行業(yè)現(xiàn)狀

信息化時代的企業(yè)都在利用信息技術(shù)提高企業(yè)的運營效率，致使企業(yè)百分之九十的知識產(chǎn)權(quán)如：程序代碼、設(shè)計圖紙等，都是以電子數(shù)據(jù)的形式存在企業(yè)的內(nèi)部網(wǎng)絡(luò)中。研發(fā)通訊企業(yè)在制定安全策略與具體執(zhí)行這些策略的能力之間還是存在很大的差距，現(xiàn)存的網(wǎng)絡(luò)安全技術(shù)大都是對外防護的問題，而且沒有構(gòu)筑出一個能解決企業(yè)內(nèi)部網(wǎng)絡(luò)安全問題的平臺，所有以電子形式存在的企業(yè)知識產(chǎn)權(quán)信息均有可能會以電子郵件，文件傳輸?shù)刃问捷p而易舉地流出企業(yè)。 如何才能有效的將網(wǎng)絡(luò)安全防線，從企業(yè)網(wǎng)絡(luò)的邊緣擴展到企業(yè)所有的網(wǎng)絡(luò)節(jié)點之上？如何控制企業(yè)內(nèi)部人員的主動或非主動的風險？如何從源頭上保證涉密資料的安全？如何避免其他內(nèi)網(wǎng)安全軟件的各種漏洞？成為研發(fā)通訊中各個企業(yè)急需解決的重要問題。

面臨問題

為提高企業(yè)內(nèi)部信息管理的安全性，實現(xiàn)內(nèi)部核心源代碼存儲、流轉(zhuǎn)安全可控，有效防止文件的擴散和外泄，需要建立一套完善的數(shù)據(jù)保密及訪問系統(tǒng)，即對于公司內(nèi)部電子文檔，就其使用范圍、用戶權(quán)限、用戶操作、文件流轉(zhuǎn)進行控制管理，以防止文檔內(nèi)部核心信息非法閱覽、拷貝、篡改。

解決方案

陽途終端安全管理系統(tǒng)專為企業(yè)級用戶設(shè)計的數(shù)據(jù)防解決方案。它不但能夠?qū)υ创a、Office等進行加密保護，并且能夠?qū)用艿奈募M行細分化的應(yīng)用權(quán)限設(shè)置。確保企業(yè)的機密數(shù)據(jù)只能被經(jīng)過的人，在的應(yīng)用環(huán)境中（例如企業(yè)內(nèi)部），在的時間內(nèi)，進行的應(yīng)用操作，并且整個過程會被詳細、完整的記錄下來，以便您對數(shù)據(jù)的訪問記錄進行安全審計。

行業(yè)現(xiàn)狀

隨著技術(shù)的發(fā)展，醫(yī)療信息化程度越來越高，醫(yī)院從辦公設(shè)備、查房設(shè)備，再到手術(shù)設(shè)備都和網(wǎng)絡(luò)相連，這些設(shè)備的安全不僅關(guān)系著醫(yī)院的正常運轉(zhuǎn)，甚至影響到患者的生命，因此醫(yī)院在信息化的同時也必須加強信息安全建設(shè)，保障醫(yī)院的正常運轉(zhuǎn)，確保患者的生命安全和隱私安全。

面臨問題

1、信息化安全體系不健全，大量身份特殊的患者擠到了信息安全程度高的醫(yī)院，造成了一些醫(yī)院超負荷運行，另一些醫(yī)院則門可羅雀的局面，醫(yī)療資源大大浪費。

2、對醫(yī)院的信息化要求以及一些資質(zhì)審核要求，醫(yī)院心有余而力不足：任務(wù)重、時間緊，而施行時間長，難度大。最后難以保質(zhì)完成或半路夭折。

3、運維人員的日常工作重復(fù)性高，運維效率低，對軟硬件故障排查能力弱。 同時，醫(yī)院 "重應(yīng)用、輕安全"的傳統(tǒng)意識，信息安全部門在醫(yī)院的地位尷尬。

4、外來設(shè)備輕易就可接入內(nèi)部網(wǎng)絡(luò)，網(wǎng)絡(luò)安全系數(shù)極低，常造成網(wǎng)絡(luò)局部癱瘓。內(nèi)部員工隨意使用U盤、移動硬盤等存儲設(shè)備，造成病毒滿天飛，嚴重影響正常工作。

5、敏感信息隨意存儲，患者數(shù)據(jù)頻被非法、，造成了患者對醫(yī)院的信任危機。

6、沒有統(tǒng)一的安全管理體系，醫(yī)院的中長期安全規(guī)劃都是外部機構(gòu)在做，醫(yī)院本身沒理解、沒施行，幾成擺設(shè)。

解決方案

解決方案主要從技術(shù)和非技術(shù)層面來解決。

1. 非技術(shù)層面： 改變傳統(tǒng)意識，加深安全教育以及各單位溝通交流。 信息安全制度由科級制度變成醫(yī)院制度，增加信息安全部門管理人員的話語權(quán)， 擴大信息安全投入占比，不省安全的錢，不丟患者的隱私。

2.技術(shù)層面： 分為三個階段：

，基礎(chǔ)階段（合規(guī)進入）： 內(nèi)部網(wǎng)絡(luò)中接入的終端都是合規(guī)的，包括網(wǎng)絡(luò)層準入控制和業(yè)務(wù)層準入控制，從而確保：接入網(wǎng)絡(luò)的終端都是可信的、健康的、可控的。

第二 、提高階段（集中運維、使用、記錄流程）： 提高階段主要從集中運維、使用、記錄流程三個層面去實施。

集中運維：主要包括補丁管理（通過系統(tǒng)，可自動或手動，設(shè)置時間為終端系統(tǒng)打補丁，確保操作系統(tǒng)更穩(wěn)定、更安全）、軟件分發(fā)（可以實現(xiàn)差異化多種形式的軟件分發(fā)和安裝模式，提高軟件管理的效率，節(jié)省管理時間和人力成本）、遠程控制（讓管理員突破地域和空間的限制，實時有效為終端用戶排查故障、解決問題）、安全檢查和修復(fù)（自動檢測不健康的終端并自動實現(xiàn)修復(fù)，確保終端的安全的時效性和全面性）。

使用：使用主要包括軟件的使用和外設(shè)的使用。

軟件的使用主要通過黑、白名單管理來實現(xiàn)軟件和進程的禁止運行和運行放行。外設(shè)的使用一般包括移動存儲設(shè)備管理以及其他外設(shè)的管理（如打印機、投影儀等），可以確保外設(shè)的使用更加有序、安全、可控，避免非法人員通過。

記錄流程：在終端接入網(wǎng)絡(luò)到離開網(wǎng)絡(luò)的過程都有一個全面、完整的記錄：可以對接入網(wǎng)絡(luò)的行為進行記錄、對終端的屏幕操作進行記錄、對軟件安裝、外設(shè)使用、打印內(nèi)容、內(nèi)容等等行為都會進行記錄。不僅有詳細的內(nèi)容記錄，還有時間記錄，讓違規(guī)操作可觀、可控，違規(guī)者更是無所遁形。

第三、增強階段（安全存儲、加密傳輸、審核輸出）： 這個階段主要實現(xiàn)安全存儲、加密傳輸和審核輸出的問題，以確保數(shù)據(jù)在存放、傳輸、使用上都是安全的：存放的位置安全，傳輸過程是安全的（全程加密），使用是安全的（審批通過才可以輸出）。

行業(yè)現(xiàn)狀

隨著電子政務(wù)的普遍應(yīng)用，政府黨政機關(guān)內(nèi)部網(wǎng)絡(luò)的建設(shè)發(fā)展并進入實質(zhì)性的運用，，在安全措施上也采取了一些措施進行保護，如：防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、安全網(wǎng)關(guān)等等。從不同的層面，維護著用戶的網(wǎng)絡(luò)系統(tǒng)及數(shù)據(jù)安全。盡管如此，但是依然不能有效解決內(nèi)部網(wǎng)絡(luò)安全和的問題。大家發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全問題日益突出，如網(wǎng)絡(luò)資源被濫用造成的網(wǎng)絡(luò)阻塞，重要信息的非法拷貝和傳播等，機密泄露、數(shù)據(jù)丟失、身份冒認、非法入侵層出不窮，給政府黨政機關(guān)造成了重大的損失。

面臨問題

1、非的網(wǎng)絡(luò)接入。非人員可以隨意接入內(nèi)網(wǎng)；且政府單位網(wǎng)絡(luò)環(huán)境復(fù)雜，辦公網(wǎng)、涉密網(wǎng)和外網(wǎng)等多個網(wǎng)絡(luò)并存，經(jīng)常在不同網(wǎng)絡(luò)間交換數(shù)據(jù)時出現(xiàn)有意或無意的接入，造成數(shù)據(jù)情況。

2、移動存儲介質(zhì)難管理。缺乏有效的技術(shù)手段對移動存貯介質(zhì)使用進行管控，部分用戶U盤內(nèi)、外網(wǎng)混用，將外網(wǎng)病毒、木馬等帶入內(nèi)網(wǎng)，并容易成為信息擺渡工具。

3、業(yè)務(wù)系統(tǒng)敏感信息難以分類分級保護，政務(wù)網(wǎng)內(nèi)的計算機硬盤上分散存放著大量的涉密信息，不清楚這些敏感數(shù)據(jù)存放在哪里？ 敏感數(shù)據(jù)是如何使用？是否經(jīng)過使用？是否進行了安全傳輸以及存儲？是否能夠追蹤敏感數(shù)據(jù)的流轉(zhuǎn)流程？

4、部分終端系統(tǒng)存在安全漏洞。由于用戶計算機水平不一，各單位的技術(shù)力量也有差異，部分終端維護不夠及時，系統(tǒng)存在漏洞，比如，沒有安裝并及時更新防病毒軟件，沒有及時進行系統(tǒng)補丁更新，存在弱口令，共享可寫目錄等，由于缺乏統(tǒng)一檢測與批量修復(fù)的手段，管理、維護工作量大，容易帶來安全隱患。

5、用戶行為缺乏審計，發(fā)生信息外泄事件時難以追蹤。雖然有部分單位對某些重要信息系統(tǒng)部署了審計系統(tǒng)，對用戶訪問服務(wù)器行為進行記錄。但是部署、監(jiān)控范圍小。另外，象U盤直接拷貝、郵件發(fā)送、網(wǎng)絡(luò)文件共享、光驅(qū)刻錄、打印等，這些信息外泄手段大多發(fā)生在終端或終端之間，只在服務(wù)器端進行審計，不能對用戶的行為全程進行記錄，發(fā)生問題時很難進行有效追蹤和定位。

6、違規(guī)外連行為的屢次發(fā)生；雖然明確規(guī)定內(nèi)網(wǎng)電腦禁止連接互聯(lián)網(wǎng)，但由于部分用戶安全意識薄弱，存在一機兩用的情況，即一臺機器既在內(nèi)網(wǎng)使用也在外網(wǎng)使用，甚至將內(nèi)、外網(wǎng)聯(lián)通。一方面可能將互聯(lián)網(wǎng)上的病毒、木馬等帶入內(nèi)網(wǎng)，影響網(wǎng)絡(luò)安全，另一方面終端可能會成為信息擺渡工具，將內(nèi)網(wǎng)政務(wù)敏感信息發(fā)散到外網(wǎng)。內(nèi)部人員的過失行為造成的信息極易造成重大負面影響，甚至危及國家安全和社會穩(wěn)定。而每年的保密檢查主要針對一些重要黨政部門，檢查范圍不能覆蓋所有的用戶，難以及時、全面地發(fā)現(xiàn)違規(guī)外聯(lián)的情況。

解決方案

準入控制系統(tǒng)

邊界完整性檢查：禁止非法內(nèi)連/非法外連行為，有效阻止非法終端惡意接入敏感數(shù)據(jù)區(qū)，敏感數(shù)據(jù)區(qū)惡意外接其他網(wǎng)絡(luò)。

身份鑒別：提供基于USBkey硬件身份識別及Windows用戶綁定，對系統(tǒng)登錄身份進行識別。

結(jié)構(gòu)安全：通過準入控制的動態(tài)訪問，將內(nèi)網(wǎng)系統(tǒng)劃分多個安全域，安全域之間實現(xiàn)不同的安全策略訪問。

桌面安全管理系統(tǒng)

桌面安全管理：進行統(tǒng)一終端安全漏洞檢查、安全加固，安全隔離體系；

訪問控制：實現(xiàn)主體對客體的訪問控制，依據(jù)安全策略的控制，對設(shè)置敏感標記的重要信息文件賦予相應(yīng)的讀、寫、另存權(quán)限，且對系統(tǒng)默認共享權(quán)限進行控制。

數(shù)據(jù)安全管理：實現(xiàn)對數(shù)據(jù)途徑的嚴防管控，主要針對存儲數(shù)據(jù)外發(fā)行為（移動存儲介質(zhì)拷貝、打印、違規(guī)外連、光驅(qū)刻錄行為、3G網(wǎng)卡撥號、隨身wifi熱點等行為）、網(wǎng)絡(luò)外發(fā)行為（http網(wǎng)絡(luò)外發(fā)、郵件外發(fā)、即時通訊工具外發(fā)等行為）進行管控；

安全審計：基于自建用戶，對操作系統(tǒng)上的所有文件操作記錄都可審計，包括重要敏感信息。象U盤直接拷貝、郵件發(fā)送、網(wǎng)絡(luò)文件共享、光驅(qū)刻錄、打印、網(wǎng)絡(luò)外發(fā)等用戶行為進行審計。

業(yè)務(wù)數(shù)據(jù)防系統(tǒng)

合規(guī)進入：網(wǎng)絡(luò)層合規(guī)進入控制與應(yīng)用層合規(guī)進入控制，只有內(nèi)部合法的設(shè)備、合法的用戶、合法的程序才能訪問業(yè)務(wù)系統(tǒng)；

發(fā)現(xiàn)管理，敏感數(shù)據(jù)雜而亂，模式匹配來顯示；

自動發(fā)現(xiàn)終端設(shè)備的敏感數(shù)據(jù)，并統(tǒng)一遷移到磁盤；

分類分級：根據(jù)業(yè)務(wù)敏感數(shù)據(jù)的特征，自動對敏感數(shù)據(jù)分類、分級；

輸出管控：對業(yè)務(wù)敏感數(shù)據(jù)的輸出管道進行管控，未經(jīng)禁輸出；

使用：防止業(yè)務(wù)負責人賬號被濫用、冒用；基于賬號權(quán)限進行字段級高敏感信息屏蔽；

加密傳輸：對業(yè)務(wù)敏感數(shù)據(jù)文件內(nèi)部流轉(zhuǎn)全程采用加密傳輸；

安全存儲：對業(yè)務(wù)敏感數(shù)據(jù)進行安全存儲，自動遷移至虛擬安全磁盤進行保護；

審核輸出 :所有文件輸出可以審核；所有數(shù)據(jù)輸出都有控制手段;

記錄流程: 所有輸入輸出操作都有記錄、文件泄露可以快速定位泄露源頭。

數(shù)據(jù)交換系統(tǒng)

可以實現(xiàn)在多個網(wǎng)絡(luò)間進行數(shù)據(jù)文件交換，避免了一機兩用的情況發(fā)生，確保了網(wǎng)絡(luò)安全，且可以對交換的文件進行審查和審計。 內(nèi)置防病毒軟件，可以進行安全檢查，防止病毒、木馬侵害內(nèi)網(wǎng)。

行業(yè)現(xiàn)狀

電信運營商的核心目的是通過網(wǎng)絡(luò)技術(shù)來加快人與人之間信息化交流，因此目前國內(nèi)各大電信運營商的IT建設(shè)相對超前與其他行業(yè)， 業(yè)務(wù)網(wǎng)絡(luò)也存在區(qū)域分散、數(shù)據(jù)分散、系統(tǒng)繁多、環(huán)境復(fù)雜的特點；

幾年來建設(shè)了包括包括內(nèi)網(wǎng)和外網(wǎng)的boss系統(tǒng)、bomc系統(tǒng)、客服系統(tǒng)等業(yè)務(wù)支撐系統(tǒng)，還包括OA、CRM系統(tǒng)、等常規(guī)辦公系統(tǒng)，同時 各個網(wǎng)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備數(shù)以百計，桌面電腦以千計。系統(tǒng)上積累了大量的客戶信息、生產(chǎn)數(shù)據(jù)和運營信息，業(yè)務(wù)系統(tǒng)也已 成為這些重要數(shù)據(jù)的存儲、交換和處理中心； 由于每個系統(tǒng)所關(guān)注的業(yè)務(wù)角度不同，因此其涉及到的人員也有所不同；在此基礎(chǔ)上，每個系統(tǒng)的人員又根據(jù)“使用環(huán)節(jié)”和“運維 環(huán)節(jié)”而定義出不同的工作形態(tài)。如此諸多特性，使得數(shù)據(jù)在不同的階段均存在不同的風險點，因此建立統(tǒng)一的資源訪問控制系統(tǒng)顯 得尤為重要。

面臨問題

1、無法及時發(fā)現(xiàn)、拒絕非法的計算機設(shè)備接入網(wǎng)絡(luò)，非法的計算機一旦接入網(wǎng)絡(luò)，極有可能破壞網(wǎng)絡(luò)的正常運行，或者竊取重要數(shù)據(jù)與機密文件；

2、難以控制公司的業(yè)務(wù)數(shù)據(jù)被泄露到公司以外，造成巨大損失；

3、難以對數(shù)以千計的桌面計算機進行有效的安全管理。例如：對不打桌面計算機的補丁、不設(shè)置防火墻、非法撥號行為、盜用IP地址、使用與工作或生產(chǎn)無關(guān)的軟件（運行QQ或BT）、 不更新防病毒軟件病毒庫等行為進行有效管理和監(jiān)控，這些安全管理措施如不能具體落實，會給網(wǎng)絡(luò)的安全運行留下大量的安全隱患；

4、缺乏對現(xiàn)有計算機資產(chǎn)的統(tǒng)一管理，無法實時掌握全網(wǎng)所有終端系統(tǒng)的硬件配置和軟件信息，無從了解系統(tǒng)安裝了哪些程序，正在提供哪些服務(wù)；

5、無法及時、準確掌握網(wǎng)絡(luò)設(shè)備的安全運行狀況。例如：無法掌握網(wǎng)絡(luò)設(shè)備的資源利用率是否過高，無法掌握是否有人登錄核心網(wǎng)絡(luò)設(shè)備修改配置；

6、無法及時掌握服務(wù)器的安全運行狀況。例如：無法掌握是否有人嘗試非法登錄服務(wù)器，無法掌握服務(wù)器是否響應(yīng)性能很慢影響客戶服務(wù)。

解決方案

隨著競爭的加劇，各電信運營商不斷的依賴各個管理系統(tǒng)來提高自己管理水平及服務(wù)水平，目前，各管理系統(tǒng)分布廣泛，使用人員眾多，當擁有權(quán)限的人從管理系統(tǒng)上導(dǎo)出數(shù)據(jù)后，就無法保證數(shù)據(jù)的安全性，為了規(guī)避此類風險。陽途科技資源訪問控制系統(tǒng)為電信運營商業(yè)務(wù)系統(tǒng)構(gòu)建了數(shù)據(jù)保密體系，精確定位數(shù)據(jù)風險。 當終端訪問業(yè)務(wù)系統(tǒng)，首先受到準入控制限制，符合規(guī)定的終端才能訪問業(yè)務(wù)系統(tǒng)；當用戶登陸系統(tǒng)后從受保護的業(yè)務(wù)系統(tǒng)導(dǎo)出數(shù)據(jù)，系統(tǒng)自動實現(xiàn)數(shù)據(jù)落地加密及權(quán)限控制。通過對業(yè)務(wù)系統(tǒng)上下載的文件采用加密技術(shù)不僅僅精確定位受保護的數(shù)據(jù)而且還有效的規(guī)避了數(shù)據(jù)的源頭和風險點。

行業(yè)現(xiàn)狀

隨著化不斷擴展，創(chuàng)新的廣度和深度不斷擴展，金融行業(yè)信息化工作得到快速發(fā)展，規(guī)范、方便、高效、安全的金融業(yè)信息化服務(wù)體系初步建成。與此同時，金融行業(yè)對信息技術(shù)的依賴程度越來越大，特別是以綜合業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)集中為主要特征的金融行業(yè)信息化發(fā)展到一個新的階段。因而，信息技術(shù)風險也自然成為金融行業(yè)操作風險的重要方面。金融行業(yè)信息安全工作正面臨比以往更嚴峻的形勢，圍繞信息網(wǎng)絡(luò)空間的斗爭日趨尖銳，網(wǎng)絡(luò)違法活動呈快速遞增趨勢，惡意代碼和網(wǎng)絡(luò)攻擊呈多樣化局面，金融行業(yè)信息系統(tǒng)安全運行的難度持續(xù)加大，安全保障難度持續(xù)加大，給金融行業(yè)信息安全帶來新的更大的挑戰(zhàn)。

面臨問題

1、越來越多的金融企業(yè)都在把自己的業(yè)務(wù)網(wǎng)絡(luò)化，例如開展網(wǎng)上銀行業(yè)務(wù)，網(wǎng)上證券的買賣交易等。金融信息化的加速和信息網(wǎng)絡(luò)化的推進將使金融信息系統(tǒng)內(nèi)部采集、存儲、傳輸、處理的信息量越來越大，信息的重要程度也越來越高。確保這些金融數(shù)據(jù)的安全采集、安全存儲、安全傳輸和安全處理，將是金融信息系統(tǒng)建設(shè)面臨的重要挑戰(zhàn)；

2、金融信息化使得金融行業(yè)的客戶資料轉(zhuǎn)儲為可被傳播、利用以及共享的電子信息，頻繁發(fā)生客戶資料事件，將嚴重影響金融行業(yè)企業(yè)的公眾形象以及公信力。如何確保客戶資料被安全、合理的使用已經(jīng)成為越來越多金融行業(yè)企業(yè)所關(guān)注的重點；

3、隨著金融信息化的加速，將使金融信息系統(tǒng)的規(guī)模逐步擴大，同時金融信息資產(chǎn)的數(shù)量也將急劇增加，如何對這些大量的信息資產(chǎn)進行有效的管理，使不同程度的信息資產(chǎn)都能得到不同級別的安全保護，將是金融信息系統(tǒng)安全管理面臨的巨大挑戰(zhàn)；

4、境內(nèi)外網(wǎng)絡(luò)違法活動呈快速遞增趨勢，新技術(shù)的應(yīng)用使金融行業(yè)面臨更大的挑戰(zhàn)。金融業(yè)信息網(wǎng)絡(luò)和重要信息系統(tǒng)正成為敵對勢力、不法分子進行攻擊、破壞和活動的重點目標。金融業(yè)信息系統(tǒng)已經(jīng)遭受到多次攻擊，整體信息安全形勢嚴峻。

解決方案

自動檢查接入終端的安全狀態(tài)，檢查規(guī)則可自定義，檢查內(nèi)容包括：用戶帳號、操作系統(tǒng)安全設(shè)置、防病毒軟件狀態(tài)、接入位置、終端的硬件信息等。

依據(jù)接入終端的身份及安全狀態(tài)，自動下發(fā)網(wǎng)絡(luò)資源訪問權(quán)限。

自動隔離不安全的終端，并為其提供自助修復(fù)環(huán)境。

自動發(fā)現(xiàn)接入終端是否受控，是否安裝安全管理助手。

對內(nèi)部員工電腦、訪客終端、外協(xié)人員終端分類管理；基于訪客管理的網(wǎng)絡(luò)準入無須客戶端，并可實現(xiàn)訪問時長、限定的訪問控制列表，在特殊環(huán)境下還可跟短信網(wǎng)關(guān)聯(lián)動。

自動發(fā)現(xiàn)網(wǎng)絡(luò)上的所有接入設(shè)備，并對設(shè)備進行定位。

后臺系統(tǒng)提供用戶接入故障的原因、接入位置等信息，便于管理員維護。