慧聪网首页慧聪IT网首页行业资讯技术中心产品透视热点人物热点专题专家在线市场研究找供应找求购免费注册立即登录加入买卖通即时沟通网站导航

慧聪IT网

华能集团双网隔离下的安全移动办公方案解析

http://www.it.hc360.com2011年12月15日11:34慧聪IT网

    中国华能集团公司(简称华能集团)是经国务院批准成立的国有重要骨干企业,注册资本200亿元人民币,,是中国最大的发电集团。公司在中国发电企业中率先进入世界企业500强,2011年排名由2010年的第313位上升至第275位。

    华能集团高度重视信息化建设,在信息中心的领导下,集团信息化工作取得了跨越式发展。作为信息化整体工作的重要保障和支撑,信息安全是华能集团工作的重中之重。按照国家等级保护和相关法规的要求,率先进行了双网隔离建设。

    华能集团双网隔离建设极大的提高了内部网络的信息安全水平,却又面临一个新的问题,内外网之间信息安全交互受到制约,保密性(Confidentiality)和可用性(Availability)矛盾日益凸出。当前华能集团总部及下属二级单位涉及移动办公的需求,如何在安全的前提下实现内外网数据的交互和便捷的移动办公应用,成为华能集团信息中心领导考虑的重点工作。

    安全性与可用性如何统一?

    如何保障内网数据的高级别安全,绝对不可以被病毒、木马感染、控制、破坏,更不允许任何敏感数据的非法外泄。

    外网用户在移动办公时和内网的应用之间通过网闸进行数据交互、协同办公就必须相连,易造成感染病毒、木马,敏感信息外泄等安全事件;具体体现为:

    内网的数据流向外网用户端;外网用户上传到内网的数据文件携带病毒;应用缺乏有效访问控制管理策略。而跨网安全访问目的,就是实现双网隔离客户以高安全方式完成内外网数据交互,并保证内网涉密数据不会下载到外网,同时确保数据安全和应用的安全;

    如何有效解决应用在跨网访问的安全访问问题,实现保密性(Confidentiality)和可用性(Availability)矛盾的和谐统一?

    需求理解

    通过对华能集团双网建设下安全移动办公需求的梳理,我们发现主要需求如下:

    满足等级保护标准,实现双网隔离;

    外网访问需求,在安全的、符合等保要求的前提下实现便捷访问;

    投资的双网不会失效,仍然要实现强安全隔离的状态;

    防止数据泄露、数据贯通、病毒木马入侵。

    安全堡垒机巧解跨网访问难题

    经过公安部、电监会、国家信息中心等权威部门的论证和充分的调研,华能集团率先选择了泰然神州安全堡垒机方案,彻底解决了双网环境下跨网访问、移动办公的难题。

    方案设计思想:

    应用虚拟化技术解决应用数据不落地,保证华能集团内网信息不会泄密到移动客户端;

    基于协议跳转的跨网访问模式,实现安全模式下,便捷的移动办公访问;

    解决移动办公人员能够访问正常访问授权的系统,并对移动办公人员客户端和整体的系统安全策略进行技术优化,保证接入点安全、高效、稳定的使用公司各种业务。

    安全堡垒机原理:

    用户在外网(低安全域)环境下把键盘鼠标指令信息通过安全接入堡垒机上行到内网(高安全域)应用服务器,内网的屏幕变化信息下行到外网,但禁止其它实体数据信息流在两网之间直接交换;由于没有其它实体信息流在两网之间直接交换,因此,内网的高密级实体数据信息也不会泄漏到低外网。

    原理图示:

原理

    方案拓扑图:

拓扑图

    方案特点

    跨网安全访问保障

    安全接入堡垒机方案基于身份、验证、授权、审计(4A)模式,应用虚拟化技术、访问控制技术等,获得了公安部安全产品专用销售许可证,是一种可证明的安全技术。

    访问控制

    基于角色、权限分配,设置细粒度访问控制策略,达到非法用户不能访问,合法用户不能越权访问的目的。

    权限管理

    可以根据边界接入的需要,设置角色,指定相应的资源访问权限,防止非授权访问和越权访问

    安全审计

    记录终端用户在其安全接入堡垒机平台上运行的各部件的有关事件,包括用户登录、验证、数据传输等,更可以通过视频可视化方式记录用户所有操作行为,审计信息可以通过WEB界面查询。

    应用集中管理

    应用集中于安全接入堡垒机平台统一管理和部署,外网用户无需关注应用的升级维护和部署,实现了应用的集中管控和统一部署。

    方案价值

    彻底解决了跨网访问瓶颈

    彻底解决了华能双网改造过程中遇到的保密性(Confidentiality)和可用性(Availability)之间矛盾,找到了最佳平衡点,既保障了安全性同时有效解决了双网数据传输问题。

    符合法规要求、全面安全技术架构

    经公安部、国家信息安全评测中心、国家信息中心、国家电监会专家共同论证,泰然神州Janeos(极奥)安全堡垒平台各项技术特征符合国家信息安全等级保护相应等级的防护要求;安全接入堡垒机平台结合vpn隧道加密、网闸、端点安全认证、安全审计等技术构建了由应用环境安全、应用区域边界安全和网络通信安全组成的三重防护体系。

    拥有个人私有文件夹,私密信息安全保护

    集团移动用户仅能看见并操作自己的私有文件夹,对他人的私有文件夹不可见且不可能通过隐藏手段进行访问。根据每个移动用户的实际情况进行控制,如仅启用单向传输、上传、下载、删除或完全禁用。保证移动用户有各自存储空间的独立性和保密性,移动用户不应具备遍历系统目录和其他用户目录的权限。

    全程实时监控

    对登录移动办公平台的用户采用全程录像方式进行行为记录,并在图形会话回放的过程中同步的显示出来。

    后记

    华能集团安全移动办公方案的实施,创新的解决了双网环境下安全性与可用性的问题,取得了良好的效果,集团信息中心领导给予了积极评价。现已横向拓展到煤炭、人资等业务系统,纵向将向全集团进行方案的推广。

关注排行

  • 今日
  • 本周
  • 本月
  • 健康指南