【51CTO.com综合报道】日前,中国移动全资子公司佛山移动公司与国内领先的数据安全厂商北京明朝万达科技有限公司正式签约,共同建设数据安全管理系统。双方希望借助Chinasec文档安全解决方案的实施与应用,建立一个完整、高效的信息化管理平台,实现对现有各分支机构、业务模式集中、全面、有效的管控,以管理技术和手段创新,持续提升企业竞争实力。
信息现状
随着全面信息化时代的到来和佛山移动业务支撑网的快速发展,对于佛山移动自身来说,业务支撑网包含了很多重要的信息资料,如业务支撑网积累和掌握了大量的客户信息、生产数据和运营信息等。由于佛山移动的核心目的是通过网络技术来加快人与人之间信息化交流,因此目前佛山移动的IT建设相对超前与其他行业,建设了包括BOSS系统、bomc系统、客服系统等,此类系统统称为业务支撑系统。由于每个系统所关注的业务角度不同,因此其涉及到的人员也有所不同。在此基础上,每个系统的人员又根据‘使用环节’和‘运维环节’而定义出不同的工作形态。目前佛山移动的业务网络相对其他行业而言比较复杂。
需求分析
通过对佛山移动的调研,针对佛山移动目前面对的一系列数据安全问题对佛山移动整体的需求整理如下:
1、体系基本需求
对佛山移动内使用的数据本着“区域内透明,区域外保护”的要求进行防护,同时“尽量不改变现有的工作模式” 能够兼容运营商的业务系统并能够适应实际工作流程,不会在使用增加不必要的环节。最终“尽量不影响现有的工作效率”尽量体现保密过程中的人性化,在操作的过程中保持人性化符合用户的使用习惯。
2、核心系统保护需求
针对佛山移动的数据使用流程具备如下的核心需求
·用户身份集成:佛山移动具备4A平台,管理系统与AD、LDAP服务器中的组织结构进行同步,进行身份认证结合,并可以灵活的修改用户组织结构。
·敏感数据集中管理:在核心业务系统中流转的重要数据无法从系统中导入到非授权终端,并且可以根据策略对指定的数据进行加解密操作,对授权用户只能在线的情况下对权限内使用的文件进行透明加解密。
·文档权限管理:对使用文档进行权限属性设定管理,可以针对不同的密级标识和不同的使用人员设置基于操作权限,以及使用权限上的不同控制。
·日志记录追踪:对于在线和离线的终端计算机上的文件操作,行为操作,系统操作应有详细的日志记录;对于系统管理员,审计管理员的操作日志分别记录。
3、系统管理需求
系统管理至少包括终端管理、用户管理、加解密管理、授权管理、离线管理、日志管理。并且系统定义三种角色,分别为系统管理员、文档管理员和审计管理员。
解决方案
针对佛山移动文档安全为主的各类风险情况,采用了应用保护系统做为建设核心。为MBOSS系统提供全面的安全防护 ,抑制用户在使用应用系统过程中存在的数据泄密风险。防止MBOSS数据在客户端被非法扩散保护这些数据的安全。并且对于MBOSS服务器后台数据进行安全防护,防止非友好用户直接通过服务器获取敏感数据。对于用户下载的数据系统支持加密文件的权限管理。
从上图分析,应用保护系统以插件的形式安装在各应用系统使用终端上,当访问应用系统时由客户端插件进行下载加密,并且采取权限控制的策略,数据不能够随意的复制和外带。对应用保护系统能够有针对的进行保密,数据保存在服务器时可以明文或密文存在。
基于佛山移动目前已建立了身份认证体系,可以将用户身份体系自动同步到文档安全管理平台中,安全管理系统通过已有的身份体系对BOSS系统中的数据进行权限管理。
文档权限管理是文档保密体系中的核心,文档权限管理包含权限属性定义(只读权限、编辑权限、拷贝权限、截屏权限、带水印打印权限、脱密权限、离线权限、时间权限、次数权限)、策略定义(包含在线和离线的两种状态)、权限库设计几个环节。
在数据需要被外带时通过文件审批管理功能进行文件外带,发起人需要将文件外带时则可对文件请求审批,文件将会被自动流转到审批人处,审批人可查看该文件如确定可以进行文件外发则文件自动流转到发起人处,当审批人认为该文件不符合数据外带请求时可拒绝发起人的要求。系统还提供多级审批,多流程审批等方式。同时还提供了数据的跟踪和审计功能。数据在审批完以后会自动将文件进行保存或者将文件名保存,并传到日志服务器上,提供后期查询。
在日常办公过程中创建者当发现某文件属于重要文档,需要给指定人员使用时可以手动对文件进行加密,在文件手动加密过程中,可以对文件的使用人、使用权限进行设置,并且可以设定文件的秘级为秘密、机密、绝密等不同的涉密等级。这样数据在流转的过程中可以有效的保护核心数据的安全,即使电脑丢失或者被他人窃取数据也无法获取价值信息。
效果和特点
Chinasec文档安全方案基于应用数据保护、文档权限管理、身份认证、全面审计4方面来综合体现方案的完整性和多元性,切实保护了MBOSS系统内部文档的数据安全和权限管理;使用加密技术实现对文档权限的使用,并实时记录文件的使用情况,提供文档日志审计手段,严格预测信息安全事件发生,提高安全管理水平;为日常管理和维护计算机中的文档提供持久的安全性和控制,既能保证信息的安全,又能达到对文档进行统一安全管理的效果。
Chinasec产品在使用过程中对敏感数据的识别更具针对性,只针对于boss上的数据进行数据保密,与文档格式无关。安全管理更趋灵活,系统提供文档权限管理、审批管理、日志管理等多种管理手段。高度的“业务相关性”和“技术无关性”,与所保护的应用系统紧密相关,保护应用系统内数据线上、线下安全,除所保护的应用系统外的其他数据均不受影响,但所采用的技术与具体应用系统类型无关,兼容所有的应用系统。用户管理更丰富,支持AD、数字证书用户,还支持与应用系统身份系统进行集成,提供更丰富的用户管理体系。
部署架构图
此次佛山移动与明朝万达的成功合作,再次证明了Chinasec数据安全产品在设计理念、应用技术上的先进性和适用性;也证明了Chinasec基于平台化的高端产品构建体系已得到电信数据安全市场的充分认可。佛山移动以信息化建设巩固其在电信行业领导地位。
