美食

内网安全管控成运营信息安全必须手段0

2019-05-06 10:13:31来源:励志吧0次阅读

近日,中国移动信息安全管理部技术支持处处长冯运波在某公开场合,谈到了中国移动利用技术手段对客户信息加强保护的思考。为了加强客户信息安全,中国移动的各个部门已经陆续出台了相关办法。比如络部发布了《客户信息安全保密规定》,市场部发布了《五条禁令》,业务支撑系统部也发布了《数据安全管理办法》等。可以说,信息安全管理已成客户信息保护的关键问题。

在内安全体系建立方面,冯运波指出,中国移动下发了三大IT络安全域规范。通过划分安全域等安全手段,对每个域实施不同安全等级、不同域之间分层次、分等级的安全防护。中国移动还加强了内部安全防护体系的建设,包括上行为管理系统、漏洞扫描等多种防护手段。

此前,中国各大运营商对内信息安全管理工作也都非常重视,他们已经采取不同的手段和方法进行了系统管理。广西移动、贵州移动、湖南移动、陕西联通、重庆联通、山东电信等各地方运营商,都已经选择利用部署上行为管理设备和流量管理设备的方式解决内部络信息安全管理问题。

划分络等级用户组

冯运波认为,由于在运营商内部涉及到客户信息的系统非常多,各个信息平台中存在大量客户信息,这些信息很有可能在合作伙伴人员、内部人员进行系统操作时泄密。

目前,中国移动一共划分了五个等级的安全区域,包括公共区、半安全区、核心安全区、安全区和内部业务区,每个不同等级的安全域之间,都使用了防火墙进行隔离。同时根据安全域的划分规范,明确安全域的技术要求和设备要求,并根据等级保护的要求,确定安全域的威胁等级和保护等级。

据了解,内安全首先需实现内部和外用户身份的有效识别,同时还需进行流量分析和控制。在具体操作中,以贵州移动和云南移动为代表的运营商,在防止外用户访问内服务器时,均采用了划分不同用户组的方式,以防止第三方或者非授权的终端进入到内部办公OA系统络或BOSS络。

围绕移动运营商,目前已有大量的第三方代维人员需要长期驻守在机房,或在出现突发情况后,由第三方代维人员进行远程调试。以云南移动为例,他们充分利用上行为管理设备和流量管理设备,解决了该省公司第三方代维人员(厂商)的安全接入和权限管理问题。

云南移动认为,以往使用IPSEC VPN接入时,通常为了安装调试接入VPN软件花费大量时间,延误了应急的时间北京seo公司
,而且由于IPSEC VPN属于三层技术,使用IPSEC VPN的用户还可以在接入运营商内后,访问其他资源不受限制。而使用SSL VPN之后,第三方厂商人员无需长期守在机房,仍可时间接入移动运营商内部络进行设备维护。

云南移动的某负责人表示,SSL技术的优越性使得接入运营商内的用户限制在某个固定的IP和应用。这样,既能保证内部络资源不被其他人员任意窃取,又能在特殊时刻满足外用户使用内的安全性要求。

实现内部用户上行为管控

据了解,目前企业主要存在的上情况大致包括三个方面。一是企业内用户人数较多,上行为泛滥造成员工工作效率受到严重影响;二是一些内用户访问色情、迷信、赌博等类型的站,给企业带来一定的安全隐患;三是在络使用高峰期时,内用户的P2P、流媒体等应用会造成一定的络拥塞,影响正常办公与应用。

以上三种现象,在运营商内部也时有发生,因此,运营商相关部门需要使用络管理手段限制员工与工作无关的上行为。在这点上,湖南移动通过在办公的总出口处部署双机热备的方式,利用上行为管理设备内置的应用识别库,将所有员工在上下午上班和休息的时间分为四个时间段,并对每个时段分别发生的上数据进行分析和审计,同时针对具体的IP地址和应用类型,进行严格的流量控制和审计。

在对全员工进行了封堵P2P、P2P流媒体和文件下载等应用测试后,湖南移动根据具体情况,制定了不同时间段的不同管理策略,实现了差异化管理。据了解,这种方式的管控,共涉及湖南移动省公司所有部门和该省分公司14个地州市所有人员约2万人。实施差异化管理后,湖南移动有效地减轻了络应用对带宽的压力,提高了带宽使用率和核心业务的带宽保障。

深信服科技副总裁张开翼认为,作为运营商系统大规模部署上行为管理的典型用户之一,湖南移动通过上行为管理方案实现了对全省办公的集中管控,既保障了核心应用的带宽,又洞悉了络的使用状况,为制定IT决策提供了有利依据。

推动4A集中管控系统

冯运波表示,中国移动正在推动全4A系统工程,该工程实施后,可将当前所有涉及客户信息的系统均纳入4A系统的集中管控。

4A系统主要用来加强系统安全的事前、事中和事后控制,即统一用户管理、统一用户认证、统一授权,以及统一审计和访问控制,实现统一的账号管理,保证所有进入后台系统的访问都必须通过4A系统进行集中的控制。目前,中国移动正在进行分省、分系统、分专业地推动4A系统的建设。

冯运波介绍说,在4A系统实施过程当中,首先是建立一个堡垒主机,所有用户在进行集中认证后,才能继续访问后台资源。后台的资源可以有各种各样的登录工具,而所有的操纵行为均通过防控关保存到内的日志服务器。这样,可以对维护人员北京品牌策划公司
,特别是第三方的代维人员进行统一的接入访问控制,在系统上的所有操作也均可在事后进行审计。

张开翼则表示,在运营商的4A系统建设中,深信服通过创新的单点登陆技术实现与4A系统的紧密关联,获得了客户的高度认可。

分享到: