中國華能集團公司（簡稱華能集團）是經國務院批準成立的國有重要骨干企業，注冊資本200億元人民幣，,是中國最大的發電集團。公司在中國發電企業中率先進入世界企業500強，2011年排名由2010年的第313位上升至第275位。

華能集團高度重視信息化建設，在信息中心的領導下，集團信息化工作取得了跨越式發展。作為信息化整體工作的重要保障和支撐，信息安全是華能集團工作的重中之重。按照國家等級保護和相關法規的要求，率先進行了雙網隔離建設。

華能集團雙網隔離建設極大的提高了內部辦公的需求，如何在安全的前提下實現內外網數據的交互和便捷的移動辦公應用，成為華能集團信息中心領導考慮的重點工作。

安全性與可用性如何統一？

如何保障內網數據的高級別安全，絕對不可以被病毒、木馬感染、控制、破壞，更不允許任何敏感數據的非法外泄。

外網用戶在移動辦公時和內網的應用之間通過網閘進行數據交互、協同辦公就必須相連，易造成感染病毒、木馬，敏感信息外泄等安全事件；具體體現為：

內網的數據流向外網用戶端；外網用戶上傳到內網的數據文件攜帶病毒；應用缺乏有效訪問控制管理策略。而跨網安全訪問目的，就是實現雙網隔離客戶以高安全方式完成內外網數據交互，并保證內網涉密數據不會下載到外網，同時確保數據安全和應用的安全；

如何有效解決應用在跨網訪問的安全訪問問題，實現保密性（Confidentiality）和可用性（Availability）矛盾的和諧統一？

需求理解

通過對華能集團雙網建設下安全移動辦公需求的梳理，我們發現主要需求如下：

?滿足等級保護標準，實現雙網隔離；

?外網訪問需求，在安全的、符合等保要求的前提下實現便捷訪問；

?投資的雙網不會失效，仍然要實現強安全隔離的狀態；

?防止數據泄露、數據貫通、病毒木馬入侵。

安全堡壘機巧解跨網訪問難題

經過公安部、電監會、國家信息中心等權威部門的論證和充分的調研，華能集團率先選擇了泰然神州安全堡壘機方案，徹底解決了雙網環境下跨網訪問、移動辦公的難題。

方案設計思想：

?應用虛擬化技術解決應用數據不落地，保證華能集團內網信息不會泄密到移動客戶端；

?基于協議跳轉的跨網訪問模式,實現安全模式下,便捷的移動辦公訪問；

?解決移動辦公人員能夠訪問正常訪問授權的系統，并對移動辦公人員客戶端和整體的系統安全策略進行技術優化，保證接入點安全、高效、穩定的使用公司各種業務。

安全堡壘機原理：

用戶在外網（低安全域）環境下把服務器，內網的屏幕變化信息下行到外網，但禁止其它實體數據信息流在兩網之間直接交換；由于沒有其它實體信息流在兩網之間直接交換，因此，內網的高密級實體數據信息也不會泄漏到低外網。

原理圖示：

方案拓撲圖：

方案特點

跨網安全訪問保障

安全接入堡壘機方案基于身份、驗證、授權、審計（4A）模式，應用虛擬化技術、訪問控制技術等，獲得了公安部安全產品專用銷售許可證，是一種可證明的安全技術。

訪問控制

基于角色、權限分配，設置細粒度訪問控制策略，達到非法用戶不能訪問，合法用戶不能越權訪問的目的。

權限管理

可以根據邊界接入的需要，設置角色，指定相應的資源訪問權限，防止非授權訪問和越權訪問

安全審計

記錄終端用戶在其安全接入堡壘機平臺上運行的各部件的有關事件，包括用戶登錄、驗證、數據傳輸等，更可以通過視頻可視化方式記錄用戶所有操作行為，審計信息可以通過WEB界面查詢。

應用集中管理

應用集中于安全接入堡壘機平臺統一管理和部署，外網用戶無需關注應用的升級維護和部署，實現了應用的集中管控和統一部署。

方案價值

徹底解決了跨網訪問瓶頸

徹底解決了華能雙網改造過程中遇到的保密性（Confidentiality）和可用性（Availability）之間矛盾，找到了最佳平衡點，既保障了安全性同時有效解決了雙網數據傳輸問題。

符合法規要求、全面安全技術架構

經公安部、國家信息安全評測中心、國家信息中心、國家電監會專家共同論證，泰然神州Janeos（極奧）安全堡壘平臺各項技術特征符合國家信息安全等級保護相應等級的防護要求；安全接入堡壘機平臺結合vpn隧道加密、網閘、端點安全認證、安全審計等技術構建了由應用環境安全、應用區域邊界安全和網絡通信安全組成的三重防護體系。

擁有個人私有文件夾，私密信息安全保護

集團移動用戶僅能看見并操作自己的私有文件夾，對他人的私有文件夾不可見且不可能通過隱藏手段進行訪問。根據每個移動用戶的實際情況進行控制，如僅啟用單向傳輸、上傳、下載、刪除或完全禁用。保證移動用戶有各自存儲空間的獨立性和保密性，移動用戶不應具備遍歷系統目錄和其他用戶目錄的權限。

全程實時監控

對登錄移動辦公平臺的用戶采用全程錄像方式進行行為記錄，并在圖形會話回放的過程中同步的顯示出來。

后記

華能集團安全移動辦公方案的實施，創新的解決了雙網環境下安全性與可用性的問題，取得了良好的效果，集團信息中心領導給予了積極評價。現已橫向拓展到煤炭、人資等業務系統，縱向將向全集團進行方案的推廣。