国电商密网建设

客户背景

电力集团目前综合办公网上运行了多个业务系统,包含OA系统、资产管理系统、财务系统等等,里面有大量的商业秘密,而综合办公网与互联网是不隔离的,随时都有商业秘密泄密事件发生的可能。

综合办公网和互联网的隔离,按照传统的办法只有进行物理隔离,也就是建设两套物理网络,一套专门用于办公,一套用于互联网访问。物理隔离的最大的问题是投资巨大、施工复杂,巨大的经济压力使得企业对物理隔离的解决方案难以抉择。电力集团迫切需要寻求一种新的多网隔离解决方案,实现商密网(综合办公网)和互联网的隔离,杜绝商业秘密泄密事件。

需求分析如下:

不需要投资大量的物理设备,就可以形成两套甚至多套相互隔离、相互独立的网络;

1) 商密网的规划与隔离:集团公司和各分公司具有的商业秘密的信息系统,全部部署商密网,将商密网与互联网进行隔离;

2) 商密网的安全接入:对于出差等移动接入商密网的用户,和通过专网接入的分支机构,部署安全接入方案,要保证接入终端的安全和传输过程的安全;

3) 商密网安全的集中管理与控制:对所有接入商密网的终端计算机和用户进行集中化的、强制化的安全管理与控制。

解决方案

为了既保证电力集团信息安全的统一管理,又能保障各个分公司的自我管理的灵活性,多网安全隔离系统电力集团商密网建设采用分级管理模式。

1) 在集团公司总部部署VirNOS Server作为一级管理,负责全集团的信息安全策略管理;然后每个分公司分布式部署VirNOS Server,作为二级管理,在符合集团公司的安全策略的前提下,可以对自己内部的网络安全策略进行更进一步的细化和调控;其次,在所有接入用户客户机上部署VirNOS Client。

2) 根据应用需要将客户机一分为二,虚拟成了两台虚拟机,互联网虚拟机和商密虚拟机,其中互联网虚拟机不能访问数据中心、协同办公系统、财务信息系统、邮件系统等与电力集团日常工作相关的所有网络,只能访问互联网;商密虚拟机只能访问与电力集团工作相关的网络,但是不能访问互联网。

3) 此外,在每个分公司下行出口和业务服务器群的入口部署VirSAG,使得没有安装VirNOS Client的计算机无法接入,并且过滤掉非授权的用户,起到拦截非法入侵的作用。

通过多网安全隔离系统对网络进行虚拟化改造,可以实现在基本不增加任何硬件投入的基础上,成功将商密信息从互联网中隔离出来,有效防止商密泄漏案件。

方案价值

1. 遵循商密网安全建设管理原则

多网安全隔离系统的商密网与互联网隔离,符合国资委发布的《中央企业商业秘密信息系统安全技术指引》的要求,对不同安全级别的商密应用灵活定义安全域,随需制定安全策略,遵循了商密网安全建设分级分域管理原则。

2. 高安全性

多网安全隔离系统对虚拟机进行物理加密,即使磁盘被安放到别的物理机上或是通过第三方工具也无法查看硬盘数据;

不同的虚拟机相互隔离,用于访问不同应用系统,可以实现办公网业务、互联网资源等完整边界建设,提供符合国家信息系统等级保护建设要求的信息安全解决方案。

3. 安全接入

移动办公和分支机构的用户需要通过商密虚拟机访问商密系统,VirSAG网关通过对虚拟机携带的数据包水印进行识别,只有合法的商密虚拟机才能允许访问商密信息系统,从而控制移动办公和分支机构用户的安全接入。