内外双网架构隔离-数据摆渡方案(2017)
2017/12/31
客户简介:
国内某大型银行最早批准成立的财务公司之一,也是国内监管评级最高并第一批获准发行企业债券的财务公司之一。公司注册地在北京,注册资本金为人民币50亿元,公司不断致力于结算中心和内部融资中心建设,加强资金集中管理,提高资金使用效率,业务规模和经济效益稳步提升。
客户需求:
客户的网络环境分为办公网络以及保密网络,因业务发展及数据安全的需要,授权部分人员可以做到内外网数据或文件的单向传输,并且整个传输过程需要得到申请的授权才可以进行,同时需要对全过程进行记录。而目前采用的方式是加密U盘的方式,通过加密U盘中的日志记录以及硬件方案的授权配合,只能满足部分的需求。而采用加密U盘的传输方式虽然可以达到部分记录以及传输的需求,但是由于加密U盘易损坏,容量小,容易丢失,难于调整权限,兼容性差,缺少灵活性等等诸多原因,越发不能满足日益增加及更新的IT使用、维护需求。
解决方案:
新方案的总体目标是代替原有加密U盘在办公网络和加密网络间的文件传输方式,在保留可进行授权控制、提供文件传输记录的加密U盘功能基础之上改善部署的灵活性,降低维护人员的工作量,提高数据安全度,同时可以增加对Windows10等较新操作系统的兼容性。目前由于在办公网络中已经有一台私有云服务器,通过在保密网络中增加一台同型号私有云服务器配合办公网络中的私有云服务器进行方案搭建。通过增加私有云服务器组成的双网架构隔离方案,相较于加密U盘的方式主要优势在于:
1)硬件采用企业级服务器,存储集中在统一管理的一台私有云服务器中,对于IT管理提供了便利的操作方式,部署也可以通过网络完成;
2)可以对被授权人员更加灵活的进行调配,同时由于是私有云服务器,不同于加密U盘固定的8GB存储空间,私有云服务器可以对每个用户进行单独的空间设定,小至1MB大至数TB均可,完全由管理员操控;
3)由于私有云服务器的存储采用专业的企业级硬盘配合Raid机制,天然避免了U盘易损坏的缺点,可以将现有办公网络中的私有云服务器所有优点应用于此次的双网架构隔离方案之中。
目前服务器采用B/S架构,所有管理员维护均可通过浏览器操作,快速完成对用户权限的调整及部署,同时省去了安装软件的步骤及解决多系统兼容性的问题。账户体系支持现有企业中使用最多的Windows AD和LDAP,权限方面支持Windows ACL的13种权限设定,基本满足企业对于权限管理的需求。与此同时,还具有下述特点:
1.存储安全
私有云服务器硬件全面采用企业级硬件,相较于民用级产品有全面的稳定性及性能提升,硬盘也采用企业级硬盘,满足7*24小时的使用要求。
硬盘部署支持Raid机制,对主流的Raid1、5、6、10均有支持,同时还有更具性价比的SHR和SHR2的Raid机制,尽可能避免由于硬盘故障造成的数据损失,并且当服务器硬件损坏时,可以将硬盘直接移转至新的服务器就可以直接工作,避免服务器硬件损坏导致的数据损失风险。
2.软件安全
1)账号保护:账户有两层保护机制。若来自相同 IP 网址登录次数超过预先设置,账号会被阻止,以此保护账号。同样地,若相同客户端登录账号的次数超过预先设置,账户也将会受到保护。同时,可以设置阻止或是允许清单,控管能使用系统资源的的客户端。
2)杀毒软件保护:系统提供系统自带的杀毒软件,帮助筛查解决病毒带来的安全风险,同时还可以选择第三方的付费杀毒软件应对病毒风险。在此之上服务器为基于Linux开发的操作系统,传统的Windows病毒无法在服务器上正常工作,从系统级降低了安全风险。
3)安全扫描功能:可以通过系统安全扫描功能帮助IT维护人员检查潜在的设定风险,例如:密码过于简单等问题,提高非系统问题的安全性。
4)快速的漏洞处理:自收到漏洞提交八个小时内,我们会做出初步判断,并在一天之内解决漏洞。确认后,短期之内就会有更新程序可供下载。尽可能保障所使用的产品安全可靠。
3.数据备份
根据最终需求提供两种针对于文件的备份机制,一种是根据版本进行备份,最高提供32个版本的数据恢复保障,另一种是根据时间点进行不限次的备份,在空间允许的情况下可以密集至1小时的备份间隔。
