【51CTO.com綜合報道】近日，肇慶移動正式與明朝萬達展開合作，部署內網安全解決方案，憑借chinasec（安元）產品強大的安全性和領先的技術優(yōu)勢，實現內網安全管控，提高辦公效率。

中國移動通信集團廣東有限公司肇慶分公司成立19年來，建立起了覆蓋全市的高質量通信、營銷、服務網絡，服務日臻完善，客戶規(guī)模不斷擴大，成為廣東電信市場的重要力量。目前，公司的服務、營銷和基站網絡等遍布各地，下設四會、高要、廣寧、懷集、封開、德慶等6家分公司，基站300多個。

隨著信息化不斷發(fā)展和提高，肇慶移動目前已建立了不少業(yè)務應用系統，給日常的信息的處理和傳遞提供了極大的便利。其中，以CMP系統使用尤為重要，目前急需保護的為CMP系統導出的數據。

目前CMP系統存在的風險主要表現在以下幾個方面：

·機密數據下載到本地以后，病毒或木馬入侵竊取重要重要機密信息；

·使用人員安全意識缺乏帶來的數據遺失風險，未將重要數據刪除或者安全處理，還保留著重要信息在公共計算機；；

·重要文件使用人員惡意將集中數據大量泄密的風險；

·在移動辦公時使用環(huán)境存在安全隱患，存在各種安全風險，間接導致數據泄密；

需求分析

通過對肇慶移動的調研，針對肇慶移動目前面對的一系列數據安全問題對肇慶移動整體的需求整理如下：

1、體系基本需求

對肇慶移動內使用的數據本著“區(qū)域內透明，區(qū)域外保護”的要求進行防護，同時“盡量不改變現有的工作模式” 能夠兼容運營商的業(yè)務系統并能夠適應實際工作流程，不會在使用增加不必要的環(huán)節(jié)。最終“盡量不影響現有的工作效率”盡量提現保密過程中的人性化，在操作的過程中保持人性化符合用戶的使用習慣。

2、核心系統保護需求

針對肇慶移動的數據使用流程具備如下的核心需求

·與PORTAL系統集成

為更好的和現有業(yè)務流程融合，加密系統應該能和現有Portal賬號系統進行集成，使用Portal賬號即可登陸加密系統。

·業(yè)務系統文檔加密管理

為了有效的防止重要業(yè)務系統的數據泄密，要求從CMP系統中下載下來的數據全部為加密狀態(tài)：

·文檔權限控制管理

為了有效保障文檔在使用過程中的安全性，防范各種非法手段獲取重要文檔信息，在具體的文檔使用過程中應該可以設置對文檔的權限具體包括以下幾個方面：

·加密文件的權限控制

從應用系統下載的受控文件，可根據策略進行只讀、編輯、另存、打印、拷貝、防截屏/錄屏、水印、脫密、時間、打開次數等訪問權限控制；

·加密文件離線管理

根據不同權責的部門，對受控文件進行離線管控，可以設置“離線允許使用”和“離線禁止使用”；

·文件外帶審批

當需要外發(fā)受控文件時，用戶主動發(fā)送外帶申請到審批者，審批后，實現安全外帶的目的。其中外帶文件時，申請者和審批者可以根據需要修改外帶文件權限，更靈活的滿足了文件權限控制。外帶文件可以是明文，也可以是加密受控文件。

·文件外帶權限控制

文件外帶的控制，由審批者進行外帶申請，由審批員進行權限控制/修改，根據業(yè)務工作需要可以進行外帶文件的只讀、編輯、另存、打印、拷貝、錄屏、水印、脫密、時間、打開次數等訪問權限控制；且外帶方式可以脫密成明文帶出，也可進行打包外帶

解決方案

在肇慶移動的應用中，主要的安全隱患是有權限的員工在訪問CMP系統時，將獲取到內部的核心數據保存在本地或者通過其他各種方式存儲在本地，而產生的安全隱患。同時需要重點考慮的是只要求對訪問內部系統的數據進行防護，對其他的信息不允許進行任何干預，因此，方案的核心是以業(yè)務系統為目標，通過加密、控制、審計、管理等技術手段形成整體的安全防護體系，幫助用戶形成的數據風險管理體系。

Chinasec應用系統實現對應用系統數據保密方案，主要實現對應用系統中正文和附件進行相關的控制和加密，防止應用系統的數據隨意流失，并且采用獨特的技術區(qū)分應用系統和本數據，和文件格式以及創(chuàng)建文件程序無關，集成了用戶和終端的兩種管理模式，對應用系統的數據進行加密、授權、審批一系列的管理。

（1） 應用方式如圖所示：

從上圖分析，應用保護系統以插件的形式安裝在各應用系統使用終端上，當訪問應用系統時候由客戶端插件判斷該地址是否加密，符合規(guī)則的則進行下載加密，并且采取權限控制的策略，數據不能夠隨意的復制和外帶。應用保護系統能夠針對只需要保密的，而對其他的數據不做任何干預，當數據保存在服務器時候可以明文或密文方式存在。

（2） 權限控制如下圖所示：

方案效果

基于Chinasec可信應用保護系統而設計的數據保密方案可以實現以下效果:

1、提高了服務器的登錄安全級別，對于訪問者的身份和權限進行認證，過濾非法訪問請求；

2、對于數據在使用過程當中（存儲、內部傳輸、介質交換、向外發(fā)送）實現了全方位的加密與審批保護，對數據的生存環(huán)境進行了有效控制；

3、對于敏感和違規(guī)的操作行為進行報警和記錄，并生成日志。同時支持將日志導入到數據庫中，結合日志查看程序，按照需要生成自定義報表；

4、其于不同的角色來配置策略、制定管控力度；

方案優(yōu)勢

·對敏感數據的識別更具針對性

不是以某種類型數據保密為出發(fā)點，而是針對用戶應用系統內的數據進行保密，與文件格式無關，支持所有文件格式加密，所需保護的數據針對性強。

·安全管理更趨靈活

系統提供文檔權限管理、審批管理、日志管理等多種管理手段，通過組合各種管理手段，更有效的對應用系統內文檔權限（閱讀、更新、打印、復制、另存等）、數據交換（與外界的數據交互）、數據操作（創(chuàng)建、復制、刪除等）等方式進行多維度管理。

·分布式加解密技術，降低單點風險，提高處理效率

采用先進的“分布式加解密技術”，支持數據加解密動作既可以在終端完成，又可以在服務器端完成，降低數據風險，提高系統運行效率。

·高度的“業(yè)務相關性”和“技術無關性”

與所保護的應用系統緊密相關，保護應用系統內數據線上、線下安全，除所保護的應用系統外的其他數據均不受影響，但所采用的技術與具體應用系統類型無關，兼容所有的應用系統。

·用戶管理更豐富

不僅僅支持AD、數字證書用戶，還支持與應用系統身份系統進行集成，提供更豐富的的用戶管理體系。

·協議無關性和良好的擴展性

與應用系統所使用的具體協議無關，無論應用系統采用的是http協議，還是https、smtp或其他協議，均無需進行二次開發(fā)，實現與應用系統的無縫結合，具有良好擴展性。

Chinasec內網安全管理解決方案的安全性、穩(wěn)定性、易用性均得到高度認可。通過解決方案的部署，杜絕內部安全隱患，極大保障了肇慶移動日常業(yè)務的正常開展。