中国一汽商保建设

客户背景

中国第一汽车集团公司目前内部办公网络中上线了多个业务系统,包括OA系统、财务管理系统等,里面有大量的商业秘密,公司虽采取了一定的保护手段,比如搭建防火墙、上网行为管理等硬件设施,并配合文档加密系统对商业秘密进行保护,但与国家政策要求的“商业秘密不得在与互联网没有任何商业秘密不得在与互联网没有任何安全隔离措施的网络、系统和终端上存储、处理和流转”这一基本安全保护原则仍有着非常大的差距。中国一汽迫切需求一种切合业务实情的有效网络隔离方案

采用传统的物理隔离方式,对内部办公网络进行改造,面临成本投入高、网络改造实施困难等,因此,中国一汽应在商密保护建设上避免进行物理网络改造与增加物理业务终端的方式进行商密业务保护。

需求分析如下:

满足国家政策要求,对中国一汽的业务数据进行全生命周期安全管理

1) 通过一系列的安全产品,分别对商密信息的创建、使用、分享、传输、存储、销毁等各个环节进行安全管理才能够满足《商密技术指引》提出的要求;

解决方案

1) 通过确定商业秘密管理内容最终确定中国一汽商业秘密安全域,安全域之内均包含相应安全级别的商密事项及事项所产生的商密内容,还包含人员、终端、业务系统等信息系统资产。最终依托远为多网安全隔离系统形成基于人员、商密虚拟机、商密业务系统流程的可信商密网,并对安全域内部的商密事项及事项所产生的商密内容进行全生命周期保护。

2) 在集团公司总部部署VirNOS Server作为管理,通过后台配置两个虚拟网络平台(即“商密网”与“互联网”),把内部业务系统全部纳入商密网中, 部署VirNOS Client的终端,接收与VirNOS Server下发的策略配置,生成两台虚拟机,商密虚拟机和互联网虚拟机。商密虚拟机中,通过相关的安全策略禁止访问互联网,结合其他安全产品能够对商密终端移动存储设备与打印刻录等功能进行安全管控,能够对主机软件黑白名单进行管理并对终端操作系统的业务操作进行审计。互联网虚拟机实行开放性管理,仅限制虚拟机访问内部业务系统的网络权限。

3) 所有安装VirNOS Client的终端,均能通过VirNOS自带的系统备份与还原功能自行或联系运维管理人员快速对发生系统故障虚拟机操作系统进行备份与还原,并能够一键上个系统健康节点到系统故障时间产生的增量数据,大大减轻运维人员压力,减轻运维压力与成本。

方案价值

1. 合规性

由多网安全隔离系统构建的商密办公网将中国一汽的商密资产从内部办公网中剥离开来,商密保护体系科学、规范,完全符合国资委发布的《中央企业商业秘密信息系统安全技术指引》提出的“商业秘密不得在与互联网没有任何商业秘密不得在与互联网没有任何安全隔离措施的网络、系统和终端上存储、处理和流转”核心要求。

2. 安全性

该商密保护系统的建设,保证了中国一汽的信息安全和系统安全,对应用系统、数据存储、访问控制等各个方面进行高可靠性的设计和建设。

首先保证了信息的安全性。不同虚拟机之间的网络相互隔离,用于访问不同应用系统,可以实现办公网业务、互联网资源等完整边界建设,还可以保证系统中的信息能够安全存储,并提供切实可行的系统数据备份和系统数据恢复机制,能够通过用各种系统还原处理系统故障,一键恢复系统故障与上个健康系统健康节点的数据;其次可保证应用层的安全,防止数据丢失及黑客的攻击,并且保证系统中的信息不被非授权访问。

3. 便捷性

操作简单:系统设计秉承“以人为本”的理念,充分考虑到用户群的差异性,采用人性化的人机界面和人性化操作方式,提供简介明了的系统安装和配置模式,很大程度降低基层用户对系统安装和配置的技术门槛。系统本着实用性和易用性的原则考虑了系统的长远发展,采用先进有效的技术提高系统今后更新升级的方便性和易用性,用户只需简单的操作,无须培训就能完成系统的更新升级。