电信行业典型案例

　　说到中国联通，人们联想到的是畅通无阻的沟通快乐，以及极速体验的3G业务。然而作为在国内31个省(自治区、直辖市)和境外多个国家和地区设有分支机构，是中国精品一家在纽约、香港、上海三地同时上市的电信运营企业，连续多年入选“世界500强企业”，而中国联通广东省分公司(以下简称广东联通)多次担任着中国联通先进技术和高度人性化服务的试点子公司，广东联通通过BSS系统建立服务协同机制，用户到所有服务渠道接受服务、办理业务、投诉、咨询等所有信息在BSS系统的专门界面进行统一展示，服务人员通过BSS系统即可查询到与用户接触的所有信息。如此高标准的服务也给广东联通内网安全带来了巨大的挑战！

【业务挑战】

Ø 广东联通大量的客户信息均在BSS系统上，BSS系统的安全性得不到保障，容易导致客户信息，甚至是机密信息泄漏。

Ø 应用系统繁多，业务量大，网络繁忙时容易出现丢包甚至堵塞。

Ø 运维厂家多，对各个应用系统和IT设备的操作不可控，运维事故和安全事件无法责认到人。

【现状分析】

　　² BSS系统无法保证数据安全。BSS系统用户广泛，涉及在内网、外网访问。如何防范别有用心的人非法窃取数据，如黑客利用网络漏洞、操作系统漏洞、应用系统漏洞等进行恶意攻击，进行数据的窃取和破坏等，虽然广东联通已经拥有了高端的防火墙、入侵检测、VPN等安全设备，但是他们都无法阻挡真实业务信息的流出，让黑客有了可乘之机。

　　² 应用系统在大访问量的情况下，易堵塞网络。特殊应用系统的访问受阻，如Oracle数据库，当有大量的用户同时操作这台Oracle数据库服务器，这样会有大量的真实业务数据在网络上传输，这样一来很容易造成网络拥堵、网络丢包等，严重影响工作效率。

　　² 应用系统和IT运维操作不透明。数据库管理员通过PL-SQL工具对Oracle数据库进行修改、查询等操作均有不可控风险，据权威机构统计，80%的企业信息泄露事件都是由内部员工造成的，外部黑客攻击不超过20%。因此，保护企业核心机密，防“内鬼”要比防“外鬼”重要得多。

　　【解决方案】

　　通过部署泰然神州Janeos安全堡垒平台，所有的业务系统通过Janeos发布并经由该堡垒平台访问。Janeos采用应用虚拟化技术，将应用的表现与计算逻辑进行分离，实现虚拟应用交互、本地化应用体验，没有真实的业务数据流到客户端，从源头上杜绝数据泄密的发生，保证广东联通BSS等应用系统的数据安全和网络的高利用率，同时泰然神州Janeos集认证、帐号、授权、审计(4A)为一体，可以对操作过的应用系统及IT设备进行录像回放和行为检索。

　　【使用产品】

　　【方案特点】

　　Ø 对应用系统进行加固，实现集中运行应用客户端，终端操作无痕，防止信息泄露。

　　Ø 应用和操作终端网络隔离，保护应用系统免受网络攻击。

　　Ø 支持应用系统的 4A 加固：身份认证、授权访问、安全审计和统一用户管理及单点登录。

　　Ø 支持对应用系统访问文件和数据库的强制访问控制。

　　Ø 支持用户跨域受控访问数据和文件。

　　Ø 通过虚拟操作及逻辑隔离技术，实现工具管理型的数据和文件的跨域应用交换，提供安全可控的多域数据交互，支持单向数据传输。

　　Ø 支持全面的行为审计，对相关人员的所有操作，可以根据操作描述、进程、用户、文件路径等进行模糊和精确方式查询，快速定位可疑行为。

　　Ø 支持录像回放，对内部人员的恶意操作提供有力证据。

　　【方案价值】

　　1、 全方位4A(帐号、授权、验证、审计)模式的安全管控，建设内网综合安全门户平台;

　　2、 应用虚拟化，无真实数据流向客户端，从源头防止信息泄露，保证数据的安全性;

　　3、 集中部署，客户端零维护，很好的控制TCO

　　4、 采用集群和负载均衡技术，保证业务连续性，提高服务质量

　　5、 与应用系统形成单点登录，大大提高了工作效率

　　6、 集中安全审计管理，对数据库管理人员、开发人员，及其它相关运维人员，形成有效的监控，一旦出现风险，为判定责认人提供有力证据

　　【客户评价】

　　广东联通信息处负责人表示，泰然神州提供的内网综合安全门户办公平台超出我们的期望，不仅为我们减轻了工作量，更重要的是保障了我们内网的数据安全，以及规范了所有代维厂商的操作。