泰然神州助力聯通省公司打造BSS防泄密安全堡壘
【51CTO.com 綜合消息】隨著電信市場競爭的日益激烈,業務網絡及客戶資料、企業運營數據、營銷策略文件等各類信息資產已成為企業的核心資產。近年來,電信運營商敏感信息數據泄漏安全事件頻繁發生,不僅對運營商自身的核心機密、同行業競爭力和市場聲譽造成了嚴重影響,也對客戶的隱私和個人信息安全構成不同程度的危害。因此,防范敏感信息數據泄漏事件的發生已是 IT 安全工作的重要任務。
運營商核心應用系統面臨的威脅
1、外部威脅:外部人員通過黑客技術、利用特殊的外包身份等各種手段侵入業務系統和終端,盜取重要的企業信息數據或客戶資料向外界傳播。網上肆虐的病毒、木馬、蠕蟲等危險信息對于應用系統構成嚴重威脅,內部眾多的機密賬號存在被黑客竊取造成信息泄漏的風險。而原有應用系統簡單的認證手段顯然成為了內網信息安全的短板,因此運營商必須有進一步應用安全加固機制來保障內網信息的安全。
2、內部威脅:內部人員或某些惡意員工為了謀求私利將企業核心機密或客戶資料信息私自帶出公司向市場兜售。來自病毒的危害給企業造成的損失是顯性的,可以量化的,而數據泄密造成的損失則是無法估量的。有調查顯示,80%的企業信息泄露事件都是由內部員工造成,外部黑客攻擊不超過20%。因此,保護企業核心機密,防“內鬼”要比防“外鬼”重要得多。
泰然神州數據防泄密解決方案
針對應用系統因安全防范措施不牢固而導致的數據失竊和核心機密泄露問題,目前較簡單有效的解決方案是通過遠程接入和應用虛擬化來實現。通過虛擬化技術,將應用系統安裝在服務器上,客戶端零安裝,用戶對程序遠程調用,避免真實數據的傳輸和流失,從源頭上杜絕數據泄密的發生。 泰然神州是這一方案的倡導者。目前,該公司已經為部分聯通省公司量身打造了BSS防泄密解決方案,在應用安全加固,防止數據泄密方面,發揮了關鍵的作用。
目前聯通省公司擁有的重要應用系統包括BSS系統、企業運營數據、OA系統等。這些應用系統的安全加固工作顯得格外的重要。尤其BSS系統,聚集了大量重要的客戶資料和經營決策數據信息,一旦數據泄密,后果不堪設想。因此,對BSS系統的安全防護,是聯通省公司IT安防工作的重中之重。
聯通省公司BSS系統的安全隱憂
在采用BSS防泄密解決方案之前,由于各運營商敏感數據泄密的新聞不斷傳出,聯通意識到原有的BSS系統的安全防護手段并不足以保證信息系統的安全。如單一的身份認證手段導致賬號易被冒用,造成內部信息泄露;現有的部署方式、訪問方式都不同程度地給應用系統帶來安全威脅等。因此迫切需要對原有BSS系統進行安全加固,保證業務系統的安全。但如果對原應用系統進行二次開發,一是無法估計實際的開發周期,容易造成業務訪問的真空時期,二是將導致原有的業務系統中斷,嚴重的會影響正常業務的開展。因此,對原BSS系統進行二次開發的安全加固方案,風險與成本都是聯通難以承擔的。聯通必須要找到更簡單有效的解決方案。
泰然神州Janeos安全堡壘平臺的問世,迎合了聯通在這方面的需求。Janeos平臺采用應用虛擬化技術,在企業現有IT設施基礎上,不改變任何現有應用系統,無需對現有的BSS系統進行二次開發,可集中管理并快速發布BSS系統,實現用戶登錄的安全管控和全程審計,以簡單可行和低成本的方式達到對已有應用系統安全加固和數據防泄密的目的。#p#
方案特點
對應用系統進行加固,實現集中運行應用客戶端,終端操作無痕,防止信息泄露。
應用和操作終端網絡隔離,保護應用系統免受網絡攻擊。
實現應用系統的 4A 加固:身份認證、授權訪問、安全審計和統一用戶管理及單點登錄。
實現對應用系統訪問文件和數據庫的強制訪問控制。
實現用戶跨域受控訪問數據和文件。
通過虛擬操作及邏輯隔離技術,實現工具管理型的數據和文件的跨域應用交換。提供安全可控的多域數據交互,支持單向數據傳輸。
方案原理
泰然神州Janeos安全堡壘平臺采用Virtualapp應用虛擬化技術,將應用的表現與計算邏輯進行分離,實現虛擬應用交互、本地化應用體驗,客戶端與服務器之間只傳遞鍵盤、鼠標和熒屏變化等交互信息,沒有實際的業務數據流到客戶端,客戶端看到的只是服務器上應用運行的顯示映像。整個過程中,應用100%運行在服務器上,從而實現了應用的集中部署管理,客戶端零維護,徹底改變了桌面管理的模式,只需要維護服務器上的應用,所有客戶端只要連接到服務器就可以使用最新版本的系統,同時也提供了一種新型的應用安全模式。
Janeos安全堡壘平臺的整體安全體系,包括事前安全策略規劃、事中安全訪問控制和事后安全審計三個層次,通過端點、用戶、通信、系統、應用、數據、審計七個子層次提供全方位的安全保護,打造一個安全的統一應用交付和訪問控制管理平臺。如下圖所示。
(泰然神州Janeos安全堡壘平臺層次安全模型)
1、對接入端點設備,通過綁定MAC地址、IEKY驗證等實現準入控制;
2、對用戶通過密碼、動態口令、指紋等進行不同等級的準入身份驗證;
3、在客戶端和服務器之間,采用單一端口進行通信,采用一次性會話密鑰對數據進行高強度加密傳輸,保證通信的安全;
4、通過屏蔽系統用戶信息、設置系統安全策略實現系統級的安全防護;
5、應用100%在服務器運行,沒有任何應用組件運行客戶端環境,以虛擬的方式與客戶端交互,實現一種新型的應用訪問安全架構,并通過Janeos安全堡壘平臺平臺對應用設置授權訪問策略,進一步增強應用的安全性;
6、文件和數據根據需要進行發布,沒有發布的數據對客戶端不可見,發布的文件和數據終端用戶根據授權進行訪問,有的只能看,有的可以下載,可以根據需要設置安全策略。
7、通過對用戶訪問行為的錄制,實現事后的審計。#p#
方案價值
1、應用虛擬化,無真實數據流向客戶端,從源頭防止信息泄露
泰然神州Janeos安全堡壘平臺采用先進的Virtualapp應用虛擬化技術,數據在沒有得到特別授權的情況下不會離開數據中心,滿足了合規性和安全要求。內置的安全策略控制會根據每個用戶的職務、設備特點和網絡狀況來確定用戶對應用和數據的訪問權限。這些動態屬性還會影響用戶可以在什么地方存儲和打印敏感信息。如此有力的安全措施降低了敏感信息不小心暴露的可能性,極大地降低數據丟失和被盜的風險。
2、集中部署,客戶端零維護
Janeos安全堡壘平臺采用虛擬化技術打造統一應用交付和管理平臺,實現應用虛擬化和桌面虛擬化,在應用交付和管理中心(ADC-Application Delivery Center)集中部署應用系統和桌面環境,通過Janeos安全堡壘平臺交付給客戶端,實現本地化的體驗和集中化管理和客戶端零維護,成為控制TCO的最有效手段之一。
3、業務連續性保障
采用集群和負載均衡技術,提供高度的系統可靠性和業務擴展性,可通過故障轉移提高業務的可靠性,保證業務的連續性。
4、單點登錄
登錄Janeos安全堡壘平臺統一應用平臺,只需要輸入一次密碼,打開所有應用不需要再次輸入密碼,減少了每次輸入密碼的操作,提高桌面工作效率。
5、集中安全審計管理
Janeos安全堡壘平臺能夠收集、記錄、管理用戶對業務支撐系統的高敏感度的數據訪問和關鍵操作行為記錄。統計對高敏感度數據的訪問情況和操作記錄,在出現安全事故時用于責任追蹤。同時,對人員的登錄過程、關鍵操作行為等進行審計和處理。形成了針對核心應用系統訪問過程的完整審計管理。
【編輯推薦】
