大家好，我是阿義，數(shù)據(jù)安全系列進行到第4期啦，防止惡意訪問、外部竊取，敏感信息！防護內(nèi)部生產(chǎn)系統(tǒng)安全業(yè)務(wù)訪問，攻擊行為精確攔截！符合通信行業(yè)安全合規(guī)政策檢測要求！大數(shù)據(jù)下的運營商，安全不止一點點~~

01

運營商零信任端點安全解決方案

解決方案

中國電信集團云網(wǎng)運營部下發(fā)的中國電信云運〔2019〕2 號-《關(guān)于印發(fā) IT 安全能力建設(shè)與運營實施要求的通知》，推進各省 IT 安全能力建設(shè)，要求指出通過構(gòu)建統(tǒng)一WEB、統(tǒng)一APP、統(tǒng)一運維、統(tǒng)一終端接入能力，完善邊界防護，形成集約的邊界訪問控制能力。此外，其他電信運營商也有類似需求。

運營商內(nèi)部應(yīng)用系統(tǒng)不斷迭代，快速更新的情況，安全邊界的防護已不再是一成不變的。內(nèi)部員工、供應(yīng)商、外包人員等不同類型用戶，需要隨時隨地訪問業(yè)務(wù)系統(tǒng)辦公，如：營業(yè)門戶、云網(wǎng)采控平臺、融合計費賬務(wù)系統(tǒng)、優(yōu)信PC端、堡壘機等。業(yè)務(wù)訪問存在兩種場景：（1）企業(yè)設(shè)備在DCN網(wǎng)絡(luò)或因公攜帶辦公筆記本出差；（2）個人設(shè)備通過互聯(lián)網(wǎng)接入。

同時全省大量終端應(yīng)執(zhí)行統(tǒng)一的安全策略，大幅降低黑客入侵可利用的脆弱點，高效辦公、高效進行桌面維護，落地信息安全制度，建立日常安全管理基線，保證業(yè)務(wù)的安全性和穩(wěn)定性。

解決方案

以聯(lián)軟科技UniSDP產(chǎn)品為基礎(chǔ)的《運營商零信任端點安全解決方案》，基于零信任架構(gòu)，構(gòu)建全省統(tǒng)一終端安全接入、安全防護、數(shù)據(jù)安全管控平臺，全面提升終端安全防護水平和安全保障能力。

●環(huán)境感知準(zhǔn)入：客戶端根據(jù)終端接入的網(wǎng)絡(luò)環(huán)境不同使用不同的認(rèn)證方式和安全策略，DCN網(wǎng)使用傳統(tǒng)準(zhǔn)入認(rèn)證與準(zhǔn)入安全檢查策略，互聯(lián)網(wǎng)使用零信任網(wǎng)絡(luò)認(rèn)證和零信任網(wǎng)絡(luò)的安全檢查策略。

●應(yīng)用系統(tǒng)隱身：非合規(guī)用戶與終禁止訪問對應(yīng)網(wǎng)絡(luò)權(quán)限，應(yīng)用系統(tǒng)服務(wù)器地址、端口隱藏在網(wǎng)關(guān)后，使之不被掃描發(fā)現(xiàn)。

●動態(tài)的訪問控制：基于4A統(tǒng)一認(rèn)證平臺身份權(quán)限，構(gòu)建了最小化接入權(quán)限后，再基于環(huán)境、行為、威脅等多維屬性進行更細粒度的動態(tài)訪問控制。

●持續(xù)的信任評估：持續(xù)信任評估是零信任體系從零開始構(gòu)建信任的關(guān)鍵手段。在訪問的過程中實時持續(xù)的進行信任評估和安全檢查，基于風(fēng)險建模和信任評估模型，對用戶的權(quán)限進行動態(tài)調(diào)整。

●終端標(biāo)準(zhǔn)化安全防護：終端接入之后，啟用端到端的立體防護、主動防御能力，加強終端安全防護、運維支撐、防泄密等方面管理。

業(yè)務(wù)價值與方案優(yōu)勢

依托業(yè)界先進的零信任安全理念，運用動態(tài)的細粒度訪問控制技術(shù)、網(wǎng)關(guān)隱身單包授權(quán)協(xié)議、可靠的終端安全管控功能，模塊化的平臺架構(gòu)和開放的架構(gòu)體系，實現(xiàn)用戶動態(tài)按需授權(quán)訪問，確保接入企業(yè)的接入用戶可信、終端可信、網(wǎng)絡(luò)可信、服務(wù)可信。

為運營商打造統(tǒng)一的終端安全管理中心、統(tǒng)一的安全策略管理中心、統(tǒng)一的應(yīng)用系統(tǒng)發(fā)布中心、統(tǒng)一的端管云安全運維中心。運營商安全系統(tǒng)架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化。

代表客戶

中國電信江蘇分公司。

02

運營商數(shù)據(jù)交換通道安全解決方案

需求背景

基于合規(guī)和安全需要，運營商普遍對網(wǎng)絡(luò)進行了安全區(qū)域劃分和邏輯隔離。通常分為BOSS區(qū)域（業(yè)務(wù)運營支撐系統(tǒng)區(qū)域）、辦公區(qū)域、訪客區(qū)域等，其中BOSS區(qū)域是安全等級最高，也是安全控制的重點保護區(qū)域，對所有進出該區(qū)域的軟件、數(shù)據(jù)、信息流都需實施嚴(yán)格的管控，確保該區(qū)域是安全、可信和可控。

BOSS系統(tǒng)涉及“計費及結(jié)算”、 “營業(yè)與帳務(wù)”、“客戶服務(wù)”等各種重要系統(tǒng)，其數(shù)據(jù)不可避免的存在流轉(zhuǎn)需要，一旦重要數(shù)據(jù)交換非授權(quán)離開高等級區(qū)有泄密的風(fēng)險。部分省份運營商選擇搭建VDI桌面保護業(yè)務(wù)數(shù)據(jù)，但缺少VDI桌面之間流轉(zhuǎn)或提數(shù)至辦公網(wǎng)終端的通道；其他省份運營商則在省/市公司搭建了FTP服務(wù)器用于兩網(wǎng)間數(shù)據(jù)取數(shù)，但對FTP通道缺乏相應(yīng)安全保護。

解決方案

以聯(lián)軟科技UniNXG網(wǎng)間數(shù)據(jù)交換系統(tǒng)為基礎(chǔ)的《運營商數(shù)據(jù)交換通道安全解決方案》從管理和服務(wù)兩個方面達到運營商行業(yè)隔離網(wǎng)絡(luò)數(shù)據(jù)交換“可控、可審、可管”的目標(biāo)。

●通道安全性：同時跨接兩個不同級別的安全區(qū)，維持原有隔離網(wǎng)絡(luò)的隔離性，避免被作為外部入侵的跳板。并對交換的文件內(nèi)容，自動審計、病毒掃描；

●可信數(shù)據(jù)交換：高等級區(qū)進行數(shù)據(jù)交換可強制開啟審批，提供豐富的審批流程。同時支持對交換的文件內(nèi)容敏感性掃描；

●易用性高：網(wǎng)盤式操作體驗，劃分不同管理角色，分別進行事中控制和事后追溯。

業(yè)務(wù)價值與方案優(yōu)勢

滿足監(jiān)管機構(gòu)的相關(guān)要求，更能使得運營商數(shù)據(jù)交換通道的管理水平上升到更高層次。做到權(quán)限可控，強制審批，審計追溯等功能，有效解決從BOSS區(qū)域取數(shù)的安全風(fēng)險。

代表客戶

中國移動安徽分公司。

03

運營商移動化安全管理解決方案

需求背景

隨著移動互聯(lián)網(wǎng)的發(fā)展，為了提高員工辦公的體驗和提高辦公效率，運營商已經(jīng)開展以移動辦公（如天翼助手、移動OA等）、創(chuàng)新業(yè)務(wù)（如智慧營維、翼運維等）等多種依托互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的應(yīng)用。每個移動業(yè)務(wù)都需要開放相應(yīng)的互聯(lián)網(wǎng)訪問端口提供訪問，隨著應(yīng)用的增加，其移動業(yè)務(wù)的互聯(lián)網(wǎng)暴露面也隨之增加，安全風(fēng)險不斷加大。

遵循集團規(guī)范《中國電信互聯(lián)網(wǎng)暴露面網(wǎng)絡(luò)安全管理辦法》（中電信網(wǎng)安〔2019〕26號文），及《中國電信IT 安全保障體系建設(shè)規(guī)范v3.0》，需要從整體出發(fā)全方位的去建設(shè)電信移動信息化。

解決方案

以聯(lián)軟科技UniEMM移動安全管理系統(tǒng)為基礎(chǔ)，圍繞終端、傳輸、服務(wù)和管理等多方面，滿足運營商認(rèn)證、授權(quán)、審計、賬號安全管理等完整的4A安全體系，建設(shè)互聯(lián)網(wǎng)應(yīng)用網(wǎng)關(guān)，提供APP應(yīng)用的統(tǒng)一入口，降低互聯(lián)網(wǎng)暴露面，提升集約防護能力。

●安全網(wǎng)關(guān)：應(yīng)用層VPN，支持將安全應(yīng)用的HTTP/HTTPS請求封裝轉(zhuǎn)發(fā)到防火墻內(nèi)的業(yè)務(wù)系統(tǒng)。斷線可自動重連，解決傳統(tǒng)VPN在網(wǎng)絡(luò)切換、網(wǎng)絡(luò)狀況不穩(wěn)定情況下的掉線、重新?lián)芴柕穆闊?/span>

●安全門戶：支持對接運營商4A平臺，門戶及所有APP可使用同一賬號進行登錄，且賬號只需輸入一次。

●免密登錄：讀取SIM卡信息，無需賬戶密碼登錄門戶及應(yīng)用。

●應(yīng)用快速改造：企業(yè)原生應(yīng)用通過“修改一行代碼完成改造”，即可調(diào)用安全SDK加入安全特性（加密存儲、加密隧道、安全掃描等），將原有業(yè)務(wù)快速向移動端遷移改造。同時支持安卓與蘋果系統(tǒng)。

●安全獨立的工作區(qū)：采用的沙箱技術(shù)很好的將企業(yè)數(shù)據(jù)和個人數(shù)據(jù)完全隔離，所有的企業(yè)應(yīng)用和數(shù)據(jù)都存儲在受保護的安全工作區(qū)內(nèi)，避免非法存取企業(yè)數(shù)據(jù)；提供安全閱讀工具保障企業(yè)文檔安全使用無需調(diào)用第三方閱讀應(yīng)用；提供專利級水印技術(shù)對移動業(yè)務(wù)數(shù)據(jù)進行防護，降低無意識泄密的概率，同時可以對數(shù)據(jù)泄密事件提供追溯手段。

●日志報表：控制端可記錄并展示管理員的操作、時間和結(jié)果，設(shè)備的違規(guī)事件，執(zhí)行策略、攔截事件和日常事件等。

業(yè)務(wù)價值與方案優(yōu)勢

滿足集團安全檢查，保護內(nèi)網(wǎng)業(yè)務(wù)服務(wù)器，隱藏業(yè)務(wù)IP與端口。保證移動智能終端使用應(yīng)用級VPN隧道接入，安全通道建立用戶無感知，與個人應(yīng)用隔離。業(yè)務(wù)數(shù)據(jù)加密存儲，水印防擴散。通過提供安全隧道SDK、安全內(nèi)容SDK做運營商自建門戶的保護。

代表客戶

中國電信安徽分公司、中國電信湖南分公司等。

更多信息請點擊：聯(lián)軟科技 - 平臺級網(wǎng)絡(luò)與信息安全管控專家 (leagsoft.com)