【51CTO.com綜合報道】近日，肇慶移動正式與明朝萬達(dá)展開合作，部署內(nèi)網(wǎng)安全解決方案，憑借chinasec（安元）產(chǎn)品強(qiáng)大的安全性和領(lǐng)先的技術(shù)優(yōu)勢，實(shí)現(xiàn)內(nèi)網(wǎng)安全管控，提高辦公效率。

中國移動通信集團(tuán)廣東有限公司肇慶分公司成立19年來，建立起了覆蓋全市的高質(zhì)量通信、營銷、服務(wù)網(wǎng)絡(luò)，服務(wù)日臻完善，客戶規(guī)模不斷擴(kuò)大，成為廣東電信市場的重要力量。目前，公司的服務(wù)、營銷和基站網(wǎng)絡(luò)等遍布各地，下設(shè)四會、高要、廣寧、懷集、封開、德慶等6家分公司，基站300多個。

隨著信息化不斷發(fā)展和提高，肇慶移動目前已建立了不少業(yè)務(wù)應(yīng)用系統(tǒng)，給日常的信息的處理和傳遞提供了極大的便利。其中，以CMP系統(tǒng)使用尤為重要，目前急需保護(hù)的為CMP系統(tǒng)導(dǎo)出的數(shù)據(jù)。

目前CMP系統(tǒng)存在的風(fēng)險主要表現(xiàn)在以下幾個方面：

·機(jī)密數(shù)據(jù)下載到本地以后，病毒或木馬入侵竊取重要重要機(jī)密信息；

·使用人員安全意識缺乏帶來的數(shù)據(jù)遺失風(fēng)險，未將重要數(shù)據(jù)刪除或者安全處理，還保留著重要信息在公共計算機(jī)；；

·重要文件使用人員惡意將集中數(shù)據(jù)大量泄密的風(fēng)險；

·在移動辦公時使用環(huán)境存在安全隱患，存在各種安全風(fēng)險，間接導(dǎo)致數(shù)據(jù)泄密；

需求分析

通過對肇慶移動的調(diào)研，針對肇慶移動目前面對的一系列數(shù)據(jù)安全問題對肇慶移動整體的需求整理如下：

1、體系基本需求

對肇慶移動內(nèi)使用的數(shù)據(jù)本著“區(qū)域內(nèi)透明，區(qū)域外保護(hù)”的要求進(jìn)行防護(hù)，同時“盡量不改變現(xiàn)有的工作模式” 能夠兼容運(yùn)營商的業(yè)務(wù)系統(tǒng)并能夠適應(yīng)實(shí)際工作流程，不會在使用增加不必要的環(huán)節(jié)。最終“盡量不影響現(xiàn)有的工作效率”盡量提現(xiàn)保密過程中的人性化，在操作的過程中保持人性化符合用戶的使用習(xí)慣。

2、核心系統(tǒng)保護(hù)需求

針對肇慶移動的數(shù)據(jù)使用流程具備如下的核心需求

·與PORTAL系統(tǒng)集成

為更好的和現(xiàn)有業(yè)務(wù)流程融合，加密系統(tǒng)應(yīng)該能和現(xiàn)有Portal賬號系統(tǒng)進(jìn)行集成，使用Portal賬號即可登陸加密系統(tǒng)。

·業(yè)務(wù)系統(tǒng)文檔加密管理

為了有效的防止重要業(yè)務(wù)系統(tǒng)的數(shù)據(jù)泄密，要求從CMP系統(tǒng)中下載下來的數(shù)據(jù)全部為加密狀態(tài)：

·文檔權(quán)限控制管理

為了有效保障文檔在使用過程中的安全性，防范各種非法手段獲取重要文檔信息，在具體的文檔使用過程中應(yīng)該可以設(shè)置對文檔的權(quán)限具體包括以下幾個方面：

·加密文件的權(quán)限控制

從應(yīng)用系統(tǒng)下載的受控文件，可根據(jù)策略進(jìn)行只讀、編輯、另存、打印、拷貝、防截屏/錄屏、水印、脫密、時間、打開次數(shù)等訪問權(quán)限控制；

·加密文件離線管理

根據(jù)不同權(quán)責(zé)的部門，對受控文件進(jìn)行離線管控，可以設(shè)置“離線允許使用”和“離線禁止使用”；

·文件外帶審批

當(dāng)需要外發(fā)受控文件時，用戶主動發(fā)送外帶申請到審批者，審批后，實(shí)現(xiàn)安全外帶的目的。其中外帶文件時，申請者和審批者可以根據(jù)需要修改外帶文件權(quán)限，更靈活的滿足了文件權(quán)限控制。外帶文件可以是明文，也可以是加密受控文件。

·文件外帶權(quán)限控制

文件外帶的控制，由審批者進(jìn)行外帶申請，由審批員進(jìn)行權(quán)限控制/修改，根據(jù)業(yè)務(wù)工作需要可以進(jìn)行外帶文件的只讀、編輯、另存、打印、拷貝、錄屏、水印、脫密、時間、打開次數(shù)等訪問權(quán)限控制；且外帶方式可以脫密成明文帶出，也可進(jìn)行打包外帶

解決方案

在肇慶移動的應(yīng)用中，主要的安全隱患是有權(quán)限的員工在訪問CMP系統(tǒng)時，將獲取到內(nèi)部的核心數(shù)據(jù)保存在本地或者通過其他各種方式存儲在本地，而產(chǎn)生的安全隱患。同時需要重點(diǎn)考慮的是只要求對訪問內(nèi)部系統(tǒng)的數(shù)據(jù)進(jìn)行防護(hù)，對其他的信息不允許進(jìn)行任何干預(yù)，因此，方案的核心是以業(yè)務(wù)系統(tǒng)為目標(biāo)，通過加密、控制、審計、管理等技術(shù)手段形成整體的安全防護(hù)體系，幫助用戶形成的數(shù)據(jù)風(fēng)險管理體系。

Chinasec應(yīng)用系統(tǒng)實(shí)現(xiàn)對應(yīng)用系統(tǒng)數(shù)據(jù)保密方案，主要實(shí)現(xiàn)對應(yīng)用系統(tǒng)中正文和附件進(jìn)行相關(guān)的控制和加密，防止應(yīng)用系統(tǒng)的數(shù)據(jù)隨意流失，并且采用獨(dú)特的技術(shù)區(qū)分應(yīng)用系統(tǒng)和本數(shù)據(jù)，和文件格式以及創(chuàng)建文件程序無關(guān)，集成了用戶和終端的兩種管理模式，對應(yīng)用系統(tǒng)的數(shù)據(jù)進(jìn)行加密、授權(quán)、審批一系列的管理。

（1） 應(yīng)用方式如圖所示：

從上圖分析，應(yīng)用保護(hù)系統(tǒng)以插件的形式安裝在各應(yīng)用系統(tǒng)使用終端上，當(dāng)訪問應(yīng)用系統(tǒng)時候由客戶端插件判斷該地址是否加密，符合規(guī)則的則進(jìn)行下載加密，并且采取權(quán)限控制的策略，數(shù)據(jù)不能夠隨意的復(fù)制和外帶。應(yīng)用保護(hù)系統(tǒng)能夠針對只需要保密的，而對其他的數(shù)據(jù)不做任何干預(yù)，當(dāng)數(shù)據(jù)保存在服務(wù)器時候可以明文或密文方式存在。

（2） 權(quán)限控制如下圖所示：

方案效果

基于Chinasec可信應(yīng)用保護(hù)系統(tǒng)而設(shè)計的數(shù)據(jù)保密方案可以實(shí)現(xiàn)以下效果:

1、提高了服務(wù)器的登錄安全級別，對于訪問者的身份和權(quán)限進(jìn)行認(rèn)證，過濾非法訪問請求；

2、對于數(shù)據(jù)在使用過程當(dāng)中（存儲、內(nèi)部傳輸、介質(zhì)交換、向外發(fā)送）實(shí)現(xiàn)了全方位的加密與審批保護(hù)，對數(shù)據(jù)的生存環(huán)境進(jìn)行了有效控制；

3、對于敏感和違規(guī)的操作行為進(jìn)行報警和記錄，并生成日志。同時支持將日志導(dǎo)入到數(shù)據(jù)庫中，結(jié)合日志查看程序，按照需要生成自定義報表；

4、其于不同的角色來配置策略、制定管控力度；

方案優(yōu)勢

·對敏感數(shù)據(jù)的識別更具針對性

不是以某種類型數(shù)據(jù)保密為出發(fā)點(diǎn)，而是針對用戶應(yīng)用系統(tǒng)內(nèi)的數(shù)據(jù)進(jìn)行保密，與文件格式無關(guān)，支持所有文件格式加密，所需保護(hù)的數(shù)據(jù)針對性強(qiáng)。

·安全管理更趨靈活

系統(tǒng)提供文檔權(quán)限管理、審批管理、日志管理等多種管理手段，通過組合各種管理手段，更有效的對應(yīng)用系統(tǒng)內(nèi)文檔權(quán)限（閱讀、更新、打印、復(fù)制、另存等）、數(shù)據(jù)交換（與外界的數(shù)據(jù)交互）、數(shù)據(jù)操作（創(chuàng)建、復(fù)制、刪除等）等方式進(jìn)行多維度管理。

·分布式加解密技術(shù)，降低單點(diǎn)風(fēng)險，提高處理效率

采用先進(jìn)的“分布式加解密技術(shù)”，支持?jǐn)?shù)據(jù)加解密動作既可以在終端完成，又可以在服務(wù)器端完成，降低數(shù)據(jù)風(fēng)險，提高系統(tǒng)運(yùn)行效率。

·高度的“業(yè)務(wù)相關(guān)性”和“技術(shù)無關(guān)性”

與所保護(hù)的應(yīng)用系統(tǒng)緊密相關(guān)，保護(hù)應(yīng)用系統(tǒng)內(nèi)數(shù)據(jù)線上、線下安全，除所保護(hù)的應(yīng)用系統(tǒng)外的其他數(shù)據(jù)均不受影響，但所采用的技術(shù)與具體應(yīng)用系統(tǒng)類型無關(guān)，兼容所有的應(yīng)用系統(tǒng)。

·用戶管理更豐富

不僅僅支持AD、數(shù)字證書用戶，還支持與應(yīng)用系統(tǒng)身份系統(tǒng)進(jìn)行集成，提供更豐富的的用戶管理體系。

·協(xié)議無關(guān)性和良好的擴(kuò)展性

與應(yīng)用系統(tǒng)所使用的具體協(xié)議無關(guān)，無論應(yīng)用系統(tǒng)采用的是http協(xié)議，還是https、smtp或其他協(xié)議，均無需進(jìn)行二次開發(fā)，實(shí)現(xiàn)與應(yīng)用系統(tǒng)的無縫結(jié)合，具有良好擴(kuò)展性。

Chinasec內(nèi)網(wǎng)安全管理解決方案的安全性、穩(wěn)定性、易用性均得到高度認(rèn)可。通過解決方案的部署，杜絕內(nèi)部安全隱患，極大保障了肇慶移動日常業(yè)務(wù)的正常開展。