头部文件

解决方案

行业
敏捷网络
云计算与数据中心
协作
移动化
平台和安全管理
无线专网

金融桌面安全解决方案

金融桌面安全解决方案

       华为桌面安全解决方案通过对终端准入控制、移动介质管理、数据隔离与保护、网络访问控制、终端安全管理、文档权限管控、文档与数据的共享管理、分策略细粒度审计等安全手段进行综合规划,达到“数据防泄密,行为可审计,策略集中管理”的内网信息安全管控目标。从而帮助金融行业客户构建体系化、全方位的信息安全管理和技术体系,为业务发展保驾护航。

1.需求与挑战

       在国内,金融机构信息安全虽然经过多年建设,但大多集中于防火墙、IPS(入侵防御)、IDS(入侵检测)等防范外部威胁的网络边界安全产品。随着金融机构信息量爆炸式增长和信息价值提升,因内部信息管控缺失造成的信息安全事件正在不断涌现。以银行为例,如今大部分银行系统都发展到全国联网,电子银行业务如单人临柜制、金融综合网、网上银行服务、电子支付、金融票据电子化等发展迅速,由此带来银行总部对下属机构的内部网络风险不太容易控制。员工非法上网导致PC感染病毒并传播至整个内网、客户个人信息外泄、非法终端接入、外包员工误操作导致系统崩溃等事件时有发生,对银行造成了不可估量的损失。通过分析近年来发生在金融机构的一系列内部信息安全事件,我们归纳出金融机构正面临如下内网信息新风险:


图1 金融机构内网信息安全风险分析


1) 随着金融业务移动化的发展,大量金融业务从PC终端转向移动终端。终端的类型、承载的业务、终端数据传输手段越来越多,带来了新的安全风险

2) 网络金融服务快速发展,如网上银行、银企直连、电子商务等,使金融机构网络出现开放和互联的趋势,金融机构内部终端易被攻击从而沦为入侵的跳板

3) 内部员工、IT外包、合作伙伴、供应商众多角色接入内网,终端控制难度加大

4) 金融机构分支众多、全国分散且有海量接入终端,多级分支机构、业务中心、软件开发中心导致跨地域安全策略下发和执行检查困难

       随着金融机构信息化建设的逐步深入,以网络边界防护技术为特征的传统防护策略已不足以完成全面保护金融机构信息安全的作用。金融机构在完善金融服务手段的同时,亟需有效的安全IT技术来同步提高信息安全管理能力。

2.解决方案

       华为桌面安全解决方案从桌面、文档、管理三个方面帮助广大金融机构构筑内网信息安全城堡。首先在终端侧,打破传统的PC被动防御模式,通过使用桌面远程推送的方式让桌面安全边界回收数据中心,扭转被动防范多点分布泄密的局面。对于文档则考虑安全与效率的平衡,使文档透明加解密,无感知使用。同时将所有安全策略做到集中管理,统一运维。整个方案从防泄密、敏感操作审计、集中管理三个维度,对金融机构的桌面办公终端、网络、后台进行端到端的纵深安全加固,保证金融机构业务安全运营。


图2 解决方案全景图


       如上图所示,桌面安全解决方案包含桌面云,安全沙箱,终端安全管理(TSM:terminal security management),堡垒机(统一运维审计UMA),移动办公,文档安全管理(DSM:Document Security Management),文件信息管控中心7个子系统,分别如下:


  • 桌面云:针对内网办公终端和生产终端复用,存在泄密隐患,设计桌面云子系统。一个终端对应多套虚拟机(办公、各个业务独立发放虚机,且虚拟机之间逻辑隔离),可集中管理用户桌面,数据不落在本地。同时采用的瘦终端(TC:thin client)也可对外设和存储介质进行安全管控。

  • 安全沙箱及安全数传: 在不同业务区域之间部署安全接入网关, 所有跨区访问的终端接受安全接入网关的管理和控制。当终端得到接入网关认证通过后,即可创建一个虚拟安全桌面,和本地真实桌面进行安全隔离。

  • 堡垒机(统一运维审计UMA):部署堡垒机后系统将断开操作用户与目标服务器之间的直接连接。用户对服务器的远程操作全部集中登录到堡垒机上,通过二次跳转系统将用户连接到指定服务器,实现用户对服务器资源操作管理的集中认证、集中控制、集中审计。

  • TSM:本方案可对试图访问金融机构网络资源的用户进行身份认证和强制安全认证,通过多重检查保证接入终端的安全性。对不满足需求的终端自动引导进行安全修复,而对满足需求的终端,在其接入网络后进行实时监测和审计,最大程度保障金融机构信息安全。

  • DSM:DSM系统通过分散管理用户文件,保证安全控制服务器可以高效率处理用户身份验证、存储加密数据信息等操作,极大提高每个前端单独访问服务器的速度。文件操作在用户客户端完成,使得安全控制系统可轻松应对多用户并发。

  • 文档信息管控中心: OIC文件信息管控中心基于云计算技术,能协助用户建立安全可靠、灵活可扩展的信息管控平台,建立统一数据防护体系,实现内部公开数据在线查阅可控下载、涉密数据强制加密权限细分,防止信息通过网络、计算机、移动存储介质等途径泄密。

  • 移动办公:针对金融机构员工差旅酒店、家庭或其他场所办公人员的远程接入需求,设计远程接入解决方案,员工可使用笔记本和移动设备接入内网隔离区的移动安全接入网关,并对整个过程进行SSL加密。

 3. 方案价值

       桌面安全解决方案可从终端安全控制,信息资产保护以及统一运维管理三方面全面提升金融机构内网安全管理水平。同时方案通过与等级保护、风险评估等工作接续起来,使信息安全管理更加科学有效,从而更好的服务于金融机构的业务发展。


  • 数据零泄漏:接入控制(进不来)、终端管控(拿不走)、文档加密(打不开)、数据安全(丢不了),端到端安全管控

  • 行为可审计:基于终端用户、文档使用者、运维管理员三种角色精细化审计,做到事前可威慑、事后可追溯

  • 管控更高效:桌面终端、文档、安全策略全部集中管理,运维效率提升4倍

底部文件

合作伙伴 | 联系方式 | 公司简介 | 成功案例 | 中标信息 | 行业动态

版权所有 Copyright(C)2009-2021 深圳市君和信息技术有限公司 粤ICP备14024728号