國電商密網建設

客戶背景

電力集團目前綜合辦公網上運行了多個業務系統,包含OA系統、資產管理系統、財務系統等等,里面有大量的商業秘密,而綜合辦公網與互聯網是不隔離的,隨時都有商業秘密泄密事件發生的可能。

綜合辦公網和互聯網的隔離,按照傳統的辦法只有進行物理隔離,也就是建設兩套物理網絡,一套專門用于辦公,一套用于互聯網訪問。物理隔離的最大的問題是投資巨大、施工復雜,巨大的經濟壓力使得企業對物理隔離的解決方案難以抉擇。電力集團迫切需要尋求一種新的多網隔離解決方案,實現商密網(綜合辦公網)和互聯網的隔離,杜絕商業秘密泄密事件。

需求分析如下:

不需要投資大量的物理設備,就可以形成兩套甚至多套相互隔離、相互獨立的網絡;

1) 商密網的規劃與隔離:集團公司和各分公司具有的商業秘密的信息系統,全部部署商密網,將商密網與互聯網進行隔離;

2) 商密網的安全接入:對于出差等移動接入商密網的用戶,和通過專網接入的分支機構,部署安全接入方案,要保證接入終端的安全和傳輸過程的安全;

3) 商密網安全的集中管理與控制:對所有接入商密網的終端計算機和用戶進行集中化的、強制化的安全管理與控制。

解決方案

為了既保證電力集團信息安全的統一管理,又能保障各個分公司的自我管理的靈活性,多網安全隔離系統電力集團商密網建設采用分級管理模式。

1) 在集團公司總部部署VirNOS Server作為一級管理,負責全集團的信息安全策略管理;然后每個分公司分布式部署VirNOS Server,作為二級管理,在符合集團公司的安全策略的前提下,可以對自己內部的網絡安全策略進行更進一步的細化和調控;其次,在所有接入用戶客戶機上部署VirNOS Client。

2) 根據應用需要將客戶機一分為二,虛擬成了兩臺虛擬機,互聯網虛擬機和商密虛擬機,其中互聯網虛擬機不能訪問數據中心、協同辦公系統、財務信息系統、郵件系統等與電力集團日常工作相關的所有網絡,只能訪問互聯網;商密虛擬機只能訪問與電力集團工作相關的網絡,但是不能訪問互聯網。

3) 此外,在每個分公司下行出口和業務服務器群的入口部署VirSAG,使得沒有安裝VirNOS Client的計算機無法接入,并且過濾掉非授權的用戶,起到攔截非法入侵的作用。

通過多網安全隔離系統對網絡進行虛擬化改造,可以實現在基本不增加任何硬件投入的基礎上,成功將商密信息從互聯網中隔離出來,有效防止商密泄漏案件。

方案價值

1. 遵循商密網安全建設管理原則

多網安全隔離系統的商密網與互聯網隔離,符合國資委發布的《中央企業商業秘密信息系統安全技術指引》的要求,對不同安全級別的商密應用靈活定義安全域,隨需制定安全策略,遵循了商密網安全建設分級分域管理原則。

2. 高安全性

多網安全隔離系統對虛擬機進行物理加密,即使磁盤被安放到別的物理機上或是通過第三方工具也無法查看硬盤數據;

不同的虛擬機相互隔離,用于訪問不同應用系統,可以實現辦公網業務、互聯網資源等完整邊界建設,提供符合國家信息系統等級保護建設要求的信息安全解決方案。

3. 安全接入

移動辦公和分支機構的用戶需要通過商密虛擬機訪問商密系統,VirSAG網關通過對虛擬機攜帶的數據包水印進行識別,只有合法的商密虛擬機才能允許訪問商密信息系統,從而控制移動辦公和分支機構用戶的安全接入。

浙江体彩排列三开奖号码查询