|
中兴通讯金融信创安全办公解决方案能够全方面解决金融行业的安全诉求,主要包括如下内容: 终端安全 - 为避免金融业务系统在开发测试过程中的数据泄露,中兴通讯云电脑在终端侧有完善的接入环境检测和认证,对终端硬件特征(IP地址/MAC地址)、终端操作系统(版本号、系统补丁)及终端的USB端口等进行检测和控制,若环境不符合安全要求则不允许用户登录,USB端口一般情况下在系统后台被设置为屏蔽状态,只有经过审批后外设才可在允许的范围内接入使用。
- 中兴通讯云电脑在登录过程中,通过多因子认证进行安全鉴权,支持扫码、安全令牌、短信、帐号密码等多种方式组合认证。
- 在云电脑使用过程中,可提供防截屏和防录屏功能,并可通过屏幕明水印、暗水印等功能进行事后安全审计。
接入安全 - 在终端检测通过后,用户被允许接入系统,访问系统分配的云电脑,在接入及网络传输中,中兴通讯云电脑提供了严格的安全保障机制。自研的互联网接入网关CAG(Cloud Acess Gateway)专门用于传输协议管控,对外统一端口接入,减少公网端口数量,屏蔽其他业务转发请求;在云电脑工作过程中,本地应用无法访问互联网,以保证云电脑办公的绝对安全性,做到本地系统“办公不上网,上网不办公”;在接入网关的部署上,支持在DMZ区和内部网络部署两套网关以实现双跳接入,实现IP的双层转换。
- 采用TLS加密隧道进行数据传输,同时支持量子加密,依靠量子的随机性和不可复制性来确保数据更安全。
应用安全 - 中兴通讯云电脑提供的应用环境管控DEM(Desk Environment Management)系统,对用户使用的软件应用从源头上进行管控,创建应用黑白名单,系统只允许经DEM系统认证通过后的软件供用户下载和使用,且下载使用均可设置不同的权限范围,用户只可以安装使用有权限的应用软件。
- 系统在使用过程中实时检测应用的运行情况,对应用进行优先级保证,同时屏蔽用户使用非法应用。
- 为了保证金融业务系统研发过程中不同团队的安全高效工作,中兴通讯云电脑提供多模板设置,每个模板预置对应研发组需要的研发应用,用户申请和登录云电脑后即可直接工作,减少了繁琐的安装操作过程。
- 用户在云电脑中的数据文档资料可设置文档分级加密机制,文档的共享和外发均有审计,确保文档安全。
系统安全 - 在防病毒上,采用边界杀毒从入口就做好防护,使用无代理杀毒方案在主机侧统一防护,不需要每个用户安装杀毒软件,相较于传统杀毒模式,减少了对计算资源、网络资源和存储IO资源的消耗,在保证用户体验的同时确保用户数据安全。
- 支持金融企业不同分支机构,甚至同一机构下不同部门和团队的租户隔离。如针对不同研发组分配不同的资源组,对资源采用虚拟防火墙进行网络隔离,禁止用户跨团队访问,实现数据隔离,确保研发成果安全。
- 在数据安全上,系统支持整体和单虚拟机的备份,支持多副本及系统容灾,保证业务连续性。
方案架构图 中兴通讯金融信创安全办公解决方案在金融业务系统环境上,实现了终端的检测和接入控制,在传输上实现了加密和网络隔离,在系统侧实现了边界防护和数据隔离,在应用上实现了应用安全及权限管控。
| 
私信
