东风汽车商密建设

客户背景

东风汽车集团股份有限公司(以下简称为“东风汽车”),目前东风汽车业务终端均使用混合网模式,即业务终端可以访问业务系统进行业务办公的同时也能访问互联网,为了满足国家政策要求,东风必须对业务终端的网络与互联网之间进行有效隔离,传统方式是通过部署另外一套物理网络,增加一台物理终端,通过不同的物理网络与终端分别处理不同的业务需求,但因为东风汽车业务较为特殊,在办公的同时也有访问互联网的需求(例如从互联网下载相关的资讯、学习资料等),两台物理终端不断交互使用的方式很大程度上影响了办公效率与使用习惯。东风汽车迫切需求一种切合业务实情的有效网络隔离方案。保护内部商业秘密的同时,做到基本不影响业务人员的办公效率与使用习惯。

需求分析如下:

在不改变原有的物理网络以及不用重新进行信息化改造的情况下,对东风汽车现有的业务平台与互联网进行有效的隔离,对商密数据进行有效的安全管控;

1) 商密网的规划与隔离:集团公司内部的业务系统建立相应的网络平台部署在商密内网;

2) 商密网的安全接入:对于出差等移动接入商密网的用户,通过相应的技术手段保障对远程接入终端的进行合规入网检查和保护业务数据在传输过程的安全;

3) 商密网的终端集中管理与系统安全运维:对所有接入商密网的终端计算机和用户进行集中化的、强制化的安全管理与控制。发现系统故障时能快速响应并处理,保持业务连续性。

解决方案

为了保证东风汽车内部业务系统所有业务数据安全的情况下,既能满足国家政策要求为东风汽车建立安全的商密网与互联网进行有效的安全隔离,对商密数据进行有效的安全保护,又贴合东风汽车业务特点,避免或减少对业务人员的办公影响,东风汽车应采用基于虚拟机的网络隔离技术解决方案。

1) 在集团公司总部部署VirNOS Server作为管理,负责全集团的信息安全策略管理;通过后台配置两个虚拟网络平台(即“商密网”与“互联网”),把内部业务系统全部纳入商密网中,在符合集团公司的安全策略的前提下,可以对自己内部的网络安全策略进行更进一步的细化和调控;在所有接入用户客户机上部署VirNOS Client。

2) 部署VirNOS Client的终端,接收与VirNOS Server下发的策略配置,生成两台虚拟机,商密虚拟机和互联网虚拟机。两台虚拟机分别处于不同安全级别的虚拟网络平台中,商密虚拟机只有访问内部的业务系统,进行业务办公,互联网虚拟机只能访问互联网,禁止访问内部的业务系统。商密网中结合其他安全产品能够对商密终端移动存储设备与打印刻录等功能进行安全管控,能够对主机软件黑白名单进行管理并对终端操作系统的业务操作进行审计。

3) 在外出差的移动办公人员,通过VPN+安全VirNOS Client接入到商密网中,通过在网络进出口部署VirSAG,使得没有安装VirNOS Client的计算机无法接入,甄别合规与非授权的用户,起到拦截非法入侵的作用。

4)所有安装VirNOS Client的终端,均能通过VirNOS自带的系统备份与还原功能自行或联系运维管理人员快速对虚拟机操作系统进行备份与还原,大大减轻运维人员压力,减轻运维压力与成本。

通过多网安全隔离系统对网络进行虚拟化改造,可以对商密网与互联网之间进行安全隔离。能够杜绝内部员工有意或无意的泄密行为,同时也能防止互联网的黑客、病毒木马等造成的安全隐患。

方案价值

1. 具有东风汽车企业特色的商业秘密保护信息安全建设

东风汽车通过基于虚拟机的虚拟网络平台搭建商密网与互联网,符合国资委发布的《中央企业商业秘密信息系统安全技术指引》的要求,对不同安全级别的商密应用灵活定义安全域,随需制定安全策略,遵循了商密网安全建设分级分域管理原则。

2. 高安全性

不同虚拟机之间的网络相互隔离,用于访问不同应用系统,可以实现办公网业务、互联网资源等完整边界建设,提供符合国家商业秘密保护体系建设要求的信息安全解决方案。对虚拟机进行物理加密,即使磁盘被安放到别的物理机上或是通过第三方工具也无法查看硬盘数据;

3. 移动终端安全接入

移动办公的用户需要通过商密虚拟机访问商密系统,VirSAG网关通过对虚拟机携带的数据包水印进行识别,只有合法的商密虚拟机才能允许访问商密信息系统,从而控制移动办公用户的安全接入。