2012年6月,北京亿赛通科技发展有限责任公司(简称“亿赛通”)第二次签约中国联合网络通信有限公司广东省分公司,助其实现敏感数据信息内容安全防护。双方合作得到延伸和升华。
客户公司介绍
中国联合网络通信有限公司广东省分公司(以下简称“广东联通”)是中国联通在广东的分支机构,由中国联通有限公司广东分公司、中国网络通信集团公司广东省分公司成功合并而成。合并重组后的广东联通,整体规模和实力得到了较大提升。公司拥有覆盖全省、结构合理、技术先进、功能强大的现代通信网络,主要经营移动通信业务,国内、国际固定电话网络与设施(含本地无线环路),语音、数据、图像及多媒体通信与信息服务,电信增值业务,IP电话业务等国家批准的其它业务,以及与通信及信息业务相关的系统集成等业务。
客户项目需求背景
随着电信市场竞争的日益激烈,客户资料、企业运营数据、营销策略文件等各类信息资产已成为核心资产。近年来,电信运营商敏感信息数据泄露安全事件频繁发生,如:央视3.15晚会揭露山东省某电信公司承接发送大量商业广告短信的事件;09年4月,某分公司暴露代理商批量给用户开增值业务的事件;09年9月,固网4006通话清单泄露事件等等。泄密事件给广东联通公司鸣起了警钟。认识到了自身在数据安全方面的不足之处,如下:
1、 缺乏有效的数据防泄密手段和数据的访问控制措施;
2、 地市的离线数据下载和C/S结构的数据查询成为最大的数据安全隐患,数据无法控制,基本处于失控状态;
3、 对涉密数据的生命周期缺乏有效管理手段等。
根据工业和信息化部相关文件以及总部《中国联通集团内网信息安全体系和工作思路》的要求,广东联通09年开始了数据泄露防护项目的前期调研及选型,经过3个多月的测试,最终选择了亿赛通公司产品作为其核心电子数据保驾护航,并于2010年6月,省公司正式启动了BSS系统数据防泄密项目,已加强对敏感数据的保护及管理。
产品及产品功能
1) 签约产品
文档安全管理系统 AD-CDG V3.1定制版
2) 产品功能与优势
智能透明加密
实现对任意文档自动透明加密的同时,不影响用户的使用习惯。
内容安全防护
防止核心数据通过复制拖拽、截屏录制、打印输出以及副本另存等方式泄密。
细粒权限控制
细化设置文档的阅读、编辑、复制、打印等组合权限,并可根据管理需要设定文档生命周期,同时提供灵活的二次授权、归档、交接管理及版本变更管理等功能。
完善权限控制
每个用户都设有文件收件箱、发件箱、还原箱,方便对权限文档的使用和管理。用户还可以通过在线申请的方式向作者申请文档权限,申请和审批流程简单。同时考虑到文档离线使用情况,系统还可生成离线权限文件,并可设定文件的阅读次数和使用时长。
批量授权功能
通过模板功能的启用,完成文档的自动及批量授权,降低用户文档授权及管理成本。
安全分级控制
实现人员密级、数据密级的安全分级管理控制,满足组织数据分级安全管理要求。
流程审核通知
为流程各级节点提供业务代办提醒、审核结果通报等支持,如客户端消息、E-Mail 通知等。
安全水印支持
通过自动添加安全警示及版权标识信息,来降低屏幕录制和自主打印所带来的泄密风险。
开放式策略库
用户可根据业务及管理需要进行安全策略自定义,开放、灵活的策略配置可降低企业后续维护成本。
身份认证集成
支持与基于Ldap和OpenLdap协议的统一身份认证平台(如AD、ED、TDS等)进行无缝集成,如实现组织架构及用户账号信息的自动完整同步和单点登录认证集成等。
离线办公支持
可通过离线审核、策略预设及离线补时等功能满足各种离线办公要求。
工作模式切换
提供 “密文 / 明文”切换模式,保障业务涉密数据安全处理的同时,不影响用户个人数据处理。
端口数据保护
针对 USB 端口、光驱、软驱等外部设备数据拷贝 , 提供透明、强制加密保护,防止核心数据通过外设端口泄密。
详尽日志审计
对所有加密文档的使用过程、各项流程审核及管理变更的相关信息进行详尽的日志审计,并对审计日志提供查询、导出、备份等支持。
其他特色功能
提供客户端远程维护、客户端托盘动态管理、客户端消息管理、客户端文件远程备份等功能,提升系统易用性的同时降低维护成本。
项目应用情况及 成果输出
1. 项目应用情况
1) 各地市部署前都需要经过环境调研、系统兼容及加密软件测试、方案讨论3个阶段,形成了针对电信行业的业务模式解决方案,目前全省已有20个地市各主要部门部署了客户端,余下客户端也将在二期项目启动时开始部署;
2) 通过自动与AD域同步,OA系统的集成,地市用户可直接通过OA账号登录及修改密码;
3) 对FTP服务器通过指定目录加密,有权限的客户端可访问,外发则需要申请,客户端重要文件则通过权限加密方式授权指定的内部人员查看及修改,解密或还原权限文件都将自动上传至服务器,出现防泄密事件时也可随时查找责任人;
4) 采用集中式部署,CDG服务器放在省公司机房,地市则通过专线连接,最高权限的系统管理员由总部负责,各地市信息化只拥有所在地市的策略下发及用户管理权限;
5) 从数据库中下载的文件到本地即会自动加密,脱离本地则无法打开。
2. 项目成果输出
1) 通过强制加密策略,能够获取到用户资料、经营分析资料的部门及员工实现强制自动加密处理,未安装客户端的电脑则需要经过审批才能拿到文件;
2) 通过对BSS业务系统的安全保护,凡是从系统中下载的文件已经过加密处理;
3) 通过数据集中、网络改造、数据加密、日志审计等手段,达到事前预防;控制集中数据提取、权限控制等手段,达到事中监控;从数据提取到数据分发加密控制并全程日志记录,对涉密数据全生命周期管理,达到事后可查的目的。
