，要求运行稳定。

由于是企业日常办公系统，要具备法规遵从的能力，能够从历史数据中查询相关证据。

通过对的信息架构分析，我们可以看到多种风险来源：关键业务系统宕机造成的系统停机、数据丢失；人为错误和磁盘物理故障造成的数据删除、丢失；网络病毒、攻击造成服务器、客户端宕机、服务停止；企业机密数据泄漏；大量垃圾邮件侵入造成OA/邮件系统效力低下等等。

企业的IT环境变得越来越复杂，同时结构也变得异构化：异构的网络、服务器、存储、数据库、中间件等，虽然异构平台给企业带来了低成本、高适应性，同时也引起了复杂性、可管理性的问题。

总结前面的分析，我们可以把企业IT 建设的需求分为两个大的方面：信息安全性和信息可用性。

安全性需求主要考虑了IT 架构下的网络端点安全、关键服务器安全、邮件系统安全、法规遵从、安全管理等方面；可用性需求主要考虑了企业关键数据系统的备份、恢复、高可用、容灾等，也同时考虑了如何将异构下的数据存储进行统一的资源整合。

参见下图：赛门铁克致力于为用户提供信息完整性解决方案，是信息安全和信息可用技术的市场领导者，其技术方案已经广泛的应用在国内外众多的客户环境中。

第一部分信息系统网络安全解决方案一、行业结构特点及信息安全需求分析企业通过Internet 可以把遍布世界各地的资源互联互享，但因为其开放性，在Internet 上传输的信息在安全性上不可避免地会面临很多风险。

当越来越多的企业把自己的业务系统放到网络上后，针对网络的各种非法入侵、恶意软件、蠕虫等活动也随之增多。

另外，企业内部发生的安全事件是企业信息资产流失的一个主要因素，越来越多的企业也着手开始实施内网的安全控制措施。

图1：企业信息系统的典型网络拓扑信息系统结构的安全威胁主要来自以下下几个方面：1、数量庞大的固定及移动终端安全管理难题：操作系统补丁不能及时更新、安全软件不能及时升级，造成威胁侵入、继而整个网络病毒泛滥。

2、企业邮件系统是企业日常管理的重要工具，垃圾邮件泛滥不仅造成IT资产浪费、系统效率下降，而且各种利用邮件的网络攻击会给企业网络带来极大的风险：信息泄漏、病毒传播。

3、企业百分之九十的知识产权，如新发明，设计图纸，程序代码等，是以电子信息的形式存在企业的内部网络中，据统计，企业知识产权信息经常以电子邮件，文件传输，web 邮件等形式轻而易举地流出企业。

因此企业需要一定的保护措施，避免信息泄漏造成的知识产权纠纷。

通过上述分析可以看出，企业信息系统的安全防护必须是多层次，全方位的。

赛门铁克根据企业的实际情况，设计了完整的、先进的信息系统主动安全防护体系，它主要包括：∙企业邮件系统安全管理方案▪邮件安全网关Symantec Messaging Gateway▪邮件归档管理Symantec Enterprise Vault∙企业端点标准化管理方案▪端点安全策略管理Symantec NAC/Endpoint Protection▪IT 资产标准管理Symantec Altiris∙企业机密数据安全管理方案▪防止机密数据泄漏方案Symantec Vontu DLP∙企业关键应用服务器安全方案▪主机加固 Symantec Critical System Protection二、网络安全整体方案1．企业邮件系统安全管理企业邮件系统安全管理的目标是：✓对来自外部网的垃圾邮件进行过滤和处理；✓对病毒和蠕虫造成的邮件攻击进行拦截；✓对不断增长的无用带宽进行限制和调整；✓对包含不正当内容的邮件予以拦截；✓限制邮件服务器上的用户邮箱配额，同时也能够满足用户有足够的邮件存储空间，提高前台邮件服务器的处理性能。

✓满足企业对邮件日志保存期限和审计的需求，降低法律诉讼的风险，帮助用户恢复重要的邮件。

赛门铁克的电子邮件安全及可用性方案为用户提供全面卓越的邮件生命周期的安全管理方案，提供了业界领先的产品和服务，通过有效维持通讯系统及数据的安全及随时可用，节省用户的投资，成本而设计，减少大量垃圾邮件、阻截病毒，并通过归档实现对旧有邮件的生命周期管理，协助保障用户电邮系统的弹性架构。

赛门铁克邮件生命周期管理方案示意图如下：图2：赛门铁克邮件生命周期安全管理方案如上图所示，赛门铁克的邮件生命周期安全管理方案由两大核心组件构成：▪Symantec Messaging Gateway 8300：为企业接收和发送的所有邮件提供垃圾邮件、病毒邮件以及邮件含有违规内容的全面安全检测，并提供相应的自动化安全处理措施。

▪Symantec Enterprise Vault 7.5：对企业内部的邮件系统提供基于策略的邮箱归档、日志归档操作。

在满足企业保存邮件和审计需求的同时，降低一级邮件存储空间的使用率，提高邮件服务器性能。

快速恢复用户需要的重要邮件等。

下面将阐述这两大核心组件如何对企业邮件系统进行安全管理。

（一）Symantec Mail Security 8300Symantec Mail Security 8300(以下简称SMG8300) 系列同时提供防垃圾邮件、防病毒、内容过滤等全面防护功能。

SMG 8300 系列设备的用途非常灵活，根据企业网络规模和电子邮件处理的需要，它们可以执行多种不同的功能。

每台SMG 8300 系列设备都可部署为：◆Scanner：如果只部署为Scanner，SMG 8300 系列设备将会过滤电子邮件。

可以在企业网内安装一个或多个Scanner。

SMG8300系列设备可以与现有电子邮件或群件服务器一起工作。

◆控制中心（Control Center）：管理企业网邮件安全系统。

每个SMG 8300系列安装都有一个控制中心设备，它是一个基于Web 的配置和管理中心。

控制中心又承载着隔离区和支持软件。

可以从控制中心中配置和监控所有Scanner设备。

还可以使用控制中心配置和管理电子邮件过滤、SMTP 路由、系统设置及所有其他功能。

控制中心同时还提供系统中所有SMG 8300 系列设备的状态以及系统日志。

它还提供丰富的可自定义的报告。

可以使用控制中心来配置系统范围的和主机特定的详细信息。

如果正在使用隔离区，则可以使用控制中心来管理隔离区。

最终用户（学生、在校教职员等）可以访问控制中心来查看隔离区中的垃圾邮件，还可以设置他们的语言过滤及禁止或允许的发件人首选项。

隔离区是一个存储垃圾邮件并使最终用户能够访问他们的垃圾邮件的组件。

也可以将隔离区配置为仅供管理员访问。

隔离区的使用是可选的。

◆控制中心兼Scanner：执行上述两种功能。

适用于企业邮件用户较小的情况安装。

图3：企业邮件安全集中管理（二）Symantec Enterprise Vault 7.5如前文所述，Symantec Enterprise Vault(以下简称EV)为一款专为企业提供邮箱归档、日志归档、邮件快速查询及恢复、减轻一级邮件存储压力、满足企业邮件审计的专业方案。

EV可以归档企业内常见的几乎所有数据类型，如：∙位于Microsoft Exchange 用户邮箱中的项目∙位于Microsoft Exchange 日志邮箱中的项目∙Microsoft Exchange 公用文件夹内容∙位于Domino 邮件文件中的项目∙位于Domino 日志数据库中的项目∙网络文件服务器中保存的文件∙Microsoft SharePoint 服务器中保存的文档∙即时消息和Bloomberg 消息∙来自其他消息传递服务器的SMTP 消息Enterprise Vault 归档进程会检查目标服务器，以获得要归档的项目。

相关项目随后会被存储在Enterprise Vault 归档中。

Enterprise Vault 会为已归档项目创建索引，以实现快速搜索和检索。

管理员可以设置所需的索引级别。

在归档项目时，系统会自动为项目分配一个“保留类别”，该类别定义了必须保存项目的时间长度。

管理员可以为不同类型的数据定义不同的保留类别。

这样，当Enterprise Vault 监控归档时，它可以删除保留期限已过期的项目。

EV 的各个组件协同工作，实现了灵活的基于策略的邮件生命周期管理：∙Enterprise Vault Server：归档主服务器，负责归档策略的管理及归档信息的管理∙Journal Archiving：日记邮件归档模块，可以将邮件服务器复制的每一封进出邮件归档到EV管理的存储，便于审计需要∙Mailbox Archiving：邮件归档模块，可以将邮件归档到EV管理的存储，扩展邮箱配额，提供outlook集成的界面∙PST Migrator：迁移模块，可以将现有的PST文件数据迁移到档案库∙Offline Vault：离线模块，提供离线情况下对邮件的访问∙Discovery Accelerator：邮件审计和搜索模块，提供工作流方式的审计∙File System Archiving, Archiving & Search：文件归档，透明地将文件归档并提供对归档文件的全文搜索功能VE RITAS Enterprise Vault™集中归档框架Enterprise Vault™软件提供了灵活的归档框架，能够发现保存在电子邮件、文件系统、协作环境中的内容，并有助于降低成本和简化管理。

Enterprise Vault通过策略控制的自动在线归档，主动保留和无缝检索信息，从而对内容进行管理。

凭借内置的强大搜索和发现功能，辅以专用的客户端应用软件，Enterprise Vault 可用于企业管理、风险管理和法律保护。