文档介绍:����XXX银行办公安全
解决方案
大连宇光虚拟网络股份有限公司
北京分公司
二零零九年九月
前言………………………………………………………3
海外办公系统现状………………………………………4
海外办公系统安全需求…………………………………5
海外办公解决方案………………………………………7
解决方案效果……………………………………………8
结束语……………………………………………………11
前言
随着计算机及办公自动化的应用普及,越来越多的企业都建立了内部计算机网络。由于这些内部网络都涉及大量的公司内部商业信息,因此在
企业建立内部网的工程中,安全保密是工程中的重要环节。一方面很多企业内部计算机网络由于工作的需要,,这样就对于部分公司内部的保密文件处于不安全状态下,如黑客的攻击,病毒的侵扰等。虽然一部分网络设备具有网络防护功能,但是只是处于网络安全产品的边缘,无法防御如病毒等的具有破坏性的潜在威胁。另一方面由于公司人员的工作岗位不同其网络安全也不相同,人员岗位变更时相对应的也要变更工作人员网络安全等级增加了网络管理人员的工作量同时的划分也更加复杂。宇光VNS系统能够对网络进行彻底的虚拟化以形成多个独立的虚拟网络,将企业的核心业务与普通业务分别运行在不同的虚拟网络之上,再将传统的安全手段分别运用于各个虚拟网络之上,形成多重保护,用户可以根据工作需要在各个虚拟网络之间切换使用。在通常情况下,普通业务网的应用较为复杂,与外界的联系也较为密切,比较容易受到攻击,如果没有进行网络虚拟化,这种攻击将直接危害到核心应用,后果不堪设想。网络虚拟化后,核心与普通等业务运行在多个完全独立的虚拟网络中,普通业务系统的崩溃完全不会影响到核心业务。因此宇光VNS系统能够使您的网络变得更加安全、更便于管理。
海外办公系统现状
国家开发银行现有物理网络划分为两套逻辑网络,分别为运行内部日常办公的内网办公系统和直能对互联网进行访问的外网系统。如下图所示:
现有网络在日常运维中存在下列问题
交叉使用,内部网络安全受威胁。
目前办公中使用的计算机是用同一操作系统可以直接对互联网上所有资源进行访问,通过进行网络切换后可以对企业内部网络资源进行访问。当移动计算机访问互联网时感染病毒后,再访问企业内部网络,对企业内部网络带来严重威胁。
数据不隔离,内部资料外泄。
企业内部数据资料存储在计算机上,当计算机使用互联网上各种服务的同时,内部资料直接暴露在互联网上。形成极大的安全隐患。需要让内外网数据隔离,防止企业内部数据的丢失。
无法严格对内部网络进行等级划分。
公司内部网络划分较少。网络管理人员只能通过网络设备对企业工作人员的安全权限进行等级划分,只能简单进行权限等级划分。不能进权限等级进行严格控制。
网络调整不方便。、
由于企业工作人员需要进行岗位的变更,工作人员的网络访问权限也要随之变更。网络设备也要随之需要重新进行配置,甚至需要对物理网络进行调整,增加了企业的财力和物力的投入。
客户运维成本的增加
随着企业业务的拓展,企业在全球都有业务的存在。工作人员在使用计算机为企业工作带来高效率的同时,也给企业的增加了大量的计算机的维护工作量
海外办公系统安全需求
随着计算机在企业日常工作中的大量普及,在提高企业工作人员的工作效率的同时也给企业的内部资料带来了严重的安全隐患,给企业日常安全管理及维护压力极大。用户希望在解决方案中实现:
在计算机上生成多个虚拟机,虚拟机之间数据隔离,同时对每个虚拟机的网络访问权限进行控制。仅总行人员可以在同一时空下访问总行办公区和海外办公区,其余任何场景下终端用户都不能同时访问任意两个区域
场景、用户、网络区域的控制关系如下表所示(√代表允许访问,×代表禁止访问):
场景
用户类别
网络区域
互联网
总行办公
海外办公
海外生产
海外资金
开发测试
办公
总行人员
√
√
√
×
×
×
海外人员
√
×
√
×
×
×
营业网点
总行人员
√
√
√
√
×
×
海外人员
√
×
√
√
×
×
资金交易
总行人员
√
√
√
×
√
×
海外人员
√
×
√
×
√
×
开发测试
开行人员
√
√
√
×
×
√
公司人员
√
×
×
×
×
√
其他
外来人员
√
×
×
×
×
×
与网络准入系统集成
与微软或者其他第三方的网络准入系统结合,至少实现初步集成:
初步集成:未安装虚拟机的用户被划入隔离区,仅能访问互联网;已安装虚拟机的用户根据策略进行网络访问控制。
深度集成:未安装虚拟机的用户被划入隔离区,仅