東風汽車商密建設

客戶背景

東風汽車集團股份有限公司(以下簡稱為“東風汽車”),目前東風汽車業務終端均使用混合網模式,即業務終端可以訪問業務系統進行業務辦公的同時也能訪問互聯網,為了滿足國家政策要求,東風必須對業務終端的網絡與互聯網之間進行有效隔離,傳統方式是通過部署另外一套物理網絡,增加一臺物理終端,通過不同的物理網絡與終端分別處理不同的業務需求,但因為東風汽車業務較為特殊,在辦公的同時也有訪問互聯網的需求(例如從互聯網下載相關的資訊、學習資料等),兩臺物理終端不斷交互使用的方式很大程度上影響了辦公效率與使用習慣。東風汽車迫切需求一種切合業務實情的有效網絡隔離方案。保護內部商業秘密的同時,做到基本不影響業務人員的辦公效率與使用習慣。

需求分析如下:

在不改變原有的物理網絡以及不用重新進行信息化改造的情況下,對東風汽車現有的業務平臺與互聯網進行有效的隔離,對商密數據進行有效的安全管控;

1) 商密網的規劃與隔離:集團公司內部的業務系統建立相應的網絡平臺部署在商密內網;

2) 商密網的安全接入:對于出差等移動接入商密網的用戶,通過相應的技術手段保障對遠程接入終端的進行合規入網檢查和保護業務數據在傳輸過程的安全;

3) 商密網的終端集中管理與系統安全運維:對所有接入商密網的終端計算機和用戶進行集中化的、強制化的安全管理與控制。發現系統故障時能快速響應并處理,保持業務連續性。

解決方案

為了保證東風汽車內部業務系統所有業務數據安全的情況下,既能滿足國家政策要求為東風汽車建立安全的商密網與互聯網進行有效的安全隔離,對商密數據進行有效的安全保護,又貼合東風汽車業務特點,避免或減少對業務人員的辦公影響,東風汽車應采用基于虛擬機的網絡隔離技術解決方案。

1) 在集團公司總部部署VirNOS Server作為管理,負責全集團的信息安全策略管理;通過后臺配置兩個虛擬網絡平臺(即“商密網”與“互聯網”),把內部業務系統全部納入商密網中,在符合集團公司的安全策略的前提下,可以對自己內部的網絡安全策略進行更進一步的細化和調控;在所有接入用戶客戶機上部署VirNOS Client。

2) 部署VirNOS Client的終端,接收與VirNOS Server下發的策略配置,生成兩臺虛擬機,商密虛擬機和互聯網虛擬機。兩臺虛擬機分別處于不同安全級別的虛擬網絡平臺中,商密虛擬機只有訪問內部的業務系統,進行業務辦公,互聯網虛擬機只能訪問互聯網,禁止訪問內部的業務系統。商密網中結合其他安全產品能夠對商密終端移動存儲設備與打印刻錄等功能進行安全管控,能夠對主機軟件黑白名單進行管理并對終端操作系統的業務操作進行審計。

3) 在外出差的移動辦公人員,通過VPN+安全VirNOS Client接入到商密網中,通過在網絡進出口部署VirSAG,使得沒有安裝VirNOS Client的計算機無法接入,甄別合規與非授權的用戶,起到攔截非法入侵的作用。

4)所有安裝VirNOS Client的終端,均能通過VirNOS自帶的系統備份與還原功能自行或聯系運維管理人員快速對虛擬機操作系統進行備份與還原,大大減輕運維人員壓力,減輕運維壓力與成本。

通過多網安全隔離系統對網絡進行虛擬化改造,可以對商密網與互聯網之間進行安全隔離。能夠杜絕內部員工有意或無意的泄密行為,同時也能防止互聯網的黑客、病毒木馬等造成的安全隱患。

方案價值

1. 具有東風汽車企業特色的商業秘密保護信息安全建設

東風汽車通過基于虛擬機的虛擬網絡平臺搭建商密網與互聯網,符合國資委發布的《中央企業商業秘密信息系統安全技術指引》的要求,對不同安全級別的商密應用靈活定義安全域,隨需制定安全策略,遵循了商密網安全建設分級分域管理原則。

2. 高安全性

不同虛擬機之間的網絡相互隔離,用于訪問不同應用系統,可以實現辦公網業務、互聯網資源等完整邊界建設,提供符合國家商業秘密保護體系建設要求的信息安全解決方案。對虛擬機進行物理加密,即使磁盤被安放到別的物理機上或是通過第三方工具也無法查看硬盤數據;

3. 移動終端安全接入

移動辦公的用戶需要通過商密虛擬機訪問商密系統,VirSAG網關通過對虛擬機攜帶的數據包水印進行識別,只有合法的商密虛擬機才能允許訪問商密信息系統,從而控制移動辦公用戶的安全接入。

浙江体彩排列三开奖号码查询