聯軟大講堂(四):運營商行業數據安全需求解析與方案
大家好,我是阿義,數據安全系列進行到第4期啦,防止惡意訪問、外部竊取,敏感信息!防護內部生產系統安全業務訪問,攻擊行為精確攔截!符合通信行業安全合規政策檢測要求!大數據下的運營商,安全不止一點點~~
01
運營商零信任端點安全解決方案
解決方案
中國電信集團云網運營部下發的中國電信云運〔2019〕2 號-《關于印發 IT 安全能力建設與運營實施要求的通知》,推進各省 IT 安全能力建設,要求指出通過構建統一WEB、統一APP、統一運維、統一終端接入能力,完善邊界防護,形成集約的邊界訪問控制能力。此外,其他電信運營商也有類似需求。
運營商內部應用系統不斷迭代,快速更新的情況,安全邊界的防護已不再是一成不變的。內部員工、供應商、外包人員等不同類型用戶,需要隨時隨地訪問業務系統辦公,如:營業門戶、云網采控平臺、融合計費賬務系統、優信PC端、堡壘機等。業務訪問存在兩種場景:(1)企業設備在DCN網絡或因公攜帶辦公筆記本出差;(2)個人設備通過互聯網接入。
同時全省大量終端應執行統一的安全策略,大幅降低黑客入侵可利用的脆弱點,高效辦公、高效進行桌面維護,落地信息安全制度,建立日常安全管理基線,保證業務的安全性和穩定性。
解決方案
以聯軟科技UniSDP產品為基礎的《運營商零信任端點安全解決方案》,基于零信任架構,構建全省統一終端安全接入、安全防護、數據安全管控平臺,全面提升終端安全防護水平和安全保障能力。
●環境感知準入:客戶端根據終端接入的網絡環境不同使用不同的認證方式和安全策略,DCN網使用傳統準入認證與準入安全檢查策略,互聯網使用零信任網絡認證和零信任網絡的安全檢查策略。
●應用系統隱身:非合規用戶與終禁止訪問對應網絡權限,應用系統服務器地址、端口隱藏在網關后,使之不被掃描發現。
●動態的訪問控制:基于4A統一認證平臺身份權限,構建了最小化接入權限后,再基于環境、行為、威脅等多維屬性進行更細粒度的動態訪問控制。
●持續的信任評估:持續信任評估是零信任體系從零開始構建信任的關鍵手段。在訪問的過程中實時持續的進行信任評估和安全檢查,基于風險建模和信任評估模型,對用戶的權限進行動態調整。
●終端標準化安全防護:終端接入之后,啟用端到端的立體防護、主動防御能力,加強終端安全防護、運維支撐、防泄密等方面管理。
業務價值與方案優勢
依托業界先進的零信任安全理念,運用動態的細粒度訪問控制技術、網關隱身單包授權協議、可靠的終端安全管控功能,模塊化的平臺架構和開放的架構體系,實現用戶動態按需授權訪問,確保接入企業的接入用戶可信、終端可信、網絡可信、服務可信。
為運營商打造統一的終端安全管理中心、統一的安全策略管理中心、統一的應用系統發布中心、統一的端管云安全運維中心。運營商安全系統架構從網絡中心化走向身份中心化。
代表客戶
中國電信江蘇分公司。
02
運營商數據交換通道安全解決方案
需求背景
基于合規和安全需要,運營商普遍對網絡進行了安全區域劃分和邏輯隔離。通常分為BOSS區域(業務運營支撐系統區域)、辦公區域、訪客區域等,其中BOSS區域是安全等級最高,也是安全控制的重點保護區域,對所有進出該區域的軟件、數據、信息流都需實施嚴格的管控,確保該區域是安全、可信和可控。
BOSS系統涉及“計費及結算”、 “營業與帳務”、“客戶服務”等各種重要系統,其數據不可避免的存在流轉需要,一旦重要數據交換非授權離開高等級區有泄密的風險。部分省份運營商選擇搭建VDI桌面保護業務數據,但缺少VDI桌面之間流轉或提數至辦公網終端的通道;其他省份運營商則在省/市公司搭建了FTP服務器用于兩網間數據取數,但對FTP通道缺乏相應安全保護。
解決方案
以聯軟科技UniNXG網間數據交換系統為基礎的《運營商數據交換通道安全解決方案》從管理和服務兩個方面達到運營商行業隔離網絡數據交換“可控、可審、可管”的目標。
●通道安全性:同時跨接兩個不同級別的安全區,維持原有隔離網絡的隔離性,避免被作為外部入侵的跳板。并對交換的文件內容,自動審計、病毒掃描;
●可信數據交換:高等級區進行數據交換可強制開啟審批,提供豐富的審批流程。同時支持對交換的文件內容敏感性掃描;
●易用性高:網盤式操作體驗,劃分不同管理角色,分別進行事中控制和事后追溯。
業務價值與方案優勢
滿足監管機構的相關要求,更能使得運營商數據交換通道的管理水平上升到更高層次。做到權限可控,強制審批,審計追溯等功能,有效解決從BOSS區域取數的安全風險。
代表客戶
中國移動安徽分公司。
03
運營商移動化安全管理解決方案
需求背景
隨著移動互聯網的發展,為了提高員工辦公的體驗和提高辦公效率,運營商已經開展以移動辦公(如天翼助手、移動OA等)、創新業務(如智慧營維、翼運維等)等多種依托互聯網、移動互聯網的應用。每個移動業務都需要開放相應的互聯網訪問端口提供訪問,隨著應用的增加,其移動業務的互聯網暴露面也隨之增加,安全風險不斷加大。
遵循集團規范《中國電信互聯網暴露面網絡安全管理辦法》(中電信網安〔2019〕26號文),及《中國電信IT 安全保障體系建設規范v3.0》,需要從整體出發全方位的去建設電信移動信息化。
解決方案
以聯軟科技UniEMM移動安全管理系統為基礎,圍繞終端、傳輸、服務和管理等多方面,滿足運營商認證、授權、審計、賬號安全管理等完整的4A安全體系,建設互聯網應用網關,提供APP應用的統一入口,降低互聯網暴露面,提升集約防護能力。
●安全網關:應用層VPN,支持將安全應用的HTTP/HTTPS請求封裝轉發到防火墻內的業務系統。斷線可自動重連,解決傳統VPN在網絡切換、網絡狀況不穩定情況下的掉線、重新撥號的麻煩;
●安全門戶:支持對接運營商4A平臺,門戶及所有APP可使用同一賬號進行登錄,且賬號只需輸入一次。
●免密登錄:讀取SIM卡信息,無需賬戶密碼登錄門戶及應用。
●應用快速改造:企業原生應用通過“修改一行代碼完成改造”,即可調用安全SDK加入安全特性(加密存儲、加密隧道、安全掃描等),將原有業務快速向移動端遷移改造。同時支持安卓與蘋果系統。
●安全獨立的工作區:采用的沙箱技術很好的將企業數據和個人數據完全隔離,所有的企業應用和數據都存儲在受保護的安全工作區內,避免非法存取企業數據;提供安全閱讀工具保障企業文檔安全使用無需調用第三方閱讀應用;提供專利級水印技術對移動業務數據進行防護,降低無意識泄密的概率,同時可以對數據泄密事件提供追溯手段。
●日志報表:控制端可記錄并展示管理員的操作、時間和結果,設備的違規事件,執行策略、攔截事件和日常事件等。
業務價值與方案優勢
滿足集團安全檢查,保護內網業務服務器,隱藏業務IP與端口。保證移動智能終端使用應用級VPN隧道接入,安全通道建立用戶無感知,與個人應用隔離。業務數據加密存儲,水印防擴散。通過提供安全隧道SDK、安全內容SDK做運營商自建門戶的保護。
代表客戶
中國電信安徽分公司、中國電信湖南分公司等。
更多信息請點擊:聯軟科技 - 平臺級網絡與信息安全管控專家 (leagsoft.com)