申请试用

“深云SDP电信行业解决方案”

概述

长期以来,“网络安全”都是全世界范围内持续关注的热点话题。在我国,因网络安全问题引发的经济犯罪、政治犯罪事件更是“层出不穷”,“网络安全”已经得到我国政府的高度关注和重视并上升到国家层面。

全国人大于2016年11月颁布了《中华人民共和国网络安全法》,旨在“保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”,并于2017年6月1日起正式实施。与此同时,国家公安部于2018年提出了“护网行动”计划,提出以防止“网络攻击、网络破坏、数据泄密、重大网络安全故障”为重点,旨在检验全国范围内的关键基础设施的安全防护能力以及对安全事件的监测发现能力和应急处置能力,强化网络安全意识,提升关键信息基础设施与重要信息系统网络安全防范能力和水平。

电信行业作为国家信息化建设的基础行业,其企业自身的网络安全的重要性更是不言而喻。电信行业在国内包括中国电信、中国移动、中国联通三大电信运营商,主要提供的是固定电话、移动电话和互联网接入服务。为了支撑业务的发展,运营商内部会建设数量众多的业务系统,采用的多是以防火墙、IDS、IPS等传统的边界防御设备为主的安全体系。而在云计算、大数据、移动化的时代背景下,这样传统的安全架构将会逐渐失效,企业安全将面临严峻挑战。而运营商另外一个显著特点是“外部资源”。运营商除了拥有大量自建的专属营业厅,同时为了渠道和业务拓展,也会有相当一部分的合作营业厅和业务代理点。由于这些网点在国内数量众多且分布广泛,如何既要满足外部网点业务办理的需要,又要保证内部系统的安全,防止数据泄露,这些都是长期以来困扰运营商且亟待解决的问题。

问题分析

针对上述电信行业的行业特性及业务需要,我们认为以下问题应该得到有效解决:

1.远程访问存在安全隐患

运营商自建营业网点多采用专线方式接入内网,造成较高的网络建设成本,同时网络也会出现不稳定的情况影响业务正常办理。而对于合作和代理网点来说,则基本上是采用VPN远程访问企业内部资源。而为了同时兼顾公司内部办公和外部网点访问的需要,导致部分内部系统往往需要开放出外网访问的权限。这样无形中将运营商的内部系统暴露给了外网,使得内部系统极易遭受网络黑客和病毒的攻击。

另外一方面,由于VPN采用的是长连接的“隧道”模式,网络的不稳定或切换极易引起VPN连接问题,经常会发生掉线的情况,一旦掉线就需要重新进行连接,造成外部访问的体验较差。

2.系统兼容性问题突出

运营商内部系统基本都是B/S架构,而由于系统建设时间的不同,不同的系统可能是基于不同的浏览器内核进行开发,常见的如Chrome和IE,甚至IE都可能是不同版本的IE内核,如IE8、IE9、IE11等。这就导致访问这些系统都需要使用不同的浏览器进行访问,而且还需要在浏览器之间来回切换,造成员工使用的体验比较差,影响办公效率。

3.IT运维管理难度大

由于企业当前使用的浏览器如IE、Chrome、FireFox等均为个人浏览器,这些浏览器虽然使用起来比较简单,但都是基于满足个人上网、娱乐、视频等需求进行设计的。而使用这样的浏览器用于办公访问时,则存在比较大的安全隐患。

第一,B/S架构系统升级通常需要更新插件,使用个人浏览器缺乏统一的插件管理功能,需要员工自己去下载及进行插件更新。在更新过程中,由于每个员工的IT技能参差不齐,尤其是那些合作和代理点的人员,电脑水平普遍偏低。一旦更新出错或遇到其他IT问题,就需要求助IT运维人员,这给企业运维工作造成极大压力。

第二,个人浏览器不会对Cookie、缓存数据进行加密,都是明文保存在员工电脑当中。一旦员工的办公电脑或账号被非法利用,系统访问的一些重要数据就会造成泄露。同时,员工的一些常见的访问行为如复制、粘贴、另存为、下载等操作,甚至通过手机拍照屏幕的方式,就可以轻易将企业的重要数据泄露出去。而这些行为对企业来说是难以预见和防范的。

深云SDP解决方案

1 深云SDP三大组件

深云SDP包含三个组件----深云SDP客户端、深云SDP安全大脑、深云隐盾网关,如下图所示:

(1)深云SDP客户端:深云SDP客户端基于chromium浏览器内核开发,但是区别于市面上其他浏览器,深云SDP客户端主要面向企业办公场景,为保护数据安全、提升工作效率而设计。在深云SDP中,深云SDP客户端用来做各种的身份验证,包括硬件身份,软件身份,生物身份等。

(2)深云SDP安全大脑:深云SDP安全大脑是一个管理控制台,用来对所有的深云SDP客户端进行管理,制定安全策略。深云SDP安全大脑还可以与企业已有的身份管理系统对接

(3)深云隐盾网关:所有对业务系统的访问都是要经过SDP网关的验证和过滤。

2 三大组件工作流程

(1)深云SDP客户端用SPA技术向安全大脑发送访问请求。

(2)深云SDP安全大脑验证用户信息,返回授权、网关信息、策略信息;同时,深云SDP安全大脑将用户信息、策略信息发给深云隐盾网关。

(3)深云SDP客户端用SPA技术带着授权向深云隐盾网关发送访问请求。

(4)深云隐盾网关检查从深云SDP安全大脑获取的安全策略,验证客户端授权,建立双向加密链接。

(5)深云SDP安全大脑会随时监控连接是否符合安全策略,即时调整。

3 具体方案

1.深云SDP-比VPN更合适的远程访问方案

(1)将深云SDP客户端(Enterplorer企业浏览器)安装在员工(不管是公司内部员工还是营业厅)的办公电脑上,员工访问系统前首先需登录企业浏览器进行设备及身份的验证,验证成功后可以直接访问员工自己权限范围内的应用系统。外部营业厅员工和内部员工的使用体验完全一致,外部员工不需要再像之前一样用VPN远程访问,而且系统访问更简单、更便捷、更稳定。

(2)深云SDP客户端(Enterplorer企业浏览器)可以与运营商已有的身份认证体系实现无缝对接,对接成功后就可以在企业浏览器当中实现单点登录。登录浏览器之后就可以直接访问系统,而不需要像VPN连接成功后还需要账户密码进行登录系统操作,简化了访问。

(3)将深云隐盾网关(Gateway)部署在数据中心原有应用服务器之前,将应用服务器隐藏起来。用户访问应用时,不是像之前一样的直连服务器,而是与深云隐盾网关对接。隐盾网关默认是拒绝一切连接的,只有合法身份的用户(采用深云客户端并成功登陆的)才能够通过网关的放行,进而才能成功访问相应的业务系统。而传统VPN方式一旦用户的VPN账号被盗,就可以突破内网的限制,扫描到所有内网的资源,进而对应用服务器造成威胁或数据泄露。

2.深云SDP-为企业应用穿上“隐身衣”

深云SDP客户端与深云隐盾网关通信会用到SPA技术。深云SDP的深云隐盾网关默认“拒绝一切”连接,只会接收深云SDP客户端发来的第一个带身份信息的包。隐盾网关验证通过后,才会允许深云SDP客户端建立连接

深云SDP独有的私有DNS功能可以隐藏业务系统的DNS、IP信息,用户可以不在外网做DNS解析,只需在深云SDP安全大脑设置业务系统的域名与IP的对应关系。用户在登录深云SDP客户端时,从深云SDP安全大脑获取业务系统的IP,进而访问业务系统。因为业务系统的DNS、IP没有暴露在互联网上,所以黑客无从发起网络攻击,可以有效规避系统安全漏洞风险。

3.深云SDP-打造企业统一办公入口

深云SDP帮助电信行业用户解决不同时期开发的应用需要使用不同浏览器的兼容性问题,并构建统一的工作入口,实现统一登录,实现跨设备的统一管理,保障数据与应用安全,提升用户体验。

深云SDP客户端(Enterplorer企业浏览器)可以基于不同权限的用户定制个性化的首页门户,并集成单点登录功能,所有的员工只需进行一次浏览器认证,应用则可以即点即用。同时,企业浏览器支持“Chrome+IE”双内核无缝切换,免去员工访问不同业务系统时的兼容性问题。深云SDP客户端可以支持各类常见操作系统平台,如Windows、Mac OS、Android、iOS以及国产linux。

深云安全大脑(Entermanager)可以实现统一的远程管理。在深云安全大脑可以统一设置客户端兼容性、个性化门户,以及统一进行客户端插件和配置的下发。

通过深云SDP客户端可以对用户行为、设备等信息进行全面统计并输出多维度报表,使企业管理员可以清晰的了解企业用户、设备、平台、系统的登录及使用情况,进而根据理性数据对企业信息化建设进行优化。

基于用户行为统计的大数据进行机器学习,可以有效对用户异地登录、新设备登录、大批量拷贝或删除重要数据等敏感行为进行自动识别并禁止(举例:某员工登录合同系统批量导出多份合同文件,系统判断该用户从未有过这种操作行为,自动触发系统预警机制,强制要求该用户通过多因子再次认证身份,并发送告警短信给相关管理人员)。

旧有的数据收集方案大多是在业务系统层面进行采集,对用户没有打开系统时产生的行为是无法进行捕捉的,通过深云SDP客户端可以保证企业用户全部操作行为都被完整的采集,为基于大数据进行的行为识别提供了有力的数据支撑。

4.深云SDP-有效防止数据泄露

深云SDP提供文档不落地、数字水印、Cookie/缓存加密等技术保护企业数据安全,防止数据泄密。

文档不落地

浏览器可以限制文档下载,使文档不落地,只能在线访问。在线访问的页面上还有包含身份信息的水印,做到泄密可溯源。

(1)文档不落地:通过后台深云SDP安全大脑,可以禁止企业中的员工用深云SDP客户端下载某些特定类型的文件,比如可执行文件,从而降低员工受到网络攻击的可能性,降低企业的安全风险。

(2)文档类文件可以只允许在线预览。防止涉密文档的流出。用户试图下载文档时,管理后台会将文档上传到文档转换服务器,将文档转换为HTML格式下发给浏览器。

数字水印

深云SDP安全大脑可以统一设置SDP客户端数字水印功能,做到泄密可溯源。通过深云SDP客户端,可以将员工的姓名、手机号、邮箱等个人信息作为数字水印覆盖在浏览的目标页面上,以达到拍照及截屏泄密方式的震慑及溯源目的,在发生信息泄露时可以做到有效的追责。

深云SDP安全大脑可以设置水印的信息是登录名,还是邮箱地址,以及是否需要添加时间戳。并且,水印的颜色和透明度也可以进行自定义。

Cookie、缓存加密

当用户使用深云SDP客户端进行访问的时候,深云SDP客户端会保存相应的缓存和cookie信息,在缓存中会保存登录信息,访问地址等用户敏感信息,而且是明文保存的,cookie中同样明文保存了用户的操作系统和登录状态等信息,这些信息的泄露都会对用户造成巨大的损失。深云SDP客户端对所有的缓存和cookie信息采用了加密保存如图3-7所示,并提供了AES,DES等通用标准算法,以及SM4等国密算法的支持来供用户配置选择,加密过的信息即使泄露了也不会对用户造成任何损失。

深云SDP-态势感知

深云SDP安全大脑可以汇聚各个深云隐盾网关以及所有深云SDP客户端发送过来的日志及审计信息,对汇聚信息进行大数据智能统计分析,及时发现来自内部人员的安全威胁:

(1)深云安全态势感知平台汇聚数据,统计并展示实时活跃用户、系统激活用户及设备数量、当前在线用户数、用户访问次数以及拦截访问次数,协助运维人员快速了解应用系统访问情况。

(2)深云安全态势感知平台从多个维度对用户访问数据进行统计分析,展示各应用访问排名,帮助运维了解业务系统访问及运营情况,展示深云隐盾网关拦截的非法请求数量帮助运维人员核查异常用户访问情况,及时发现企业内部风险。

(3)深云安全态势感知平台通过对每日、每周或每月数据对比,展示每日访问量变化最大的应用系统和活跃度变化最大的用户,以此帮助企业了解业务应用系统访问压力变化,急时发现业务应用异常,及时根据实际情况调节业务系统性能。

(4)深云安全态势感知平台可以实时检查业务系统及深云SDP组件的状态,第一时间发现业务应用或隐盾网关故障并生成报警信息,降低企业运维压力及风险。

客户价值

深云SDP作为新一代的企业安全防护方案,可以为电信行业客户带来以下价值:

1.为企业管理者带来

深云SDP可以有效保护企业数据资产,并且帮助企业运营合规。

2.为IT运维人员带来

深云SDP提供统一的运维管理,解决电信行业普遍遇到的系统兼容性问题,有效降低企业运维成本。

3.为企业员工带来

深云SDP构建统一的办公入口,使用简单方便,同时可根据客户需求提供定制,满足客户个性化需求。

深云SDP

云时代的企业安全体系

申请试用

申请试用