云企业网络安全构架

（中国能源建设集团甘肃省电力设计院有限公司 甘肃 730050）

信息技术的飞速发展和广泛应用，国际/国内信息安全态势日趋严峻，加之随着“互联网+”、传统网络安全威胁加速向企业内网渗透，针对企业内网的病毒、木马日益猖獗，我们需要更加安全的网络环境。同时随着信息技术发展，公司信息业务爆炸增长，需要远程办公和移动应用的领域越来越多，科技企业需实行内外网隔离，但是随着大云物移技术的飞速发展，纯物理内外网隔离的弊端就显现无疑。我们需要使用云技术建设新型网络安全构架。

总体构架分为五个阶段来实现企业云网络安全构架。

1 基于虚拟隔离技术的新型网络安全构架（图1）

基于虚拟隔离技术的内外网隔离新型网络安全构架优点：

（1）方案灵活多样；

（2）相比纯物理隔离的投资要少很多；

（3）是无法改造的老旧办公大楼最完美的内外网隔离方案；

（4）为解决移动互联时代，企业办公对移动互联的需求提供底层支撑。

图1 虚拟隔离网络拓扑图

2 基于超融合私有云技术的网络安全底层构架

公司超融合私有云平台研究与建设分为四个阶段：

（1）超融合私有云底层硬件平台开发与建设；

（2）超融合私有云底层软件平台开发与建设；

（3）公司全部业务系统及数据迁移至云平台的开发和上线工作；

（4）公司超融合私有云平台容灾备份。

3 基于私有云技术的网络安全容灾备份体系

本方案针对公司超融合私有云平台的特点，提供基于超融合技术的完整、可靠的多维度数据保护解决方案，基于前端生产系统对数据保护的安全级别不同，采用多种数据保护技术相结合的方式，对不同环境下的数据进行在线保护，构建一套完整、统一的数据保护体系，实现集中管理各种计算机系统的数据，确保前端应用系统数据的安全性与可靠性，在出现软件逻辑错误、硬件故障或灾难时拥有可靠的恢复能力。配合远程数据复制技术，将数据汇总至超融合私有云平台，同时，汇总数据备份至容灾中心，同时关键业务使用CDP 技术实时备份，保证有三份在线数据，一份离线数据的留存，发生灾难的时候可以快速恢复数据。

总公司和在每个子公司中，通过数据保护系统定时备份技术、CDP 技术、虚拟磁带库VTL 技术、NAS 技术、虚拟主机技术，针对前端的业务服务器、存储、数据做相应的数据备份保护。分子公司通过专线与总公司连接，通过专线，将各个分子公司的数据传输至总公司数据保护系统中，汇总保存。建工大厦为总公司的容灾中心，各个分公司的数据传输至总公司之后，同时将汇总数据以及总公司数据，再与建工大厦数据保护系统同步一份，做整个公司数据的容灾保存。在总公司配置一台物理磁带库、一台物理磁带机，将总部汇总的数据通过D2D2T 的形式，写入物理磁带中长久保存。物理磁带机为二级电厂提供数据恢复工具，当网络出现问题，无法通过网络恢复数据时，需要将虚拟磁带机与磁带，运输至分公司进行数据恢复。在建工大厦配置一台物理磁带机，建工大厦为总公司电厂的容灾中心，所以总公司数据写入建工之后，可以将数据保护系统中的数据通过物理磁带机写入物理磁带中长久保存。本次物理磁带库和磁带机都是配合数据保护容灾系统使用的。使用现在备份容灾中常用的D2D2T（disk-to-diskto-tape）的方式进行部署。此方案实现从磁盘到磁盘再到磁带的完整备份。

项目建设流程及方法，第一阶段：根据公司的系统数据实际情况，收集各公司系统（主要是OA 系统、财务系统、档案系统、网站、生产管理系统应用、综合评价系统、接口机、六规三改、数据库）等信息，摸清操作系统及数据库版本，记录系统IP 地址，用户名，密码等。统计汇总每个公司备份数据的大小，汇总后分析每个分子公司的情况，配备相关备份策略。同时与信息中心负责人协商备份端口及数据库开启归档日志等相关信息，提前做好端口及数据库归档日志开启工作。第二阶段：设备到货验收阶段，本次项目实施前期设备已经发到各分子公司，项目所有的设备在各分子公司进行开箱验货，然后进行设备的上架安装、调试、培训。第三阶段：首先进行公司设备的上架及调试工作，然后进行建工大厦设备的上架调试，同时本部创建下属各单位备份任务。将分公司数据汇总至公司数据中心，保证在每个分公司安装设备后备份的数据能及时备份到公司，同时，公司数据中心的汇总数据备份至建工容灾中心，同时写入离线的物理磁带中，及时查看备份情况。第四阶段：设备的安装与调试，只备份本地的系统数据，备份任务完成之后，对现场技术人员进行备份任务的创建，操作及维护培训。第五阶段：系统整体联调，对所有设备安装、调试之后，对设备进行联调，对整体数据的容灾。第六阶段：系统试运行阶段，查看各项备份任务，检查备份集数据的大小。第七阶段：系统培训阶段，与客户商议项目的培训方式，建议一般为集中培训效果较好。第八阶段：项目整体验收，进行运行阶段。

4 企业内网系统安全可靠移动互联解决方案

私有云网络安全构架下企业内网系统移动互联解决方案，使用VPN 和网闸设备在不独立开发外网生产管理系统的前提下，实现企业内网特定系统的安全可控的移动互联问题。公司实行内外虚拟网隔离后，VPN 远程办公系统（后简称：VPN）是公司外部访问公司内网办公的唯一途径。互联网发布应用系统，使用私有云技术在内外网，虚拟建设两套系统通过网闸实现数据同步，确保安全。

5 基于云桌面技术的网络安全终端解决方案

随着业务的不断发展，信息化建设对IT 部门的要求越来越高，传统的IT 基础架构和运维模式已经成为IT 业务发展的瓶颈，虽然虚拟化和云平台的建设可以适当缓解这一情况，但是IT 云平台建设仍然面临着新的挑战。IT 的持续变革，随着闪存、云计算、软件定义等新技术和新模式的不断发展，IT 基础设施架构也相应进行转型。超融合架构是以软件为中心的新型IT 基础架构，以x86 服务器为基础单元，进行软硬件集成、优化和预装，在每一个节点内紧密集成计算、存储、网络、虚拟化和其他技术，通过统一界面对集成于其中的软硬件资源进行管理，实现管理简化，解决软硬件兼容性，可横向线性扩展，可实现一体化交付，整体在逻辑上类似于一个“盒子”。很好解决了传统架构遇到的各种问题。

为了最大限度保护公司知识产权，防止企业泄密以及设计成果泄露，使用云桌面管理所有终端网络资源，包括用户，统一集中管理。所有用户必须进行身份验证，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全。云终端协议自主研发可控，可以针对内外网单独开发或使用不同的协议和加密算法，具备从硬件到虚拟化到协议到终端的端到端的部署实施能力，使用内外网虚拟主机安全隔离技术，用一个KVM 共享一个显示器和一套键鼠实现内外网两套云桌面终端虚拟隔离，全面保障公司终端数据安全和网络安全，减少终端投入与运维成本。随着云桌面技术的完善，未来该技术将是移动办公最佳的解决方案。