行业背景
通信技术的日新月异,的确为我们带来了不少享受。随着数据通信与多媒体业务需求的发展,适应移动数据、移动计算及移动多媒体运作需要的第四代移动通信开始兴起,用户也因此有理由期待这种第四代移动通信技术将会给我们带来更加美好的未来。
成都某通信股份公司是中国领先的网络产品及解决方案供应商,同时也是工信部重点支持的四大国产网络设备厂商之一。公司于2015年加入中国电子信息产业集团有限公司(CEC),是CEC网络安全与信息化领域的战略核心企业。
该公司一直坚持自主创新、产业报国。经过28年的发展,目前拥有路由、交换、WLAN、安全、网络可视化、融合通信、SDN控制器及软件产品8大产品系列,以及业内完善的信创网络产品和整网解决方案。
需求分析
1、该通信公司内部网络架构分为红区、黄区、绿区,每个区域之间都是独立的网络环境,各个区域之间文件交互都有各自的特定网络通道交互数据;
红区:主力产品、关键技术、核心代码等关键信息项目部门或产品部门,有独立的网络环境,专属的服务器,通过虚拟桌面办公,文件到黄区与绿区已实现严格的文档输出管控,无需再重复进行文档安全管控;
适用部门:各产品线研发部门及有密切业务关系的业务部门或业务角色,如质量部、工程部、技术服务中心等;
黄区:一般产品技术平台的规划、设计、开发、文档、测试环境等,有独立的网络环境,文件到红区只能通过单项FTP,到绿区走EIP权限控制,黄区可通过远程桌面文件隔离方式访问绿区,访问业务系统有ERP、EIP、内网邮箱、UCA、云桌面等;
适用部门:计划、采购、工程、基板、合同、财务等部门;
绿区:少数研发测试、文档办公、对外交流、技术支持、移动办公环境,有独立的内网环境并可以访问外网,文件到红区只能通过单项FTP,通过单向外网邮箱到黄区,可通过远程桌面文件隔离方式访问黄区,访问业务系统有EIP、外网邮箱、CRM、UCA等,并会使用QQ、微信等跟外部沟通,目前到绿区的文件无管控措施;
适用部门:市场、技术支持、销售服务等部门;
外部访问:外部通过互联网VPN连到公司绿区网络,会根据VPN登陆的用户限定访问业务系统EIP的权限,黄区用户VPN登陆之后不能直接登陆EIP,需要访问黄区业务系统需要远程桌面到黄区电脑操作,绿区电脑用户VPN登陆之后等同于公司绿区电脑;
解决方案
各区部署方式
黄区部署方案
(1)黄区电脑(非产线电脑)无USB口权限,无bois启动权限,无外网权限
沙盒客户端设置全盘加密,所有业务使用方式都在沙盒里运行,业务方式对客户无影响。
(2)黄区电脑:个别电脑有U口权限用U盘拷贝数据,有远程桌面上网权限(文件拷贝默认已经做限制)
沙盒客户端设置除全盘加密,所有业务使用方式都在沙盒里运行,远程桌面上网方式保持不变,对U盘设置加密,未注加密的U盘在沙盒电脑上无法使用,并且导入到U盘的数据可做过滤与记录,业务方式对客户无影响。
(3)黄区部门:有上网的公共机属于绿区电脑,软件通过IT安装
沙盒客户端设置全盘加密,设置沙盒下托盘启动上网软件QQ、微信、外网邮箱,绿区内业务系统EIP等沙盒涉密空间启动,如果需要将涉密文件发送给公司外部,需要走审批系统才可以,不允许将电脑加密盘数据通过U盘、手机拷贝出去。
