行業現狀

信息化時代的企業都在利用信息技術提高企業的運營效率，致使企業百分之九十的知識產權如：程序代碼、設計圖紙等，都是以電子數據的形式存在企業的內部網絡中。研發通訊企業在制定安全策略與具體執行這些策略的能力之間還是存在很大的差距，現存的網絡安全技術大都是對外防護的問題，而且沒有構筑出一個能徹底解決企業內部網絡安全問題的平臺，所有以電子形式存在的企業知識產權信息均有可能會以電子郵件，文件傳輸等形式輕而易舉地流出企業。 如何才能有效的將網絡安全防線，從企業網絡的邊緣擴展到企業所有的網絡節點之上？如何控制企業內部人員的主動或非主動的泄密風險？如何從源頭上保證涉密資料的安全？如何避免其他內網安全軟件的各種漏洞？成為研發通訊中各個企業急需解決的重要問題。

面臨問題

為提高企業內部信息管理的安全性，實現內部核心源代碼存儲、流轉安全可控，有效防止文件的擴散和外泄，需要建立一套完善的數據保密及授權訪問系統，即對于公司內部電子文檔，就其使用范圍、用戶權限、用戶操作、文件流轉進行控制管理，以防止文檔內部核心信息非法授權閱覽、拷貝、篡改。

解決方案

陽途終端安全管理系統專為企業級用戶設計的數據防泄密解決方案。它不但能夠對源代碼、Office等進行加密保護，并且能夠對加密的文件進行細分化的應用權限設置。確保企業的機密數據只能被經過授權的人，在授權的應用環境中（例如企業內部），在指定的時間內，進行指定的應用操作，并且整個過程會被詳細、完整的記錄下來，以便您對數據的訪問記錄進行安全審計。

行業現狀

隨著技術的發展，醫療信息化程度越來越高，醫院從辦公設備、查房設備，再到手術設備都和網絡相連，這些設備的安全不僅關系著醫院的正常運轉，甚至影響到患者的生命，因此醫院在信息化的同時也必須加強信息安全建設，保障醫院的正常運轉，確?；颊叩纳踩碗[私安全。

面臨問題

1、信息化安全體系不健全，大量身份特殊的患者擠到了信息安全程度高的醫院，造成了一些醫院超負荷運行，另一些醫院則門可羅雀的局面，醫療資源大大浪費。

2、衛生廳對醫院的信息化要求以及一些資質審核要求，醫院心有余而力不足：任務重、時間緊，而施行時間長，難度大。最后難以保質完成或半路夭折。

3、運維人員的日常工作重復性高，運維效率低，對軟硬件故障排查能力弱。 同時，醫院領導 "重應用、輕安全"的傳統意識，信息安全部門在醫院的地位尷尬。

4、外來設備輕易就可接入內部網絡，網絡安全系數極低，常造成網絡局部癱瘓。內部員工隨意使用U盤、移動硬盤等存儲設備，造成病毒滿天飛，嚴重影響正常工作。

5、敏感信息隨意存儲，患者數據頻被非法盜取、販賣，造成了患者對醫院的信任危機。

6、沒有統一的安全管理體系，醫院的中長期安全規劃都是外部機構在做，醫院本身沒理解、沒施行，幾成擺設。

解決方案

解決方案主要從技術和非技術層面來解決。

1. 非技術層面： 改變傳統意識，加深安全教育以及各單位溝通交流。 信息安全制度由科級制度變成醫院制度，增加信息安全部門管理人員的話語權， 擴大信息安全投入占比，不省安全的錢，不丟患者的隱私。

2.技術層面： 分為三個階段：

第一，基礎階段（合規進入）： 內部網絡中接入的終端都是合規的，包括網絡層準入控制和業務層準入控制，從而確保：接入網絡的終端都是可信的、健康的、可控的。

第二 、提高階段（集中運維、授權使用、記錄流程）： 提高階段主要從集中運維、授權使用、記錄流程三個層面去實施。

集中運維：主要包括補丁管理（通過系統，可自動或手動，設置時間為終端系統打補丁，確保操作系統更穩定、更安全）、軟件分發（可以實現差異化多種形式的軟件分發和安裝模式，提高軟件管理的效率，節省管理時間和人力成本）、遠程控制（讓管理員突破地域和空間的限制，實時有效為終端用戶排查故障、解決問題）、安全檢查和修復（自動檢測不健康的終端并自動實現修復，確保終端的安全的時效性和全面性）。

授權使用：授權使用主要包括軟件的授權使用和外設的授權使用。

軟件的授權使用主要通過黑、白名單管理來實現軟件和進程的禁止運行和運行放行。外設的授權使用一般包括移動存儲設備管理以及其他外設的管理（如打印機、投影儀等），可以確保外設的使用更加有序、安全、可控，避免非法人員通過。

記錄流程：在終端接入網絡到離開網絡的過程都有一個全面、完整的記錄：可以對接入網絡的行為進行記錄、對終端的屏幕操作進行記錄、對軟件安裝、外設使用、打印內容、聊天內容等等行為都會進行記錄。不僅有詳細的內容記錄，還有時間記錄，讓違規操作可觀、可控，違規者更是無所遁形。

第三、增強階段（安全存儲、加密傳輸、審核輸出）： 這個階段主要實現安全存儲、加密傳輸和審核輸出的問題，以確保數據在存放、傳輸、使用上都是安全的：存放的位置安全，傳輸過程是安全的（全程加密），使用是安全的（審批通過才可以輸出）。

行業現狀

隨著電子政務的普遍應用，政府黨政機關內部網絡的建設發展并進入實質性的運用，，在安全措施上也采取了一些措施進行保護，如：防火墻、入侵檢測系統、防病毒系統、安全網關等等。從不同的層面，維護著用戶的網絡系統及數據安全。盡管如此，但是依然不能有效解決內部網絡安全和泄密的問題。大家發現內部網絡的安全問題日益突出，如網絡資源被濫用造成的網絡阻塞，重要信息的非法拷貝和傳播等，機密泄露、數據丟失、身份冒認、非法入侵層出不窮，給政府黨政機關造成了重大的損失。

面臨問題

1、非授權的網絡接入。非授權人員可以隨意接入內網；且政府單位網絡環境復雜，辦公網、涉密網和外網等多個網絡并存，經常在不同網絡間交換數據時出現有意或無意的接入，造成數據泄密情況。

2、移動存儲介質難管理。缺乏有效的技術手段對移動存貯介質使用進行管控，部分用戶U盤內、外網混用，將外網病毒、木馬等帶入內網，并容易成為信息擺渡工具。

3、業務系統敏感信息難以分類分級保護，政務網內的計算機硬盤上分散存放著大量的涉密信息，不清楚這些敏感數據存放在哪里？ 敏感數據是如何使用？是否經過授權使用？是否進行了安全傳輸以及存儲？是否能夠追蹤敏感數據的流轉流程？

4、部分終端系統存在安全漏洞。由于用戶計算機水平不一，各單位的技術力量也有差異，部分終端維護不夠及時，系統存在漏洞，比如，沒有安裝并及時更新防病毒軟件，沒有及時進行系統補丁更新，存在弱口令，共享可寫目錄等，由于缺乏統一檢測與批量修復的手段，管理、維護工作量大，容易帶來安全隱患。

5、用戶行為缺乏審計，發生信息外泄事件時難以追蹤。雖然有部分單位對某些重要信息系統部署了審計系統，對用戶訪問服務器行為進行記錄。但是部署、監控范圍小。另外，象U盤直接拷貝、郵件發送、網絡文件共享、光驅刻錄、打印等，這些信息外泄手段大多發生在終端或終端之間，只在服務器端進行審計，不能對用戶的行為全程進行記錄，發生問題時很難進行有效追蹤和定位。

6、違規外連行為的屢次發生；雖然明確規定內網電腦禁止連接互聯網，但由于部分用戶安全意識薄弱，存在一機兩用的情況，即一臺機器既在內網使用也在外網使用，甚至將內、外網聯通。一方面可能將互聯網上的病毒、木馬等帶入內網，影響網絡安全，另一方面終端可能會成為信息擺渡工具，將內網政務敏感信息發散到外網。內部人員的過失行為造成的信息泄密極易造成重大負面影響，甚至危及國家安全和社會穩定。而每年的保密檢查主要針對一些重要黨政部門，檢查范圍不能覆蓋所有的用戶，難以及時、全面地發現違規外聯的情況。

解決方案

準入控制系統

邊界完整性檢查：禁止非法內連/非法外連行為，有效阻止非法終端惡意接入敏感數據區，敏感數據區惡意外接其他網絡。

身份鑒別：提供基于USBkey硬件身份識別及Windows用戶綁定，對系統登錄身份進行唯一識別。

結構安全：通過準入控制的動態授權訪問，將內網系統劃分多個安全域，安全域之間實現不同的安全策略訪問。

桌面安全管理系統

桌面安全管理：進行統一終端安全漏洞檢查、安全加固，安全隔離體系；

訪問控制：實現主體對客體的訪問控制，依據安全策略的控制，對設置敏感標記的重要信息文件賦予相應的讀、寫、另存權限，且對系統默認共享權限進行控制。

數據安全管理：實現對數據泄密途徑的嚴防管控，主要針對存儲數據外發行為（移動存儲介質拷貝、打印、違規外連、光驅刻錄行為、3G網卡撥號、隨身wifi熱點等行為）、網絡外發行為（http網絡外發、郵件外發、即時通訊工具外發等行為）進行管控；

安全審計：基于自建用戶，對操作系統上的所有文件操作記錄都可審計，包括重要敏感信息。象U盤直接拷貝、郵件發送、網絡文件共享、光驅刻錄、打印、網絡外發等用戶行為進行審計。

業務數據防泄密系統

合規進入：網絡層合規進入控制與應用層合規進入控制，只有內部合法的設備、合法的用戶、合法的程序才能訪問業務系統；

發現管理，敏感數據雜而亂，模式匹配來顯示；

自動發現終端設備的敏感數據，并統一遷移到授權磁盤；

分類分級：根據業務敏感數據的特征，自動對敏感數據分類、分級；

輸出管控：對業務敏感數據的輸出管道進行管控，未經授權禁輸出；

授權使用：防止業務負責人賬號被濫用、冒用；基于賬號權限進行字段級高敏感信息屏蔽；

加密傳輸：對業務敏感數據文件內部流轉全程采用加密傳輸；

安全存儲：對業務敏感數據進行安全存儲，自動遷移至虛擬安全磁盤進行保護；

審核輸出 :所有文件輸出可以審核；所有數據輸出都有控制手段;

記錄流程: 所有輸入輸出操作都有記錄、文件泄露可以快速定位泄露源頭。

數據交換系統

可以實現在多個網絡間進行數據文件交換，避免了一機兩用的情況發生，確保了網絡安全，且可以對交換的文件進行審查和審計。 內置防病毒軟件，可以進行安全檢查，防止病毒、木馬侵害內網。

行業現狀

電信運營商的核心目的是通過網絡技術來加快人與人之間信息化交流，因此目前國內各大電信運營商的IT建設相對超前與其他行業， 業務網絡也存在區域分散、數據分散、系統繁多、環境復雜的特點；

幾年來建設了包括包括內網和外網的boss系統、bomc系統、客服系統等業務支撐系統，還包括OA、CRM系統、等常規辦公系統，同時 各個網中的網絡設備、服務器設備數以百計，桌面電腦以千計。系統上積累了大量的客戶信息、生產數據和運營信息，業務系統也已 成為這些重要數據的存儲、交換和處理中心； 由于每個系統所關注的業務角度不同，因此其涉及到的人員也有所不同；在此基礎上，每個系統的人員又根據“使用環節”和“運維 環節”而定義出不同的工作形態。如此諸多特性，使得數據在不同的階段均存在不同的風險點，因此建立統一的資源訪問控制系統顯 得尤為重要。

面臨問題

1、無法及時發現、拒絕非法的計算機設備接入網絡，非法的計算機一旦接入網絡，極有可能破壞網絡的正常運行，或者竊取重要數據與機密文件；

2、難以控制公司的業務數據被泄露到公司以外，造成巨大損失；

3、難以對數以千計的桌面計算機進行有效的安全管理。例如：對不打桌面計算機的補丁、不設置防火墻、非法撥號行為、盜用IP地址、使用與工作或生產無關的軟件（運行QQ或BT）、 不更新防病毒軟件病毒庫等行為進行有效管理和監控，這些安全管理措施如不能具體落實，會給網絡的安全運行留下大量的安全隱患；

4、缺乏對現有計算機資產的統一管理，無法實時掌握全網所有終端系統的硬件配置和軟件信息，無從了解系統安裝了哪些程序，正在提供哪些服務；

5、無法及時、準確掌握網絡設備的安全運行狀況。例如：無法掌握網絡設備的資源利用率是否過高，無法掌握是否有人登錄核心網絡設備修改配置；

6、無法及時掌握服務器的安全運行狀況。例如：無法掌握是否有人嘗試非法登錄服務器，無法掌握服務器是否響應性能很慢影響客戶服務。

解決方案

隨著競爭的加劇，各電信運營商不斷的依賴各個管理系統來提高自己管理水平及服務水平，目前，各管理系統分布廣泛，使用人員眾多，當擁有權限的人從管理系統上導出數據后，就無法保證數據的安全性，為了規避此類風險。陽途科技資源訪問控制系統為電信運營商業務系統構建了數據保密體系，精確定位數據泄密風險。 當終端訪問業務系統，首先受到準入控制限制，符合規定的終端才能訪問業務系統；當用戶登陸系統后從受保護的業務系統導出數據，系統自動實現數據落地加密及權限控制。通過對業務系統上下載的文件采用加密技術不僅僅精確定位受保護的數據而且還有效的規避了數據泄密的源頭和風險點。

行業現狀

隨著全球化不斷擴展，創新的廣度和深度不斷擴展，金融行業信息化工作得到快速發展，規范、方便、高效、安全的金融業信息化服務體系初步建成。與此同時，金融行業對信息技術的依賴程度越來越大，特別是以綜合業務系統整合、數據集中為主要特征的金融行業信息化發展到一個新的階段。因而，信息技術風險也自然成為金融行業操作風險的重要方面。金融行業信息安全工作正面臨比以往更嚴峻的形勢，圍繞信息網絡空間的斗爭日趨尖銳，網絡違法犯罪活動呈快速遞增趨勢，惡意代碼和網絡攻擊呈多樣化局面，金融行業信息系統安全運行的難度持續加大，安全保障難度持續加大，給金融行業信息安全帶來新的更大的挑戰。

面臨問題

1、越來越多的金融企業都在把自己的業務網絡化，例如開展網上銀行業務，網上證券的買賣交易等。金融信息化的加速和信息網絡化的推進將使金融信息系統內部采集、存儲、傳輸、處理的信息量越來越大，信息的重要程度也越來越高。確保這些金融數據的安全采集、安全存儲、安全傳輸和安全處理，將是金融信息系統建設面臨的重要挑戰；

2、金融信息化使得金融行業的客戶資料轉儲為可被傳播、利用以及共享的電子信息，頻繁發生客戶資料泄密事件，將嚴重影響金融行業企業的公眾形象以及公信力。如何確?？蛻糍Y料被安全、合理的授權使用已經成為越來越多金融行業企業所關注的重點；

3、隨著金融信息化的加速，將使金融信息系統的規模逐步擴大，同時金融信息資產的數量也將急劇增加，如何對這些大量的信息資產進行有效的管理，使不同程度的信息資產都能得到不同級別的安全保護，將是金融信息系統安全管理面臨的巨大挑戰；

4、境內外網絡違法犯罪活動呈快速遞增趨勢，新技術的應用使金融行業面臨更大的挑戰。金融業信息網絡和重要信息系統正成為敵對勢力、不法分子進行攻擊、破壞和恐怖活動的重點目標。金融業信息系統已經遭受到多次攻擊，整體信息安全形勢嚴峻。

解決方案

自動檢查接入終端的安全狀態，檢查規則可自定義，檢查內容包括：用戶帳號、操作系統安全設置、防病毒軟件狀態、接入位置、終端的硬件信息等。

依據接入終端的身份及安全狀態，自動下發網絡資源訪問權限。

自動隔離不安全的終端，并為其提供自助修復環境。

自動發現接入終端是否受控，是否安裝安全管理助手。

對內部員工電腦、訪客終端、外協人員終端分類管理；基于訪客管理的網絡準入無須客戶端，并可實現訪問時長、限定的訪問控制列表，在特殊環境下還可跟短信網關聯動。

自動發現網絡上的所有接入設備，并對設備進行定位。

后臺系統提供用戶接入故障的原因、接入位置等信息，便于管理員維護。