大家好，我是阿义，数据安全系列进行到第4期啦，防止恶意访问、外部窃取，敏感信息！防护内部生产系统安全业务访问，攻击行为精确拦截！符合通信行业安全合规政策检测要求！大数据下的运营商，安全不止一点点~~

01

运营商零信任端点安全解决方案

解决方案

中国电信集团云网运营部下发的中国电信云运〔2019〕2 号-《关于印发 IT 安全能力建设与运营实施要求的通知》，推进各省 IT 安全能力建设，要求指出通过构建统一WEB、统一APP、统一运维、统一终端接入能力，完善边界防护，形成集约的边界访问控制能力。此外，其他电信运营商也有类似需求。

运营商内部应用系统不断迭代，快速更新的情况，安全边界的防护已不再是一成不变的。内部员工、供应商、外包人员等不同类型用户，需要随时随地访问业务系统办公，如：营业门户、云网采控平台、融合计费账务系统、优信PC端、堡垒机等。业务访问存在两种场景：（1）企业设备在DCN网络或因公携带办公笔记本出差；（2）个人设备通过互联网接入。

同时全省大量终端应执行统一的安全策略，大幅降低黑客入侵可利用的脆弱点，高效办公、高效进行桌面维护，落地信息安全制度，建立日常安全管理基线，保证业务的安全性和稳定性。

解决方案

以联软科技UniSDP产品为基础的《运营商零信任端点安全解决方案》，基于零信任架构，构建全省统一终端安全接入、安全防护、数据安全管控平台，全面提升终端安全防护水平和安全保障能力。

●环境感知准入：客户端根据终端接入的网络环境不同使用不同的认证方式和安全策略，DCN网使用传统准入认证与准入安全检查策略，互联网使用零信任网络认证和零信任网络的安全检查策略。

●应用系统隐身：非合规用户与终禁止访问对应网络权限，应用系统服务器地址、端口隐藏在网关后，使之不被扫描发现。

●动态的访问控制：基于4A统一认证平台身份权限，构建了最小化接入权限后，再基于环境、行为、威胁等多维属性进行更细粒度的动态访问控制。

●持续的信任评估：持续信任评估是零信任体系从零开始构建信任的关键手段。在访问的过程中实时持续的进行信任评估和安全检查，基于风险建模和信任评估模型，对用户的权限进行动态调整。

●终端标准化安全防护：终端接入之后，启用端到端的立体防护、主动防御能力，加强终端安全防护、运维支撑、防泄密等方面管理。

业务价值与方案优势

依托业界先进的零信任安全理念，运用动态的细粒度访问控制技术、网关隐身单包授权协议、可靠的终端安全管控功能，模块化的平台架构和开放的架构体系，实现用户动态按需授权访问，确保接入企业的接入用户可信、终端可信、网络可信、服务可信。

为运营商打造统一的终端安全管理中心、统一的安全策略管理中心、统一的应用系统发布中心、统一的端管云安全运维中心。运营商安全系统架构从网络中心化走向身份中心化。

代表客户

中国电信江苏分公司。

02

运营商数据交换通道安全解决方案

需求背景

基于合规和安全需要，运营商普遍对网络进行了安全区域划分和逻辑隔离。通常分为BOSS区域（业务运营支撑系统区域）、办公区域、访客区域等，其中BOSS区域是安全等级最高，也是安全控制的重点保护区域，对所有进出该区域的软件、数据、信息流都需实施严格的管控，确保该区域是安全、可信和可控。

BOSS系统涉及“计费及结算”、 “营业与帐务”、“客户服务”等各种重要系统，其数据不可避免的存在流转需要，一旦重要数据交换非授权离开高等级区有泄密的风险。部分省份运营商选择搭建VDI桌面保护业务数据，但缺少VDI桌面之间流转或提数至办公网终端的通道；其他省份运营商则在省/市公司搭建了FTP服务器用于两网间数据取数，但对FTP通道缺乏相应安全保护。

解决方案

以联软科技UniNXG网间数据交换系统为基础的《运营商数据交换通道安全解决方案》从管理和服务两个方面达到运营商行业隔离网络数据交换“可控、可审、可管”的目标。

●通道安全性：同时跨接两个不同级别的安全区，维持原有隔离网络的隔离性，避免被作为外部入侵的跳板。并对交换的文件内容，自动审计、病毒扫描；

●可信数据交换：高等级区进行数据交换可强制开启审批，提供丰富的审批流程。同时支持对交换的文件内容敏感性扫描；

●易用性高：网盘式操作体验，划分不同管理角色，分别进行事中控制和事后追溯。

业务价值与方案优势

满足监管机构的相关要求，更能使得运营商数据交换通道的管理水平上升到更高层次。做到权限可控，强制审批，审计追溯等功能，有效解决从BOSS区域取数的安全风险。

代表客户

中国移动安徽分公司。

03

运营商移动化安全管理解决方案

需求背景

随着移动互联网的发展，为了提高员工办公的体验和提高办公效率，运营商已经开展以移动办公（如天翼助手、移动OA等）、创新业务（如智慧营维、翼运维等）等多种依托互联网、移动互联网的应用。每个移动业务都需要开放相应的互联网访问端口提供访问，随着应用的增加，其移动业务的互联网暴露面也随之增加，安全风险不断加大。

遵循集团规范《中国电信互联网暴露面网络安全管理办法》（中电信网安〔2019〕26号文），及《中国电信IT 安全保障体系建设规范v3.0》，需要从整体出发全方位的去建设电信移动信息化。

解决方案

以联软科技UniEMM移动安全管理系统为基础，围绕终端、传输、服务和管理等多方面，满足运营商认证、授权、审计、账号安全管理等完整的4A安全体系，建设互联网应用网关，提供APP应用的统一入口，降低互联网暴露面，提升集约防护能力。

●安全网关：应用层VPN，支持将安全应用的HTTP/HTTPS请求封装转发到防火墙内的业务系统。断线可自动重连，解决传统VPN在网络切换、网络状况不稳定情况下的掉线、重新拨号的麻烦；

●安全门户：支持对接运营商4A平台，门户及所有APP可使用同一账号进行登录，且账号只需输入一次。

●免密登录：读取SIM卡信息，无需账户密码登录门户及应用。

●应用快速改造：企业原生应用通过“修改一行代码完成改造”，即可调用安全SDK加入安全特性（加密存储、加密隧道、安全扫描等），将原有业务快速向移动端迁移改造。同时支持安卓与苹果系统。

●安全独立的工作区：采用的沙箱技术很好的将企业数据和个人数据完全隔离，所有的企业应用和数据都存储在受保护的安全工作区内，避免非法存取企业数据；提供安全阅读工具保障企业文档安全使用无需调用第三方阅读应用；提供专利级水印技术对移动业务数据进行防护，降低无意识泄密的概率，同时可以对数据泄密事件提供追溯手段。

●日志报表：控制端可记录并展示管理员的操作、时间和结果，设备的违规事件，执行策略、拦截事件和日常事件等。

业务价值与方案优势

满足集团安全检查，保护内网业务服务器，隐藏业务IP与端口。保证移动智能终端使用应用级VPN隧道接入，安全通道建立用户无感知，与个人应用隔离。业务数据加密存储，水印防扩散。通过提供安全隧道SDK、安全内容SDK做运营商自建门户的保护。

代表客户

中国电信安徽分公司、中国电信湖南分公司等。

更多信息请点击：联软科技 - 平台级网络与信息安全管控专家 (leagsoft.com)