华能集团电子商务平台安全解决方案.doc

华能集团电子商务平台项目 安全解决方案 北京泰然神州科技有限公司 2011-05 目 录 1背景及需求分析 4 1.1 背景简介 4 1.2 现状分析 4 1.3 需求分析 5 1.4 对解决方案的性能要求 6 2技术方案 6 2.1设计思想 6 2.2方案拓扑图 6 2.3方案安全策略 7 3给华能集团电子商务平台带来的价值 9 3.1 个性化定制服务，满足供应商用户快捷访问 9 3.2 供应商远程应用按需接入 9 3.3 降低IT成本 10 3.4 提升效率，创造价值 10 4电子商务平台与OA系统差异分析 10 5项目预算 11 5.1 硬件及网络支撑预算 12 5.2泰然神州软件及硬件预算 12 5.3 项目实施及服务预算 12 6项目实施建议 12 6.1 第一阶段 13 6.1.1 阶段目标 13 6.1.2 阶段任务 13 6.2 第二阶段 13 6.2.1 阶段目标 13 6.2.2 阶段任务 13 6.3 第三阶段 14 6.3.1 阶段目标 14 6.3.2 阶段任务 14 6.4 第四阶段 14 6.4.1 阶段目标 14 6.4.2 阶段任务 14 7．保障措施 14 7.1 支持体系 14 7.2 售后服务承诺 16 8．公司介绍 16 9．成功案例 18 1背景及需求分析 1.1 背景简介 为了尽快开通华能集团供应商电子商务平台系统，集团信息中心正在调研二期项目方案可行性。之前考虑在集团外网建立同等规模的服务器，通过网闸将集团外网数据实时传输给内网，整个项目成本投资1000万左右，该方案投资成本太高,集团内部评估后暂时不考虑。同时借鉴集团OA安全移动办公项目的成功经验，集团信息中心计划重新建设与OA系统一样安全办公平台。结合电子商务平台业务特点，系统并发数人数多，安全性高、账号多等原因，如何在最大限度保障数据安全的前提下，实现便捷的移动办公应用，成为当前集团信息中心迫切需要解决的问题。 1.2 现状分析 华能集团电子商务系统建设面临的主要挑战是： 供应商办公人员多,如何避免访问风险 – 用户身份不确定; – 核心数据泄露; – 终端端点安全失控; – 木马、蠕虫等病毒威胁; – 传输过程中安全控制; 网络边界安全; IT运维成本高，相应不及时 供应商IT环境复杂，降低IT运维成本和提高IT管理效率的压力大。数量庞大的IT系统用户分布在各地，IT环境异常复杂，如何能够提高IT维护支持的响应速度，同时降低维护的成本、简化IT管理，但又能给最终用户更好的服务，获得更高的满意度。 1.3 需求分析 针对以上华能集团电子商务平台系统现状，要求设计全面的解决方案，能够解决以下问题。 应用交付需求： 供应商人员终端不进行硬件及操作系统升级就可以正常访问电子商务平台； 供应商人员利用现有不同网络带宽条件，能够使用电子商务平台系统； 简化IT管理，提升IT生产力。 安全接入应用的需求： 在最大限度保障数据安全的前提下，实现便捷、快速的安全接入； 供应商能够访问正常访问授权电子商务平台，并对客户端和整体的系统安全策略进行技术优化，保证接入点安全、高效、稳定的公司各种业务 1.4 对解决方案的性能要求 大规模的系统计算，能够支持10万注册用户，1000并发用户； 系统具有灵活的扩展性，完全支持电子商务平台发布，并且能实现统一的管理。 2技术方案 2.1设计思想 （1）基于协议跳转的跨网访问模式,实现安全模式下便捷的移动办公访问； （2）应用虚拟化技术解决应用数据不落地，保证集团内网电子商务平台数据信息不会泄密到供应商用户客户终端； （3）解决移动办公人员能够正常访问授权的系统，并对移动办公人员客户端和整体的系统安全策略进行技术优化，保证接入点安全、高效、稳定的使用公司各种业务。 2.2方案拓扑图 序号 安全设备说明 安全解决思路 安全功能 1 防火墙 解决供应商用户从互联网接入集团外网边界的安全问题 访问控制 2 SSL VPN 解决供应商用户从互联网接入集团外网网络链路传输的安全问题 链路加密 3 应用虚拟化平台 解决供应商用户从互联网接入集团外网，并从外网访问集团内网时，阻止集团内网数据不能达到供应商终端上安全泄露问题 应用虚拟化技术，解决数据不落地 4 网闸 解决供应商用户从集团内网与外网数据的安全交换问题 文件安全摆渡 2.3方案安全策略 集团电子商务平台系统安全策略由4大组件共同构成，即：防火墙+SSL VPN+应用虚拟化平台+网闸，安全策略详细如下： 1、身份认证策略 集团外网SSL VPN身份认证： 只有拥有集团SSL VPN授权客户端身份认证（集团统一授权给供应商安全令牌）用户才能够拨入； 集团外网应用虚拟化