近日,中国移动通信集团内蒙古有限公司(以下简称“内蒙古移动”)与北京明朝万达科技有限公司正式签约,应用Chinasec(安元)可信网络安全平台为内蒙古移动打造个性化内网管理信息系统,以规范的内网安全管理流程,实现集团数据信息精细化管控。通过信息化的应用,帮助内蒙古移动的内网管理走出一条真正的创新之路。
企业概况
中国移动通信集团内蒙古有限公司(以下简称“内蒙古移动”)成立于1999年9月,全面负责自治区境内“139、138、137、136、135、134”及“159、158”国家公众移动电话网的发展规划、建设维护和经营服务。公司运营管理各项工作取得了可喜业绩:截止到2006年底,交换机总容量达到900万门,基站达到4000多个,与206个国家和地区的271个运营公司开通了国际漫游业务;客户规模不断壮大,为自治区经济社会发展做出了积极贡献。
信息现状
随着业务支撑网的快速发展,内蒙移动业务支撑网积累和掌握了大量的客户信息、生产数据和运营信息等,并具备了将数据及时、准确地提供给公司领导和相关部门的能力。随着内蒙移动的发展,人员数目的不断增加,内蒙移动在移动大楼各营业网点都有办公场地。这些办公场所涉及到的人员众多,都能够连接核心业务支撑网各核心业务系统,包括BOSS、经营分析等,这些数据被分散到了各终端上;内蒙移动业务支撑网各应用系统涉及数据的使用、维护、查询、测试等各个方面,具体有BOSS、BOASS、客服、企业QQ、企业邮箱、企业网站、防病毒系统等等,而应用软件更是五花八门。
面临风险
内蒙移动仅对内外网络进行了划分,对内部网络却没有进行进一步的划分,所有的核心服务、应用、终端都混杂在一起进行管理。业务网和外网可以进行随意的数据交换,各第三方厂家在单位内部也未进行过多防护,模糊的信息安全区域划分导致无法有效地对核心的数据进行保护。
信息化动因
为了防范这些安全隐患,保护核心数据安全,规范内网管控,内蒙古移动决定寻求一种内网管理创新模式。公司不希望内部资料离开内部的网络环境,甚至不允许在网络外部传递与交流,但现代组织不能拒绝互联网的交互,不能将机构封闭在一个信息孤岛。员工在随意上传下载和传递网络中的文件的同时,可能会把许多重要信息流通互通,甚至流到网络外部,从而使重要的知识产权受到严重侵害。知识产权的保护需要依靠法律和行政手段进行规范和管理,同时也需要利用必要的技术手段辅助实现知识产权保护的可管理性。从管理和技术两个层面杜绝机密信息的泄漏,才是解决问题的根本办法,才能防患于未然。
信息化应用
在内蒙古移动为期近一年的精心调研与选型中,Chinasec(安元)以高安全性、高可靠的整体解决方案,最终在国内众多厂商激烈竞争中脱颖而出,中标此大型移动项目。Chinasec(安元)的专家团队通过多次对内蒙古移动的深入调研,针对内蒙古移动遇到的内网安全问题,结合其他运营商客户的服务经验,最终提出了一份适合内蒙古移动的内网信息化改造方案。
移动业务支撑网核心数据最终泄密的途径是分散在各地的终端上产生的,因此主要针对的对象是使用业务支撑网核心业务系统的终端。总体思路围绕数据在终端的存储、传输、交换过程风险点做为依据,以环境保护的方式,对能够访问业务系统中数据的终端进行保护。采用了磁盘加密、外设控制、移动存储管理、网络传输控制四个关键技术,对终端进行全方位的控制,数据只能够在终端本地使用,无法将数据随意外带,需要外带时必须经过特定人员审批。
根据业务支撑网使用角色的不同对数据的保护提出了不同的解决方案。Chinasec(安元)可信网络安全平台将业务根据使用角色的不同划分为三个安全等级保密子网(VCN),既使用、运维、开发。同一个保密子网内部的计算机可以实现相互自由的数据交换(通过网络或者存储设备),不在同一个保密子网内部的计算机相互之间不能进行正常的数据交换,除非获得管理员的授权。通过保密子网的划分,可以在保障网络统一维护的前提下,对单位内部不同职能部门实现有效的数据隔离,增加了内网安全级别,降低安全风险。通过保密子网,还可以有效防止非法外连或者非法接入。
Chinasec(安元)采用了非常灵活的管理方式,在Chinasec(安元)可信网络安全平台的设计理念里面,所有的控制对象都是一种资源。如:计算机系统本身就是一种资源,计算机里面的各种外设、硬盘、程序、端口和文件等,而服务器系统本身也是资源。Chinasec(安元)可信网络安全平台的系统对所有这些有价值的资源都进行控制,采用了授权使用、违规记录及审计等多种手段结合,确保了所有资源的可控性,从而提高了内网信息系统的安全性和可管理性。管理员在制定策略的时候,可以制定不同状态下的策略,受控客户端就会根据其状态自动启用相应状态的策略,从而实现灵活的控制。
应用价值
Chinasec(安元)可信网络安全平台根据数据在终端泄密的途径,以数据为中心,以风险为驱动;分析实际的管理模式和业务流程,评估存在的数据泄漏风险,并在此基础上整合所需的安全组件和客户现有业务系统,提供针对性的解决方案,改进和规范客户的数据风险管理体系。在统一的产品平台下,实现复合型的管理与保密功能,不会产生子功能间相互干扰与影响的情况,保证终端稳定运行,从多个角度提升数据保护力度;从下线风险角度来考虑,因为方案是基于环境来进行控制,公司可以在短期之内迅速解除对环境的控制措施,对厂家的依赖性与数据加解密风险较低。
此次应用Chinasec(安元)可信网络安全平台对内蒙古移动内网进行全面管理,在大幅提高工作效率与数据安全保障的基础上,实现事前控制到事中监视与事后审计,从粗放管理向精细管理的职能转变。信息主管部门将实现利用透视全局架构的优势,协助管理层制定不同状态下的策略,规范控制管理流程,持续改进业绩,创造企业价值的最大化。