防火牆作爲本架構信息安全的第一要點,主要功能是將桌面終端和研發網隔離開,限制桌面終端訪問研發網的權限,保證研發數據保持在研發區中流轉,不外泄。其他主要的要素如下:
攔截來自外網的病毒、掃描和******;
遠程安全辦公:SSL***:移動加密隧道接入,方便出差或在家員工接入公司局域網,權限同OA區的設置,統一AD域賬號管理;
多站點協同辦公
IPsec***:適合2個站點間的加密數據傳輸隧道,按需部署;
MPLS ***專線:彌補IPSec***專線的不足,更加穩定,適用於實時性要求高的數據業務。
SDWAN專線:最後一公里走IPsec協議,跨區域走供應商的骨幹加密加速網絡。
MSTP專線:俗稱裸光纖,適合於同城端點間的加密連接
VDI Pool作爲本架構信息安全的第二要點,是研發作業的第一視圖入口,主要功能是使桌面終端以圖片流的格式看到研發網的數據,不能複製粘貼數據到桌面終端,保證研發數據的安全,不外泄。其他要素如下:
禁用VDI打印機,USB和藍牙功能;
按業務功能配置多個專用的VDI池,VDI池之間可按需配置訪問權限。
每位研發人員登錄到VDI之後,自動分配得到一臺vPC(cpu/mem可按需要調整)。軟、硬件人員都在這個區域內進行研發的文檔工作及交流,統一AD域賬號管理;
高可用:持續監控ESXi主機,並重啓受ESXi主機故障影響的VDI;以不停機的方式使運行中的VDI從一臺ESXi主機實時遷移到另一臺ESXi主機,平衡ESXi主機的性能負荷;
特性:穩定性高、交付迅速、數據安全、集中運維管理、無縫擴容能力
數據安全通道作爲本架構信息安全的第三要點,也是最關鍵的點。按照Fabless的行業特點,定義4類通道:OA2VDI傳入通道、VDI2OA傳出通道(人工審覈通道)、Partner通道、Foundry直通通道。
OA2VDI傳入通道:所有研發人員可將桌面終端上的數據資料經病毒篩查後傳入VDI區,遵循“只進不出“原則。統一AD域賬號授權管理;
VDI2OA傳出通道(人工審覈通道):授權審覈管理員審查需要研發人員上傳到審覈通道的數據資料,審覈後代傳出到OA區,然後通知該研發人員去讀取。通道內的數據資料會定時備份並清理。統一AD域賬號授權管理;
Partner通道:面向Partner提供互聯網安全的加密數據傳輸通道,統一AD域賬號授權管理。
Foundry直通通道:基於Fabless行業的特點,研發網內部署一臺虛擬機直通Foundry的數據上傳服務器,統一AD域賬號授權管理;