近日,中國移動通信集團內蒙古有限公司(以下簡稱“內蒙古移動”)與北京明朝萬達科技有限公司正式簽約,應用Chinasec(安元)可信網絡安全平臺為內蒙古移動打造個性化內網管理信息系統,以規范的內網安全管理流程,實現集團數據信息精細化管控。通過信息化的應用,幫助內蒙古移動的內網管理走出一條真正的創新之路。
企業概況
中國移動通信集團內蒙古有限公司(以下簡稱“內蒙古移動”)成立于1999年9月,全面負責自治區境內“139、138、137、136、135、134”及“159、158”國家公眾移動電話網的發展規劃、建設維護和經營服務。公司運營管理各項工作取得了可喜業績:截止到2006年底,交換機總容量達到900萬門,基站達到4000多個,與206個國家和地區的271個運營公司開通了國際漫游業務;客戶規模不斷壯大,為自治區經濟社會發展做出了積極貢獻。
信息現狀
隨著業務支撐網的快速發展,內蒙移動業務支撐網積累和掌握了大量的客戶信息、生產數據和運營信息等,并具備了將數據及時、準確地提供給公司領導和相關部門的能力。隨著內蒙移動的發展,人員數目的不斷增加,內蒙移動在移動大樓各營業網點都有辦公場地。這些辦公場所涉及到的人員眾多,都能夠連接核心業務支撐網各核心業務系統,包括BOSS、經營分析等,這些數據被分散到了各終端上;內蒙移動業務支撐網各應用系統涉及數據的使用、維護、查詢、測試等各個方面,具體有BOSS、BOASS、客服、企業QQ、企業郵箱、企業網站、防病毒系統等等,而應用軟件更是五花八門。
面臨風險
內蒙移動僅對內外網絡進行了劃分,對內部網絡卻沒有進行進一步的劃分,所有的核心服務、應用、終端都混雜在一起進行管理。業務網和外網可以進行隨意的數據交換,各第三方廠家在單位內部也未進行過多防護,模糊的信息安全區域劃分導致無法有效地對核心的數據進行保護。
信息化動因
為了防范這些安全隱患,保護核心數據安全,規范內網管控,內蒙古移動決定尋求一種內網管理創新模式。公司不希望內部資料離開內部的網絡環境,甚至不允許在網絡外部傳遞與交流,但現代組織不能拒絕互聯網的交互,不能將機構封閉在一個信息孤島。員工在隨意上傳下載和傳遞網絡中的文件的同時,可能會把許多重要信息流通互通,甚至流到網絡外部,從而使重要的知識產權受到嚴重侵害。知識產權的保護需要依靠法律和行政手段進行規范和管理,同時也需要利用必要的技術手段輔助實現知識產權保護的可管理性。從管理和技術兩個層面杜絕機密信息的泄漏,才是解決問題的根本辦法,才能防患于未然。
信息化應用
在內蒙古移動為期近一年的精心調研與選型中,Chinasec(安元)以高安全性、高可靠的整體解決方案,最終在國內眾多廠商激烈競爭中脫穎而出,中標此大型移動項目。Chinasec(安元)的專家團隊通過多次對內蒙古移動的深入調研,針對內蒙古移動遇到的內網安全問題,結合其他運營商客戶的服務經驗,最終提出了一份適合內蒙古移動的內網信息化改造方案。
移動業務支撐網核心數據最終泄密的途徑是分散在各地的終端上產生的,因此主要針對的對象是使用業務支撐網核心業務系統的終端。總體思路圍繞數據在終端的存儲、傳輸、交換過程風險點做為依據,以環境保護的方式,對能夠訪問業務系統中數據的終端進行保護。采用了磁盤加密、外設控制、移動存儲管理、網絡傳輸控制四個關鍵技術,對終端進行全方位的控制,數據只能夠在終端本地使用,無法將數據隨意外帶,需要外帶時必須經過特定人員審批。
根據業務支撐網使用角色的不同對數據的保護提出了不同的解決方案。Chinasec(安元)可信網絡安全平臺將業務根據使用角色的不同劃分為三個安全等級保密子網(VCN),既使用、運維、開發。同一個保密子網內部的計算機可以實現相互自由的數據交換(通過網絡或者存儲設備),不在同一個保密子網內部的計算機相互之間不能進行正常的數據交換,除非獲得管理員的授權。通過保密子網的劃分,可以在保障網絡統一維護的前提下,對單位內部不同職能部門實現有效的數據隔離,增加了內網安全級別,降低安全風險。通過保密子網,還可以有效防止非法外連或者非法接入。
Chinasec(安元)采用了非常靈活的管理方式,在Chinasec(安元)可信網絡安全平臺的設計理念里面,所有的控制對象都是一種資源。如:計算機系統本身就是一種資源,計算機里面的各種外設、硬盤、程序、端口和文件等,而服務器系統本身也是資源。Chinasec(安元)可信網絡安全平臺的系統對所有這些有價值的資源都進行控制,采用了授權使用、違規記錄及審計等多種手段結合,確保了所有資源的可控性,從而提高了內網信息系統的安全性和可管理性。管理員在制定策略的時候,可以制定不同狀態下的策略,受控客戶端就會根據其狀態自動啟用相應狀態的策略,從而實現靈活的控制。
應用價值
Chinasec(安元)可信網絡安全平臺根據數據在終端泄密的途徑,以數據為中心,以風險為驅動;分析實際的管理模式和業務流程,評估存在的數據泄漏風險,并在此基礎上整合所需的安全組件和客戶現有業務系統,提供針對性的解決方案,改進和規范客戶的數據風險管理體系。在統一的產品平臺下,實現復合型的管理與保密功能,不會產生子功能間相互干擾與影響的情況,保證終端穩定運行,從多個角度提升數據保護力度;從下線風險角度來考慮,因為方案是基于環境來進行控制,公司可以在短期之內迅速解除對環境的控制措施,對廠家的依賴性與數據加解密風險較低。
此次應用Chinasec(安元)可信網絡安全平臺對內蒙古移動內網進行全面管理,在大幅提高工作效率與數據安全保障的基礎上,實現事前控制到事中監視與事后審計,從粗放管理向精細管理的職能轉變。信息主管部門將實現利用透視全局架構的優勢,協助管理層制定不同狀態下的策略,規范控制管理流程,持續改進業績,創造企業價值的最大化。
