【51CTO.com 綜合消息】隨著電信市場競爭的日益激烈，業(yè)務網(wǎng)絡(luò)及客戶資料、企業(yè)運營數(shù)據(jù)、營銷策略文件等各類信息資產(chǎn)已成為企業(yè)的核心資產(chǎn)。近年來，電信運營商敏感信息數(shù)據(jù)泄漏安全事件頻繁發(fā)生，不僅對運營商自身的核心機密、同行業(yè)競爭力和市場聲譽造成了嚴重影響，也對客戶的隱私和個人信息安全構(gòu)成不同程度的危害。因此，防范敏感信息數(shù)據(jù)泄漏事件的發(fā)生已是 IT 安全工作的重要任務。

運營商核心應用系統(tǒng)面臨的威脅

1、外部威脅：外部人員通過黑客技術(shù)、利用特殊的外包身份等各種手段侵入業(yè)務系統(tǒng)和終端，盜取重要的企業(yè)信息數(shù)據(jù)或客戶資料向外界傳播。網(wǎng)上肆虐的病毒、木馬、蠕蟲等危險信息對于應用系統(tǒng)構(gòu)成嚴重威脅，內(nèi)部眾多的機密賬號存在被黑客竊取造成信息泄漏的風險。而原有應用系統(tǒng)簡單的認證手段顯然成為了內(nèi)網(wǎng)信息安全的短板，因此運營商必須有進一步應用安全加固機制來保障內(nèi)網(wǎng)信息的安全。

 2、內(nèi)部威脅：內(nèi)部人員或某些惡意員工為了謀求私利將企業(yè)核心機密或客戶資料信息私自帶出公司向市場兜售。來自病毒的危害給企業(yè)造成的損失是顯性的，可以量化的，而數(shù)據(jù)泄密造成的損失則是無法估量的。有調(diào)查顯示，80%的企業(yè)信息泄露事件都是由內(nèi)部員工造成，外部黑客攻擊不超過20%。因此，保護企業(yè)核心機密，防“內(nèi)鬼”要比防“外鬼”重要得多。

泰然神州數(shù)據(jù)防泄密解決方案

針對應用系統(tǒng)因安全防范措施不牢固而導致的數(shù)據(jù)失竊和核心機密泄露問題，目前較簡單有效的解決方案是通過遠程接入和應用虛擬化來實現(xiàn)。通過虛擬化技術(shù)，將應用系統(tǒng)安裝在服務器上，客戶端零安裝，用戶對程序遠程調(diào)用，避免真實數(shù)據(jù)的傳輸和流失，從源頭上杜絕數(shù)據(jù)泄密的發(fā)生。 泰然神州是這一方案的倡導者。目前，該公司已經(jīng)為部分聯(lián)通省公司量身打造了BSS防泄密解決方案，在應用安全加固，防止數(shù)據(jù)泄密方面，發(fā)揮了關(guān)鍵的作用。
目前聯(lián)通省公司擁有的重要應用系統(tǒng)包括BSS系統(tǒng)、企業(yè)運營數(shù)據(jù)、OA系統(tǒng)等。這些應用系統(tǒng)的安全加固工作顯得格外的重要。尤其BSS系統(tǒng)，聚集了大量重要的客戶資料和經(jīng)營決策數(shù)據(jù)信息，一旦數(shù)據(jù)泄密，后果不堪設(shè)想。因此，對BSS系統(tǒng)的安全防護，是聯(lián)通省公司IT安防工作的重中之重。

聯(lián)通省公司BSS系統(tǒng)的安全隱憂

在采用BSS防泄密解決方案之前，由于各運營商敏感數(shù)據(jù)泄密的新聞不斷傳出，聯(lián)通意識到原有的BSS系統(tǒng)的安全防護手段并不足以保證信息系統(tǒng)的安全。如單一的身份認證手段導致賬號易被冒用，造成內(nèi)部信息泄露；現(xiàn)有的部署方式、訪問方式都不同程度地給應用系統(tǒng)帶來安全威脅等。因此迫切需要對原有BSS系統(tǒng)進行安全加固，保證業(yè)務系統(tǒng)的安全。但如果對原應用系統(tǒng)進行二次開發(fā)，一是無法估計實際的開發(fā)周期，容易造成業(yè)務訪問的真空時期，二是將導致原有的業(yè)務系統(tǒng)中斷，嚴重的會影響正常業(yè)務的開展。因此，對原BSS系統(tǒng)進行二次開發(fā)的安全加固方案，風險與成本都是聯(lián)通難以承擔的。聯(lián)通必須要找到更簡單有效的解決方案。

泰然神州Janeos安全堡壘平臺的問世，迎合了聯(lián)通在這方面的需求。Janeos平臺采用應用虛擬化技術(shù)，在企業(yè)現(xiàn)有IT設(shè)施基礎(chǔ)上，不改變?nèi)魏维F(xiàn)有應用系統(tǒng)，無需對現(xiàn)有的BSS系統(tǒng)進行二次開發(fā)，可集中管理并快速發(fā)布BSS系統(tǒng)，實現(xiàn)用戶登錄的安全管控和全程審計，以簡單可行和低成本的方式達到對已有應用系統(tǒng)安全加固和數(shù)據(jù)防泄密的目的。#p#

方案特點

對應用系統(tǒng)進行加固，實現(xiàn)集中運行應用客戶端，終端操作無痕，防止信息泄露。

應用和操作終端網(wǎng)絡(luò)隔離，保護應用系統(tǒng)免受網(wǎng)絡(luò)攻擊。

實現(xiàn)應用系統(tǒng)的 4A 加固：身份認證、授權(quán)訪問、安全審計和統(tǒng)一用戶管理及單點登錄。

實現(xiàn)對應用系統(tǒng)訪問文件和數(shù)據(jù)庫的強制訪問控制。

實現(xiàn)用戶跨域受控訪問數(shù)據(jù)和文件。

通過虛擬操作及邏輯隔離技術(shù)，實現(xiàn)工具管理型的數(shù)據(jù)和文件的跨域應用交換。提供安全可控的多域數(shù)據(jù)交互，支持單向數(shù)據(jù)傳輸。

方案原理

泰然神州Janeos安全堡壘平臺采用Virtualapp應用虛擬化技術(shù)，將應用的表現(xiàn)與計算邏輯進行分離，實現(xiàn)虛擬應用交互、本地化應用體驗，客戶端與服務器之間只傳遞鍵盤、鼠標和熒屏變化等交互信息，沒有實際的業(yè)務數(shù)據(jù)流到客戶端，客戶端看到的只是服務器上應用運行的顯示映像。整個過程中，應用100％運行在服務器上，從而實現(xiàn)了應用的集中部署管理，客戶端零維護，徹底改變了桌面管理的模式，只需要維護服務器上的應用，所有客戶端只要連接到服務器就可以使用最新版本的系統(tǒng)，同時也提供了一種新型的應用安全模式。

Janeos安全堡壘平臺的整體安全體系，包括事前安全策略規(guī)劃、事中安全訪問控制和事后安全審計三個層次，通過端點、用戶、通信、系統(tǒng)、應用、數(shù)據(jù)、審計七個子層次提供全方位的安全保護，打造一個安全的統(tǒng)一應用交付和訪問控制管理平臺。如下圖所示。

（泰然神州Janeos安全堡壘平臺層次安全模型）

1、對接入端點設(shè)備，通過綁定MAC地址、IEKY驗證等實現(xiàn)準入控制；

2、對用戶通過密碼、動態(tài)口令、指紋等進行不同等級的準入身份驗證；

3、在客戶端和服務器之間，采用單一端口進行通信，采用一次性會話密鑰對數(shù)據(jù)進行高強度加密傳輸，保證通信的安全；

4、通過屏蔽系統(tǒng)用戶信息、設(shè)置系統(tǒng)安全策略實現(xiàn)系統(tǒng)級的安全防護；

5、應用100％在服務器運行，沒有任何應用組件運行客戶端環(huán)境，以虛擬的方式與客戶端交互，實現(xiàn)一種新型的應用訪問安全架構(gòu)，并通過Janeos安全堡壘平臺平臺對應用設(shè)置授權(quán)訪問策略，進一步增強應用的安全性；

6、文件和數(shù)據(jù)根據(jù)需要進行發(fā)布，沒有發(fā)布的數(shù)據(jù)對客戶端不可見，發(fā)布的文件和數(shù)據(jù)終端用戶根據(jù)授權(quán)進行訪問，有的只能看，有的可以下載，可以根據(jù)需要設(shè)置安全策略。

7、通過對用戶訪問行為的錄制，實現(xiàn)事后的審計。#p#

方案價值

1、應用虛擬化，無真實數(shù)據(jù)流向客戶端，從源頭防止信息泄露

泰然神州Janeos安全堡壘平臺采用先進的Virtualapp應用虛擬化技術(shù)，數(shù)據(jù)在沒有得到特別授權(quán)的情況下不會離開數(shù)據(jù)中心，滿足了合規(guī)性和安全要求。內(nèi)置的安全策略控制會根據(jù)每個用戶的職務、設(shè)備特點和網(wǎng)絡(luò)狀況來確定用戶對應用和數(shù)據(jù)的訪問權(quán)限。這些動態(tài)屬性還會影響用戶可以在什么地方存儲和打印敏感信息。如此有力的安全措施降低了敏感信息不小心暴露的可能性，極大地降低數(shù)據(jù)丟失和被盜的風險。

2、集中部署，客戶端零維護

Janeos安全堡壘平臺采用虛擬化技術(shù)打造統(tǒng)一應用交付和管理平臺，實現(xiàn)應用虛擬化和桌面虛擬化，在應用交付和管理中心（ADC－Application Delivery Center）集中部署應用系統(tǒng)和桌面環(huán)境，通過Janeos安全堡壘平臺交付給客戶端，實現(xiàn)本地化的體驗和集中化管理和客戶端零維護，成為控制TCO的最有效手段之一。

3、業(yè)務連續(xù)性保障

采用集群和負載均衡技術(shù)，提供高度的系統(tǒng)可靠性和業(yè)務擴展性，可通過故障轉(zhuǎn)移提高業(yè)務的可靠性，保證業(yè)務的連續(xù)性。

4、單點登錄

登錄Janeos安全堡壘平臺統(tǒng)一應用平臺，只需要輸入一次密碼，打開所有應用不需要再次輸入密碼，減少了每次輸入密碼的操作，提高桌面工作效率。

5、集中安全審計管理

Janeos安全堡壘平臺能夠收集、記錄、管理用戶對業(yè)務支撐系統(tǒng)的高敏感度的數(shù)據(jù)訪問和關(guān)鍵操作行為記錄。統(tǒng)計對高敏感度數(shù)據(jù)的訪問情況和操作記錄，在出現(xiàn)安全事故時用于責任追蹤。同時，對人員的登錄過程、關(guān)鍵操作行為等進行審計和處理。形成了針對核心應用系統(tǒng)訪問過程的完整審計管理。

【編輯推薦】

1. 數(shù)據(jù)防泄密項目經(jīng)驗分享
2. 內(nèi)存數(shù)據(jù)庫在BSS賬務處理中的應用
3. Check Point推出全新數(shù)據(jù)防泄密DLP解決方案
4. 業(yè)務化流程創(chuàng)新為中國電信BSS發(fā)展注入“強心劑”