咨询热线:400-694-6388
 
               
   
解决方案     解决方案 首页 > 解决方案

重工装备
发动机制造
汽车零部件
通信企业
手机研发
家具设计
服装设计
医疗器械
激光设备
工业炉
电气/电柜设计
嵌入式研发
电子电路设计
广告与策划
船舶设计制造
学校/教育机构
软件研发企业
模具设计
包装机械
电动车行业
食品/药品
智能机器人
陶瓷行业
云计算
 
通信企业保密安全解析

代表客户:斐讯通信

  客户在国内拥有多个分公司,总部位于上海,全公司的所有业务流程都有保密需求,业务流程是B/S架构的PLM和OA,拥有电子电路设计、模具设计、嵌入式设计和源代码开发等几乎各种企业常见的设计和业务流程。

客户概况

客户概况

  客户以上海总部为中心,内部分成若干网段,各分公司之间以VPN连接,实现内部的互联互通。总部的服务器机群以Linux服务器为主,代表性的服务器有业务PLM服务器和开发SVN服务器,以及基于SAMBA协议的Linux文件服务器。

  公司两大业务板块,数据通信和移动通信,两大板块相对独立。

  员工的终端大多数是安装Microsoft Windows操作系统的PC机,部分员工使用无盘工作站。开发工员可以通过SSH连接服务器机群中的Linux编译服务器。

保密需求
  1. 防范泄密的重点在所有的员工终端节点,所以员工终端必须部署防泄密系统,确保通过员工终端流出的公司敏感数据是加密状态;
  2. 总部服务器机群在专用机房,机房本身是安全的,不存在存储泄密的途径。考虑到存储安全,机房中的所有存储不得加密,任何加密数据在进入机房时必须以明文状态存储,但机房服务器存储的都是公司的机密数据,任何从机房服务器流出的数据必须加密;
  3. 所有数据加密后必须保证公司原有的工作流的正常使用;
  4. 考虑到异地网络的可靠性问题,各分公司的网络相对独立,加密服务不能依赖于总部,在与总部或其它分公司之间网络不能稳定连接时必须保证局域网的独立工作。

保密方案设计
  1. 由于总部的服务器机群的存储不允许加密,而这些服务器机群的存储也被认为是安全的,因此把服务器机群划为隔离区,处于隔离区的机器被隔离在加密环境之外。
  2. 防泄密的重点是员工终端,因此所有员工终端部署secWall加密系统客户端是必须的,这可以保证员工终端可以使用加密环境,同时工作受到防泄密策略的控制。所有安装了加密环境的机器划为涉密区。
  3. 默认情况下,涉密区和隔离区是不能通信的,这显然不符合业务要求。可以通过在涉密区设定隔离区的服务器为安全区域,使得涉密区可以与隔离区的服务器通信。另外,由于服务器数据都是机密数据,为确保从服务器流出的数据都是加密的,可以设置服务器有涉密属性,这将迫使与服务器通信的客户机进入涉密状态,从而强制数据传输到客户机后被强制加密。
  4. 为了防止不执行加密策略的客户机(如没有安装secWall系统客户端或安装了但没有登录获得企业通行证)非法接入服务器,服务器必须对客户机的身份进行认证,服务器必须仅允许执行保密策略的客户端接入。这可以通过加密相关的服务端口实现。由于服务器机群大多数是Linux系统,客户也不希望服务器端有加密系统的介入,因此在终端客户机和服务器机群之间引入代理服务器,服务器机群与员工终端物理隔离,员工只能通过连接代理服务器访问服务器机群, 而在代理服务器上对服务端口进行加密。这样验证访问者身份的工作被转移到代理服务器上进行,而代理服务器是网络中访问各种服务的唯一方式,从而保证服务器数据只能流向涉密区。

  以总部基于Oracle数据库的PLM服务器为例,增设一台Windows网关作为代理服务器,客户端对PLM服务器的访问都需要经过Windows网关的转发。

  Windows网关上安装了secWall客户端,设置对PLM服务端口的加密,任何没有安装secWall客户端的终端将无法访问PLM服务器。通过授权的终端从PLM的任何环节获得的数据都会被加密,这些加密的数据在公司内部可以自由流转,出了公司即失效。

  在办公环境中,PLM客户端使用加密账户(用户名/密码)验证登录到集控服务器,通过验证后集控服务器下发企业通行证到PLM客户端,终端机获得通行证后可以正常使用企业内部加密的各种资料。同时将Windows网关添加为安全区域,设置完成后,PLM客户端上传到PLM服务器的数据自动解密,而从PLM服务器下载的数据都是加密的。

  其它各种服务和各分公司自己的服务保密方案以此类推,代理服务器是连接隔离区和涉密区网络的网关,同一地点如果不是网络带宽有特殊需求,一个网关可以代理服务器机群中的所有服务。

分公司与总部的交叉认证

  由于分公司的保密架构要求不依赖于总部网络相对独立,因此分公司使用了自己独立的集控服务器,但因为加密数据要求公司级互通,因此不同的集控使用了相同的企业通行证(通信、移动两大板块隔离的除外)。但单一集控在端口加密时默认只为登录到该集控的secWall客户端提供认证,因此分公司的员工终端在登录到本地集控时,访问总部加密的服务会被总部的端口加密策略阻止。可以通过设置集控服务器的级联关系使总部的集控信任分公司的集控认证结果,这样通过分公司的认证即可访问总部的加密服务。

分享到:

           

  关于我们|联系方式|资质认证|站点地图|职位招聘|建议与投诉  
地址:江苏省无锡市梁溪区锡澄路260-1号圆融发展中心17F  邮编:214031 总机:(0510)82293900 传真:(0510)82702019
版权所有 © 2003-2022 无锡万华数据科技有限公司
苏ICP备05009260号
苏公网安备 32020202000075号