防火墙作为本架构信息安全的第一要点,主要功能是将桌面终端和研发网隔离开,限制桌面终端访问研发网的权限,保证研发数据保持在研发区中流转,不外泄。其他主要的要素如下:
拦截来自外网的病毒、扫描和******;
远程安全办公:SSL***:移动加密隧道接入,方便出差或在家员工接入公司局域网,权限同OA区的设置,统一AD域账号管理;
多站点协同办公
IPsec***:适合2个站点间的加密数据传输隧道,按需部署;
MPLS ***专线:弥补IPSec***专线的不足,更加稳定,适用于实时性要求高的数据业务。
SDWAN专线:最后一公里走IPsec协议,跨区域走供应商的骨干加密加速网络。
MSTP专线:俗称裸光纤,适合于同城端点间的加密连接
VDI Pool作为本架构信息安全的第二要点,是研发作业的第一视图入口,主要功能是使桌面终端以图片流的格式看到研发网的数据,不能复制粘贴数据到桌面终端,保证研发数据的安全,不外泄。其他要素如下:
禁用VDI打印机,USB和蓝牙功能;
按业务功能配置多个专用的VDI池,VDI池之间可按需配置访问权限。
每位研发人员登录到VDI之后,自动分配得到一台vPC(cpu/mem可按需要调整)。软、硬件人员都在这个区域内进行研发的文档工作及交流,统一AD域账号管理;
高可用:持续监控ESXi主机,并重启受ESXi主机故障影响的VDI;以不停机的方式使运行中的VDI从一台ESXi主机实时迁移到另一台ESXi主机,平衡ESXi主机的性能负荷;
特性:稳定性高、交付迅速、数据安全、集中运维管理、无缝扩容能力
数据安全通道作为本架构信息安全的第三要点,也是最关键的点。按照Fabless的行业特点,定义4类通道:OA2VDI传入通道、VDI2OA传出通道(人工审核通道)、Partner通道、Foundry直通通道。
OA2VDI传入通道:所有研发人员可将桌面终端上的数据资料经病毒筛查后传入VDI区,遵循“只进不出“原则。统一AD域账号授权管理;
VDI2OA传出通道(人工审核通道):授权审核管理员审查需要研发人员上传到审核通道的数据资料,审核后代传出到OA区,然后通知该研发人员去读取。通道内的数据资料会定时备份并清理。统一AD域账号授权管理;
Partner通道:面向Partner提供互联网安全的加密数据传输通道,统一AD域账号授权管理。
Foundry直通通道:基于Fabless行业的特点,研发网内部署一台虚拟机直通Foundry的数据上传服务器,统一AD域账号授权管理;