1.   项目分析

XX设计研究院是中华人民共和国建设部直属科研机构，是全国城市规划研究、设计和学术信息中心。然而在数据安全方面面临着严峻的挑战。在本院的一些实习生，离开本院后将设计素材直接带出；在项目方案设计时的图纸，在和客户沟通的关键时刻，图纸已经被客户获得，在和客户商谈时失去了优势，这些问题对本院的时间、资金和声誉都会造成无法估量的损失。现在本院急需一套Data Loss Prevention的方案来解决日趋严重的数据泄密问题。

2.   方案建议

2.1 方案综述

根据用户的实际需求以及应用环境等需求，我们建议以虚拟化为平台，搭配数据加密和VPN的方案为本院提供一个集中式的，高可用性，高安全性的IT解决方案，方案结构如图：

2.2方案描述

2.2.1    数据防泄密和安全

该院需要重点保护设计图纸和机密信息的安全，无论它们是通过电子邮件、web 邮件或其它因特网协议传出网络，还是通过 USB/CD/DVD 传出端点或保存在端点上，或者是保存在共享服务器和数据存储库中，天锐绿盾都能有效的防止数据的泄密，数据防泄密系统采用驱动层加密技术，不改变员工操作习惯、不改变文件格式、不封闭公司网络、不封闭外设端口，内部流通依旧自由。让企业数据加密后用户无感知，形成“对外受阻，对内无碍”局面。

安装了天锐绿盾数据防泄密系统终端的电脑在登入账户后可以使用或查看加密的文件，离开局域网后使用或查看加密文件需要得到服务端的解密或者授权才可以。终端电脑上的文件在创建、存储、应用、传输等环节中均以加密形式存在，可以杜绝黑客工具的窃取和监听，防止磁盘介质丢失导致的资料外泄等。

2.2.2    虚拟专用网络

使用VPN虚拟专用网络的功能，在公用网络上建立专用网络，进行加密通讯，在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。使用深信服VPN，配合本院的固定IP，为本院搭建一条专属的VPN专用网络隧道，员工的电脑只需要安装VPN客户端，无论何时何地，只要VPN客户端即可进入公司内部局域网，实现异地办公管理信息登录，共享文件，使用windows自带的远程桌面即可连接公司的电脑（前提是公司的电脑必须保持开的状态，并且开启了远程桌面的功能）。

2.2.3    虚拟化平台

目前本院使用三台Dell R720服务器分别运行OA管理软件，行业服务软件和AD Server，在服务器的管理上比较繁琐，而且由于三台服务器并没有使用集群或者备份，在服务器出现硬件故障，系统层面的故障和应用程序崩溃时没有相应的冗余和容灾的方案，可能导致无法估量的经济损失、重要和机密数据的损坏和丢失。

在一些关键应用上，应用的后台核心系统是否具有高可用性能力，已经成为影响本院成败的关键因素。高可用性包括保护业务关键数据的完整性和维持应用程序的连续运行等方面。在这些信息处理系统中保存了大量的关键业务数据，一旦信息发生丢失或破坏，将带来灾难性的影响和损失。高可用性的一般定义是：实现一套能够在特定期间内保持高度连续性运转的系统设计协议。高可用性是代表应用程序、服务和系统所能提供的服务等级，亦可用以描述各种企业目标和技术需求，包括从硬件到整体服务的关键性目标。但是，高可用性无论如何都必须以最少的宕机时间为目标。

我司建议使用VMware vSphere，将原本的三台物理服务器全部部署虚拟化系统，可以充分的利用现有的服务器资源，为业务提供合理的硬件配置，并且通过vCenter部署虚拟化集群，将本院的OA管理软件，行业服务软件院和AD Server部署在虚拟化集群中，通过 vSphere High Availability在硬件或操作系统发生故障的情况下在几分钟内自动重新启动所有应用程序，实现经济高效的高可用性。VMware vSphere在集中管理和数据用用冗余方面有着无可替代的优势。

2.2.4    共享文件夹以及权限分配

在有域控制器的局域网内，文件服务器的共享文件夹可以轻松的设置复杂的访问权限，来应对公司各个文件保密的需求，这一点是工作组的计算机很难做到的，我们只需要在域控服务器中创建文件夹，并根据情况对域账号设置共享文件夹的查看和修改权限，相应域账号所登录的计算机便可对相应的文件夹进行访问。