AG街机

AG街机信息技术有限公司-金融

AG街机

金融桌面安全解決方案

金融桌面安全解決方案

AG街机       華為桌面安全解決方案通過對終端準入控制、移動介質管理、數據隔離與保護、網絡訪問控制、終端安全管理、文檔權限管控、文檔與數據的共享管理、分策略細粒度審計等安全手段進行綜合規劃,達到“數據防泄密,行為可審計,策略集中管理”的內網信息安全管控目標。從而幫助金融行業客戶構建體系化、全方位的信息安全管理和技術體系,為業務發展保駕護航。

1.需求與挑戰

       在國內,金融機構信息安全雖然經過多年建設,但大多集中于防火墻、IPS(入侵防御)、IDS(入侵檢測)等防范外部威脅的網絡邊界安全產品。隨著金融機構信息量爆炸式增長和信息價值提升,因內部信息管控缺失造成的信息安全事件正在不斷涌現。以銀行為例,如今大部分銀行系統都發展到全國聯網,電子銀行業務如單人臨柜制、金融綜合網、網上銀行服務、電子支付、金融票據電子化等發展迅速,由此帶來銀行總部對下屬機構的內部網絡風險不太容易控制。員工非法上網導致PC感染病毒并傳播至整個內網、客戶個人信息外泄、非法終端接入、外包員工誤操作導致系統崩潰等事件時有發生,對銀行造成了不可估量的損失。通過分析近年來發生在金融機構的一系列內部信息安全事件,我們歸納出金融機構正面臨如下內網信息新風險:


圖1 金融機構內網信息安全風險分析


AG街机1) 隨著金融業務移動化的發展,大量金融業務從PC終端轉向移動終端。終端的類型、承載的業務、終端數據傳輸手段越來越多,帶來了新的安全風險

2) 網絡金融服務快速發展,如網上銀行、銀企直連、電子商務等,使金融機構網絡出現開放和互聯的趨勢,金融機構內部終端易被攻擊從而淪為入侵的跳板

3) 內部員工、IT外包、合作伙伴、供應商眾多角色接入內網,終端控制難度加大

AG街机4) 金融機構分支眾多、全國分散且有海量接入終端,多級分支機構、業務中心、軟件開發中心導致跨地域安全策略下發和執行檢查困難

       隨著金融機構信息化建設的逐步深入,以網絡邊界防護技術為特征的傳統防護策略已不足以完成全面保護金融機構信息安全的作用。金融機構在完善金融服務手段的同時,亟需有效的安全IT技術來同步提高信息安全管理能力。

2.解決方案

       華為桌面安全解決方案從桌面、文檔、管理三個方面幫助廣大金融機構構筑內網信息安全城堡。首先在終端側,打破傳統的PC被動防御模式,通過使用桌面遠程推送的方式讓桌面安全邊界回收數據中心,扭轉被動防范多點分布泄密的局面。對于文檔則考慮安全與效率的平衡,使文檔透明加解密,無感知使用。同時將所有安全策略做到集中管理,統一運維。整個方案從防泄密、敏感操作審計、集中管理三個維度,對金融機構的桌面辦公終端、網絡、后臺進行端到端的縱深安全加固,保證金融機構業務安全運營。


圖2 解決方案全景圖


AG街机       如上圖所示,桌面安全解決方案包含桌面云,安全沙箱,終端安全管理(TSM:terminal security management),堡壘機(統一運維審計UMA),移動辦公,文檔安全管理(DSM:Document Security Management),文件信息管控中心7個子系統,分別如下:


  • 桌面云:針對內網辦公終端和生產終端復用,存在泄密隱患,設計桌面云子系統。一個終端對應多套虛擬機(辦公、各個業務獨立發放虛機,且虛擬機之間邏輯隔離),可集中管理用戶桌面,數據不落在本地。同時采用的瘦終端(TC:thin client)也可對外設和存儲介質進行安全管控。

  • 安全沙箱及安全數傳: 在不同業務區域之間部署安全接入網關, 所有跨區訪問的終端接受安全接入網關的管理和控制。當終端得到接入網關認證通過后,即可創建一個虛擬安全桌面,和本地真實桌面進行安全隔離。

  • 堡壘機(統一運維審計UMA):部署堡壘機后系統將斷開操作用戶與目標服務器之間的直接連接。用戶對服務器的遠程操作全部集中登錄到堡壘機上,通過二次跳轉系統將用戶連接到指定服務器,實現用戶對服務器資源操作管理的集中認證、集中控制、集中審計。

  • AG街机TSM:本方案可對試圖訪問金融機構網絡資源的用戶進行身份認證和強制安全認證,通過多重檢查保證接入終端的安全性。對不滿足需求的終端自動引導進行安全修復,而對滿足需求的終端,在其接入網絡后進行實時監測和審計,最大程度保障金融機構信息安全。

  • AG街机DSM:DSM系統通過分散管理用戶文件,保證安全控制服務器可以高效率處理用戶身份驗證、存儲加密數據信息等操作,極大提高每個前端單獨訪問服務器的速度。文件操作在用戶客戶端完成,使得安全控制系統可輕松應對多用戶并發。

  • 文檔信息管控中心: OIC文件信息管控中心基于云計算技術,能協助用戶建立安全可靠、靈活可擴展的信息管控平臺,建立統一數據防護體系,實現內部公開數據在線查閱可控下載、涉密數據強制加密權限細分,防止信息通過網絡、計算機、移動存儲介質等途徑泄密。

  • AG街机移動辦公:針對金融機構員工差旅酒店、家庭或其他場所辦公人員的遠程接入需求,設計遠程接入解決方案,員工可使用筆記本和移動設備接入內網隔離區的移動安全接入網關,并對整個過程進行SSL加密。

 3. 方案價值

AG街机       桌面安全解決方案可從終端安全控制,信息資產保護以及統一運維管理三方面全面提升金融機構內網安全管理水平。同時方案通過與等級保護、風險評估等工作接續起來,使信息安全管理更加科學有效,從而更好的服務于金融機構的業務發展。


  • 數據零泄漏:接入控制(進不來)、終端管控(拿不走)、文檔加密(打不開)、數據安全(丟不了),端到端安全管控

  • 行為可審計:基于終端用戶、文檔使用者、運維管理員三種角色精細化審計,做到事前可威懾、事后可追溯

  • 管控更高效:桌面終端、文檔、安全策略全部集中管理,運維效率提升4倍

AG街机信息技术有限公司-金融

AG街机