您当前的位置是:  首页 > 资讯 > 国内 >
 首页 > 资讯 > 国内 >

中兴云电脑让金融系统开发测试更安全高效

2022-07-15 09:49:39   作者:   来源:CTI论坛   评论:0  点击:


  随着国家数字化转型战略的推进,我国各行业都在做数字化方面的规划,金融行业作为关乎国计民生的重要行业,在数字化转型上反应迅速、组织有效,其信息化建设正在进入一个全新的发展阶段。
  金融系统开发测试场景分析
  金融业务系统和数据是各金融企业的核心资产,对安全性有着极高要求,而金融业务系统的开发、测试则是一个重要的前置环节,如何保证研发系统及数据在生产部署前安全可靠,一方面要避免软硬件系统的影响而导致数据丢失和损坏,另一方面也要避免系统受到外部攻击和破坏,这些都是我们要重点考虑的。
  各金融企业都有自己的业务系统开发团队,但由于金融业务系统庞大,相关软硬件众多,涉及到的厂商和技术合作也较多,不可避免地要使用到第三方合作厂商的系统接口及数据,并且有第三方合作开发人员接入到银行研发环境进行系统对接开发、测试和联调,这使得银行系统、应用和数据的安全性问题较为突出。
  通过与上百家金融客户的长期合作探讨,中兴通讯针对金融业务系统的开发和测试进行了深入的场景分析和方案讨论,对开发测试中的痛点和需求给出了详细解决方案。主要包括如何安全管控研发合作人员的接入,如何限制系统访问权限和区域,数据如何隔离,文件如何在不同组织间安全传递;同时,研发团队多,所用环境差异大,如何在安全的前提下快速有效地提供对应的研发环境;疫情下如何确保远程研发及互联网的安全接入等。
  中兴云电脑全流程安全方案
  中兴通讯自2012年开始云电脑产品自主研发,对云电脑如何保障系统信息安全拥有丰富的实践经验,并总结出一整套安全策略,形成从终端、接入、网络、系统、数据和应用的全流程系统性安全方案。
  1、终 端 安 全
  为避免金融业务系统在开发测试过程中的数据泄露,中兴云电脑在终端侧有完善的接入环境检测和认证,对终端硬件特征(IP地址/MAC地址)、终端操作系统(版本号、系统补丁)及终端的USB端口等进行检测和控制,若环境不符合安全要求则不允许用户登录,USB端口一般情况下在系统后台被设置为屏蔽状态,只有经过审批后外设才可在允许的范围内接入使用。
  中兴云电脑在登录过程中,通过多因子认证进行安全鉴权,支持扫码、安全令牌、短信、账号密码等多种方式组合认证。
  在云电脑使用过程中,可提供防截屏和防录屏功能,并可通过屏幕明水印、暗水印等功能进行事后安全审计。
  2、接 入 安 全
  在终端检测通过后,用户被允许接入系统,访问系统分配的虚拟桌面,在接入及网络传输中,中兴云电脑提供了严格的安全保障机制。自研的互联网接入网关CAG(Cloud Access Gateway)专门用于传输协议管控,对外统一端口接入,减少公网端口数量,屏蔽其他业务转发请求。在云电脑工作过程中,本地应用无法访问互联网,以保证云电脑办公的绝对安全性,做到本地系统“办公不上网,上网不办公”。在接入网关的部署上,支持在DMZ区和内网部署两套网关以实现双跳接入,实现IP的双层转换。
  采用TLS加密隧道进行数据传输,同时支持量子加密,依靠量子的随机性和不可复制性来确保数据更安全。
  3、应 用 安 全
  中兴云电脑提供的应用环境管控DEM(Desk Environment Management)系统,对用户使用的软件应用从源头上进行管控,创建应用黑白名单,系统只允许经DEM系统认证通过后的软件供用户下载和使用,且下载使用均可设置不同的权限范围,用户只可以安装使用有权限的应用软件。
  系统在使用过程中实时检测应用的运行情况,对应用进行优先级保证,同时屏蔽用户使用非法应用。
  为了保证金融业务系统研发过程中不同团队的安全高效工作,中兴云电脑提供多模板设置,每个模板预置对应研发组需要的研发应用,用户申请和登录云电脑后即可直接工作,减少了繁琐的安装操作过程。
  用户在云电脑中的数据文档资料可设置文档分级加密机制,文档的共享和外发均有审计,确保文档安全。
  4、系 统 安 全
  在防病毒上,采用边界杀毒从入口就做好防护,使用无代理杀毒方案在主机侧统一防护,不需要每个用户安装杀毒软件,相较于传统杀毒模式,减少了对计算资源、网络资源和存储IO资源的消耗,在保证用户体验的同时确保用户数据安全。
  支持金融企业不同分支机构,甚至同一机构下不同部门和团队的租户隔离。如针对不同研发组分配不同的资源组,对资源采用虚拟防火墙进行网络隔离,禁止用户跨团队访问,实现数据隔离,确保研发成果安全。
  在数据安全上,系统支持整体和单虚拟机的备份,支持多副本及系统容灾,保证业务连续性。
  5、生 态 安 全
  中兴通讯长期与多家操作系统、网络安全、防病毒、行为审计、文档安全等业界知名厂商保持合作,在中兴云电脑上进行完整适配,并与各厂商的版本升级更新迭代同步,确保金融客户在整体解决方案上没有兼容和实施风险。
  中兴云电脑在金融业务系统的研发环境上,实现了终端的检测和接入控制,在传输上实现了加密和网络隔离,在系统侧实现了边界防护和数据隔离,在应用上实现了应用安全及权限管控,切实解决金融业务系统研发环境复杂、研发团队多的安全管理需求;同时通过云电脑预置多种模板帮助构建不同的研发环境,让研发人员高效开展工作,随到随用,提高有效工作时间。
  中兴云电脑金融行业实践
  目前,中兴通讯云电脑在金融行业已全面覆盖国有大行、股份行、城农商行、保险等金融客户,并形成多个大规模局点,尤其在研发测试场景下的应用最为广泛。
  早前某大型股份制银行在使用传统PC模式下进行研发办公,每年都有很多信息泄露风险案例发生,频频被监管部门通报。痛定思痛后,于2017年开始分期部署中兴云电脑,利用中兴云电脑的整体安全能力,充分实现了终端安全、接入安全、网络安全、应用安全、管理安全,做到全方位、无死角的安全管理。
  同时,中兴云电脑深入了解该银行用户使用场景及需求,为其量身定制多种功能,切实解决其研发测试中遇到的问题。如采用池化桌面+离线注销方案,既确保人行征信系统、银保监系统等敏感业务的安全访问,又大大提升了资源的有效利用;通过在原有PC和笔记本电脑上部署中兴云电脑客户端,实现设备利旧,降本增效;定制版云电脑体验感知系统满足该银行多DC分散建设、统一运营要求;自动开销户、智能机器人进行自助化运维。
  截止到去年底,该银行已经过4次扩容,整体用户资源池超10000,范围涉及总部数据中心、信用卡中心等业务单位。建设方案从原先的总行统一建设,拓展为全部分行分散建设,总行统一运营;使用场景从最初的研发测试单场景拓展到办公、生产等多场景,用户也不再局限于外包人员。
  在另一家股份制银行的信息化建设中,中兴通讯为其部署了一套服务于行内开发、测试使用的云电脑平台,用于总部及下辖各分支机构使用。该平台在提高银行信息系统安全的同时,更提升了银行开发、测试、办公、业务处理的效率。平台架构可支持单站点1万用户并发,多站点最高可达10万用户并发,且所用云电脑终端、软件、服务器、交换机等产品均为中兴通讯自主研发,满足安全可控要求。
  未来,中兴通讯将继续深耕金融业务领域的创新研究,持续推进云电脑在金融企业的深度应用,以更多创新成果加速助力金融行业数字化转型升级。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题

CTI论坛会员企业