云企業(yè)網(wǎng)絡(luò)安全構(gòu)架

（中國(guó)能源建設(shè)集團(tuán)甘肅省電力設(shè)計(jì)院有限公司 甘肅 730050）

信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用，國(guó)際/國(guó)內(nèi)信息安全態(tài)勢(shì)日趨嚴(yán)峻，加之隨著“互聯(lián)網(wǎng)+”、傳統(tǒng)網(wǎng)絡(luò)安全威脅加速向企業(yè)內(nèi)網(wǎng)滲透，針對(duì)企業(yè)內(nèi)網(wǎng)的病毒、木馬日益猖獗，我們需要更加安全的網(wǎng)絡(luò)環(huán)境。同時(shí)隨著信息技術(shù)發(fā)展，公司信息業(yè)務(wù)爆炸增長(zhǎng)，需要遠(yuǎn)程辦公和移動(dòng)應(yīng)用的領(lǐng)域越來越多，科技企業(yè)需實(shí)行內(nèi)外網(wǎng)隔離，但是隨著大云物移技術(shù)的飛速發(fā)展，純物理內(nèi)外網(wǎng)隔離的弊端就顯現(xiàn)無疑。我們需要使用云技術(shù)建設(shè)新型網(wǎng)絡(luò)安全構(gòu)架。

總體構(gòu)架分為五個(gè)階段來實(shí)現(xiàn)企業(yè)云網(wǎng)絡(luò)安全構(gòu)架。

1 基于虛擬隔離技術(shù)的新型網(wǎng)絡(luò)安全構(gòu)架（圖1）

基于虛擬隔離技術(shù)的內(nèi)外網(wǎng)隔離新型網(wǎng)絡(luò)安全構(gòu)架優(yōu)點(diǎn)：

（1）方案靈活多樣；

（2）相比純物理隔離的投資要少很多；

（3）是無法改造的老舊辦公大樓最完美的內(nèi)外網(wǎng)隔離方案；

（4）為解決移動(dòng)互聯(lián)時(shí)代，企業(yè)辦公對(duì)移動(dòng)互聯(lián)的需求提供底層支撐。

圖1 虛擬隔離網(wǎng)絡(luò)拓?fù)鋱D

2 基于超融合私有云技術(shù)的網(wǎng)絡(luò)安全底層構(gòu)架

公司超融合私有云平臺(tái)研究與建設(shè)分為四個(gè)階段：

（1）超融合私有云底層硬件平臺(tái)開發(fā)與建設(shè)；

（2）超融合私有云底層軟件平臺(tái)開發(fā)與建設(shè)；

（3）公司全部業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移至云平臺(tái)的開發(fā)和上線工作；

（4）公司超融合私有云平臺(tái)容災(zāi)備份。

3 基于私有云技術(shù)的網(wǎng)絡(luò)安全容災(zāi)備份體系

本方案針對(duì)公司超融合私有云平臺(tái)的特點(diǎn)，提供基于超融合技術(shù)的完整、可靠的多維度數(shù)據(jù)保護(hù)解決方案，基于前端生產(chǎn)系統(tǒng)對(duì)數(shù)據(jù)保護(hù)的安全級(jí)別不同，采用多種數(shù)據(jù)保護(hù)技術(shù)相結(jié)合的方式，對(duì)不同環(huán)境下的數(shù)據(jù)進(jìn)行在線保護(hù)，構(gòu)建一套完整、統(tǒng)一的數(shù)據(jù)保護(hù)體系，實(shí)現(xiàn)集中管理各種計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)，確保前端應(yīng)用系統(tǒng)數(shù)據(jù)的安全性與可靠性，在出現(xiàn)軟件邏輯錯(cuò)誤、硬件故障或?yàn)?zāi)難時(shí)擁有可靠的恢復(fù)能力。配合遠(yuǎn)程數(shù)據(jù)復(fù)制技術(shù)，將數(shù)據(jù)匯總至超融合私有云平臺(tái)，同時(shí)，匯總數(shù)據(jù)備份至容災(zāi)中心，同時(shí)關(guān)鍵業(yè)務(wù)使用CDP 技術(shù)實(shí)時(shí)備份，保證有三份在線數(shù)據(jù)，一份離線數(shù)據(jù)的留存，發(fā)生災(zāi)難的時(shí)候可以快速恢復(fù)數(shù)據(jù)。

總公司和在每個(gè)子公司中，通過數(shù)據(jù)保護(hù)系統(tǒng)定時(shí)備份技術(shù)、CDP 技術(shù)、虛擬磁帶庫(kù)VTL 技術(shù)、NAS 技術(shù)、虛擬主機(jī)技術(shù)，針對(duì)前端的業(yè)務(wù)服務(wù)器、存儲(chǔ)、數(shù)據(jù)做相應(yīng)的數(shù)據(jù)備份保護(hù)。分子公司通過專線與總公司連接，通過專線，將各個(gè)分子公司的數(shù)據(jù)傳輸至總公司數(shù)據(jù)保護(hù)系統(tǒng)中，匯總保存。建工大廈為總公司的容災(zāi)中心，各個(gè)分公司的數(shù)據(jù)傳輸至總公司之后，同時(shí)將匯總數(shù)據(jù)以及總公司數(shù)據(jù)，再與建工大廈數(shù)據(jù)保護(hù)系統(tǒng)同步一份，做整個(gè)公司數(shù)據(jù)的容災(zāi)保存。在總公司配置一臺(tái)物理磁帶庫(kù)、一臺(tái)物理磁帶機(jī)，將總部匯總的數(shù)據(jù)通過D2D2T 的形式，寫入物理磁帶中長(zhǎng)久保存。物理磁帶機(jī)為二級(jí)電廠提供數(shù)據(jù)恢復(fù)工具，當(dāng)網(wǎng)絡(luò)出現(xiàn)問題，無法通過網(wǎng)絡(luò)恢復(fù)數(shù)據(jù)時(shí)，需要將虛擬磁帶機(jī)與磁帶，運(yùn)輸至分公司進(jìn)行數(shù)據(jù)恢復(fù)。在建工大廈配置一臺(tái)物理磁帶機(jī)，建工大廈為總公司電廠的容災(zāi)中心，所以總公司數(shù)據(jù)寫入建工之后，可以將數(shù)據(jù)保護(hù)系統(tǒng)中的數(shù)據(jù)通過物理磁帶機(jī)寫入物理磁帶中長(zhǎng)久保存。本次物理磁帶庫(kù)和磁帶機(jī)都是配合數(shù)據(jù)保護(hù)容災(zāi)系統(tǒng)使用的。使用現(xiàn)在備份容災(zāi)中常用的D2D2T（disk-to-diskto-tape）的方式進(jìn)行部署。此方案實(shí)現(xiàn)從磁盤到磁盤再到磁帶的完整備份。

項(xiàng)目建設(shè)流程及方法，第一階段：根據(jù)公司的系統(tǒng)數(shù)據(jù)實(shí)際情況，收集各公司系統(tǒng)（主要是OA 系統(tǒng)、財(cái)務(wù)系統(tǒng)、檔案系統(tǒng)、網(wǎng)站、生產(chǎn)管理系統(tǒng)應(yīng)用、綜合評(píng)價(jià)系統(tǒng)、接口機(jī)、六規(guī)三改、數(shù)據(jù)庫(kù)）等信息，摸清操作系統(tǒng)及數(shù)據(jù)庫(kù)版本，記錄系統(tǒng)IP 地址，用戶名，密碼等。統(tǒng)計(jì)匯總每個(gè)公司備份數(shù)據(jù)的大小，匯總后分析每個(gè)分子公司的情況，配備相關(guān)備份策略。同時(shí)與信息中心負(fù)責(zé)人協(xié)商備份端口及數(shù)據(jù)庫(kù)開啟歸檔日志等相關(guān)信息，提前做好端口及數(shù)據(jù)庫(kù)歸檔日志開啟工作。第二階段：設(shè)備到貨驗(yàn)收階段，本次項(xiàng)目實(shí)施前期設(shè)備已經(jīng)發(fā)到各分子公司，項(xiàng)目所有的設(shè)備在各分子公司進(jìn)行開箱驗(yàn)貨，然后進(jìn)行設(shè)備的上架安裝、調(diào)試、培訓(xùn)。第三階段：首先進(jìn)行公司設(shè)備的上架及調(diào)試工作，然后進(jìn)行建工大廈設(shè)備的上架調(diào)試，同時(shí)本部創(chuàng)建下屬各單位備份任務(wù)。將分公司數(shù)據(jù)匯總至公司數(shù)據(jù)中心，保證在每個(gè)分公司安裝設(shè)備后備份的數(shù)據(jù)能及時(shí)備份到公司，同時(shí)，公司數(shù)據(jù)中心的匯總數(shù)據(jù)備份至建工容災(zāi)中心，同時(shí)寫入離線的物理磁帶中，及時(shí)查看備份情況。第四階段：設(shè)備的安裝與調(diào)試，只備份本地的系統(tǒng)數(shù)據(jù)，備份任務(wù)完成之后，對(duì)現(xiàn)場(chǎng)技術(shù)人員進(jìn)行備份任務(wù)的創(chuàng)建，操作及維護(hù)培訓(xùn)。第五階段：系統(tǒng)整體聯(lián)調(diào)，對(duì)所有設(shè)備安裝、調(diào)試之后，對(duì)設(shè)備進(jìn)行聯(lián)調(diào)，對(duì)整體數(shù)據(jù)的容災(zāi)。第六階段：系統(tǒng)試運(yùn)行階段，查看各項(xiàng)備份任務(wù)，檢查備份集數(shù)據(jù)的大小。第七階段：系統(tǒng)培訓(xùn)階段，與客戶商議項(xiàng)目的培訓(xùn)方式，建議一般為集中培訓(xùn)效果較好。第八階段：項(xiàng)目整體驗(yàn)收，進(jìn)行運(yùn)行階段。

4 企業(yè)內(nèi)網(wǎng)系統(tǒng)安全可靠移動(dòng)互聯(lián)解決方案

私有云網(wǎng)絡(luò)安全構(gòu)架下企業(yè)內(nèi)網(wǎng)系統(tǒng)移動(dòng)互聯(lián)解決方案，使用VPN 和網(wǎng)閘設(shè)備在不獨(dú)立開發(fā)外網(wǎng)生產(chǎn)管理系統(tǒng)的前提下，實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)特定系統(tǒng)的安全可控的移動(dòng)互聯(lián)問題。公司實(shí)行內(nèi)外虛擬網(wǎng)隔離后，VPN 遠(yuǎn)程辦公系統(tǒng)（后簡(jiǎn)稱：VPN）是公司外部訪問公司內(nèi)網(wǎng)辦公的唯一途徑?；ヂ?lián)網(wǎng)發(fā)布應(yīng)用系統(tǒng)，使用私有云技術(shù)在內(nèi)外網(wǎng)，虛擬建設(shè)兩套系統(tǒng)通過網(wǎng)閘實(shí)現(xiàn)數(shù)據(jù)同步，確保安全。

5 基于云桌面技術(shù)的網(wǎng)絡(luò)安全終端解決方案

隨著業(yè)務(wù)的不斷發(fā)展，信息化建設(shè)對(duì)IT 部門的要求越來越高，傳統(tǒng)的IT 基礎(chǔ)架構(gòu)和運(yùn)維模式已經(jīng)成為IT 業(yè)務(wù)發(fā)展的瓶頸，雖然虛擬化和云平臺(tái)的建設(shè)可以適當(dāng)緩解這一情況，但是IT 云平臺(tái)建設(shè)仍然面臨著新的挑戰(zhàn)。IT 的持續(xù)變革，隨著閃存、云計(jì)算、軟件定義等新技術(shù)和新模式的不斷發(fā)展，IT 基礎(chǔ)設(shè)施架構(gòu)也相應(yīng)進(jìn)行轉(zhuǎn)型。超融合架構(gòu)是以軟件為中心的新型IT 基礎(chǔ)架構(gòu)，以x86 服務(wù)器為基礎(chǔ)單元，進(jìn)行軟硬件集成、優(yōu)化和預(yù)裝，在每一個(gè)節(jié)點(diǎn)內(nèi)緊密集成計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、虛擬化和其他技術(shù)，通過統(tǒng)一界面對(duì)集成于其中的軟硬件資源進(jìn)行管理，實(shí)現(xiàn)管理簡(jiǎn)化，解決軟硬件兼容性，可橫向線性擴(kuò)展，可實(shí)現(xiàn)一體化交付，整體在邏輯上類似于一個(gè)“盒子”。很好解決了傳統(tǒng)架構(gòu)遇到的各種問題。

為了最大限度保護(hù)公司知識(shí)產(chǎn)權(quán)，防止企業(yè)泄密以及設(shè)計(jì)成果泄露，使用云桌面管理所有終端網(wǎng)絡(luò)資源，包括用戶，統(tǒng)一集中管理。所有用戶必須進(jìn)行身份驗(yàn)證，個(gè)人賬戶的工作文件及數(shù)據(jù)等可以存儲(chǔ)在服務(wù)器上，統(tǒng)一進(jìn)行備份、管理，用戶的數(shù)據(jù)更加安全。云終端協(xié)議自主研發(fā)可控，可以針對(duì)內(nèi)外網(wǎng)單獨(dú)開發(fā)或使用不同的協(xié)議和加密算法，具備從硬件到虛擬化到協(xié)議到終端的端到端的部署實(shí)施能力，使用內(nèi)外網(wǎng)虛擬主機(jī)安全隔離技術(shù)，用一個(gè)KVM 共享一個(gè)顯示器和一套鍵鼠實(shí)現(xiàn)內(nèi)外網(wǎng)兩套云桌面終端虛擬隔離，全面保障公司終端數(shù)據(jù)安全和網(wǎng)絡(luò)安全，減少終端投入與運(yùn)維成本。隨著云桌面技術(shù)的完善，未來該技術(shù)將是移動(dòng)辦公最佳的解決方案。