运营商用户信息安全保护解决方案

运营商用户信息安全保护背景

随着各大运营商的快速发展,其核心业务系统积累和掌握了大量用户信息和运营信息(统称为敏感数据),在营业厅以及加盟网点的业务终端上也保存着数量庞大的敏感数据,这些数据涉及到运营商的自身发展、公民隐私、国家政策等众多方面。在巨大的利益驱动下,这些敏感数据成为不法分子争抢的“香饽饽”,要么被内部人员直接出卖非法获利,要么被犯罪分子非法获取利用。

虽然近年国家已从各方面加大对电信犯罪的打击力度,但在巨大利益驱使下,各类电信诈骗案件仍然层出不穷,给运营商、给社会造成很不好的影响。针对运营商如此数量庞大、地域分散的业务终端,构建全面的敏感数据保护体系,减少由于信息泄露所带来的企业形象、竞争力、财产损失,提高客户、合作伙伴的信任度刻不容缓。

运营商用户信息安全保护需求

内部办公终端敏感数据保护:运营商内部员工即需要办公,又需要访问互联网,办公终端以及内部办公系统上存储着大量的运营商敏感数据,极易通过网络途径泄露出去,需对内部办公终端网络进行管控。另外敏感信息也能通过U盘、光盘、打印等方式泄露,需对内部办公终端的U口、光驱、串口等外设进行管控。

自有营业厅及代理网点业务终端敏感数据保护及集中管控:自有营业厅和代理网点业务终端同样在访问业务系统的同时也能访问互联网,终端存储的信息能轻易的通过打印、U盘等方式外泄,除与内部办公终端有相同敏感数据保护需求之外,鉴于地域分布广泛和数量庞大等原因,需对其进行集中统一管控,当终端出现故障影响业务时能及时修复,保证业务连续性。

移动办公手机、平板敏感数据保护:移动办公场景,手机、平板同样存在访问业务系统时同时可访问互联网的情况,手机外设同样没有管控,设备上存储的敏感数据易通过网络或者数据线泄露,移动设备办公存在巨大的安全隐患,需对移动设备的可访问网络、外设进行管控。

运营商用户信息安全保护解决方案

运用远为多网隔离系统,原有业务终端和网络架构基本不需变动,不影响原有软硬件设备的使用,只需在业务终端上安装终端虚拟化软件、信息中心安装部署虚拟控制服务器和安全网关设备。部署图如下:

图 基于终端虚拟化技术的逻辑隔离方案示意图

远为多网安全隔离客户端:在运营商的各类业务终端上安装远为多网安全隔离系统客户端软件,所有业务终端虚拟化成两个个相互独立、相互隔离的虚拟终端(互联网虚拟机和办公网虚拟机),不同的虚拟终端之间有不同的存储空间、不同的设备资源以及不同的网络访问权限,使用效果等同于独立的物理终端,并通过严格的网络控制策略实现办公网虚拟机只能访问运营商业务系统,不能通过无线网卡、WiFi等任何方式访问其它网络,再配合严格的外设端口控制策略,防止敏感数据外泄。另外多网安全隔离系统客户端可以禁止业务终端自动更新,业务终端统一接收虚拟控制服务器下发的应用软件、系统补丁、软件补丁等,同时多网安全隔离系统客户端支持系统一键恢复(虚拟系统、软件环境和系统原有数据资料等都可以恢复),极大的方便运维工作。

远为移动办公安全管理系统:通过在移动设备上安装远为移动设备管理客户端,在移动设备上建立安全封闭的应用环境,所有业务相关应用都封装在环境里运行,保证数据只能在封闭的环境下使用,并支持远程一键擦除数据以应对设备丢失等特殊情况。

远为多网安全隔离系统服务器:通过部署远为多网安全隔离服务器实现对所有业务终端、业务网络进行集中管理,制定安全策略,包括每个业务网络访问规则、每个虚拟终端的可访问网络控制策略、外设控制策略;通过集中运维管理功能,实现对所有终端的集中运维管理,可建立集中的运维工程师坐席,建立运营商私有软件库、私有系统补丁库等。

远为网络安全准入控制系统:通过在运营商业务系统前端架设远为网络安全准入控制系统实现对访问业务终端(包括移动设备)的合法性和合规性进行联合验证,只允许合法用户使用办公网虚拟机才能访问运营商业务系统,只允许合法用户通过移动办公安全管理系统才能访问运营商业务系统,并且实现移动办公场景下采用VPN接入,保证传输过程中的数据安全。