【IT168 案例】近日，肇庆移动正式与明朝万达展开合作，部署内网安全解决方案，凭借chinasec(安元)产品强大的安全性和领先的技术优势，实现内网安全管控，提高办公效率。

　　中国移动通信集团广东有限公司肇庆分公司成立19年来，建立起了覆盖全市的高质量通信、营销、服务网络，服务日臻完善，客户规模不断扩大，成为广东电信市场的重要力量。目前，公司的服务、营销和基站网络等遍布各地，下设四会、高要、广宁、怀集、封开、德庆等6家分公司，基站300多个。

　　随着信息化不断发展和提高，肇庆移动目前已建立了不少业务应用系统，给日常的信息的处理和传递提供了极大的便利。其中，以CMP系统使用尤为重要，目前急需保护的为CMP系统导出的数据。

　　目前CMP系统存在的风险主要表现在以下几个方面：

　　• 机密数据下载到本地以后，病毒或木马入侵窃取重要重要机密信息;

　　• 使用人员安全意识缺乏带来的数据遗失风险，未将重要数据删除或者安全处理，还保留着重要信息在公共计算机;;

　　• 重要文件使用人员恶意将集中数据大量泄密的风险;

　　• 在移动办公时使用环境存在安全隐患，存在各种安全风险，间接导致数据泄密;

　　需求分析

　　通过对肇庆移动的调研，针对肇庆移动目前面对的一系列数据安全问题对肇庆移动整体的需求整理如下：

　　1、体系基本需求

　　对肇庆移动内使用的数据本着“区域内透明，区域外保护”的要求进行防护，同时“尽量不改变现有的工作模式” 能够兼容运营商的业务系统并能够适应实际工作流程，不会在使用增加不必要的环节。最终“尽量不影响现有的工作效率”尽量提现保密过程中的人性化，在操作的过程中保持人性化符合用户的使用习惯。

　　2、核心系统保护需求

　　针对肇庆移动的数据使用流程具备如下的核心需求：

　　• 与PORTAL系统集成

　　为更好的和现有业务流程融合，加密系统应该能和现有Portal账号系统进行集成，使用Portal账号即可登陆加密系统。

　　• 业务系统文档加密管理

　　为了有效的防止重要业务系统的数据泄密，要求从CMP系统中下载下来的数据全部为加密状态：

　　• 文档权限控制管理

　　为了有效保障文档在使用过程中的安全性，防范各种非法手段获取重要文档信息，在具体的文档使用过程中应该可以设置对文档的权限具体包括以下几个方面：

　　加密文件的权限控制

　　从应用系统下载的受控文件，可根据策略进行只读、编辑、另存、打印、拷贝、防截屏/录屏、水印、脱密、时间、打开次数等访问权限控制;

　　加密文件离线管理

　　根据不同权责的部门，对受控文件进行离线管控，可以设置“离线允许使用”和“离线禁止使用”;

　　• 文件外带审批

　　当需要外发受控文件时，用户主动发送外带申请到审批者，审批后，实现安全外带的目的。其中外带文件时，申请者和审批者可以根据需要修改外带文件权限，更灵活的满足了文件权限控制。外带文件可以是明文，也可以是加密受控文件。

　　• 文件外带权限控制

　　文件外带的控制，由审批者进行外带申请，由审批员进行权限控制/修改，根据业务工作需要可以进行外带文件的只读、编辑、另存、打印、拷贝、录屏、水印、脱密、时间、打开次数等访问权限控制;且外带方式可以脱密成明文带出，也可进行打包外带

　　解决方案

　　在肇庆移动的应用中，主要的安全隐患是有权限的员工在访问CMP系统时，将获取到内部的核心数据保存在本地或者通过其他各种方式存储在本地，而产生的安全隐患。同时需要重点考虑的是只要求对访问内部系统的数据进行防护，对其他的信息不允许进行任何干预，因此，方案的核心是以业务系统为目标，通过加密、控制、审计、管理等技术手段形成整体的安全防护体系，帮助用户形成的数据风险管理体系。

　　Chinasec应用系统实现对应用系统数据保密方案，主要实现对应用系统中正文和附件进行相关的控制和加密，防止应用系统的数据随意流失，并且采用独特的技术区分应用系统和本数据，和文件格式以及创建文件程序无关，集成了用户和终端的两种管理模式，对应用系统的数据进行加密、授权、审批一系列的管理。

　　(1) 应用方式如图所示：

　　从上图分析，应用保护系统以插件的形式安装在各应用系统使用终端上，当访问应用系统时候由客户端插件判断该地址是否加密，符合规则的则进行下载加密，并且采取权限控制的策略，数据不能够随意的复制和外带。应用保护系统能够针对只需要保密的，而对其他的数据不做任何干预，当数据保存在服务器时候可以明文或密文方式存在。

　　(2) 权限控制如下图所示：

　　方案效果

　　基于Chinasec可信应用保护系统而设计的数据保密方案可以实现以下效果:

　　1、提高了服务器的登录安全级别，对于访问者的身份和权限进行认证，过滤非法访问请求;

　　2、对于数据在使用过程当中(存储、内部传输、介质交换、向外发送)实现了全方位的加密与审批保护，对数据的生存环境进行了有效控制;

　　3、对于敏感和违规的操作行为进行报警和记录，并生成日志。同时支持将日志导入到数据库中，结合日志查看程序，按照需要生成自定义报表;

　　4、其于不同的角色来配置策略、制定管控力度;

　　方案优势

　　对敏感数据的识别更具针对性

　　不是以某种类型数据保密为出发点，而是针对用户应用系统内的数据进行保密，与文件格式无关，支持所有文件格式加密，所需保护的数据针对性强。

　　安全管理更趋灵活

　　系统提供文档权限管理、审批管理、日志管理等多种管理手段，通过组合各种管理手段，更有效的对应用系统内文档权限(阅读、更新、打印、复制、另存等)、数据交换(与外界的数据交互)、数据操作(创建、复制、删除等)等方式进行多维度管理。

　　分布式加解密技术，降低单点风险，提高处理效率

　　采用先进的“分布式加解密技术”，支持数据加解密动作既可以在终端完成，又可以在服务器端完成，降低数据风险，提高系统运行效率。

　　高度的“业务相关性”和“技术无关性”

　　与所保护的应用系统紧密相关，保护应用系统内数据线上、线下安全，除所保护的应用系统外的其他数据均不受影响，但所采用的技术与具体应用系统类型无关，兼容所有的应用系统。

　　用户管理更丰富

　　不仅仅支持AD、数字证书用户，还支持与应用系统身份系统进行集成，提供更丰富的的用户管理体系。

　　协议无关性和良好的扩展性

　　与应用系统所使用的具体协议无关，无论应用系统采用的是http协议，还是https、smtp或其他协议，均无需进行二次开发，实现与应用系统的无缝结合，具有良好扩展性。

　　Chinasec内网安全管理解决方案的安全性、稳定性、易用性均得到高度认可。通过解决方案的部署，杜绝内部安全隐患，极大保障了肇庆移动日常业务的正常开展。