为了适应外部日益复杂的信息安全形势和信息科技变化的趋势,结合证券期货行业信息系统等级保护政策要求,积极构建精细化信息安全管控体系,保护信息资产安全,深圳证券交易所(简称“深交所”)在2012年开始启动以“终端/云平台/数传等一体化管理”为目标的桌面云安全管理项目,对现存的终端安全隐患、数据传输和备份安全隐患等等进行全面的管控和防护。经过三年的发展,该项目已取得阶段性应用成果。
深交所一体化桌面云安全管理项目是业界首次实现“终端管控无泄漏、云平台管控高效率、数传/文印/运维安全管控”一体化的综合集成方案的项目,也是目前业界最大规模的桌面云项目应用。该项目实现了深交所立体式信息安全管理体系在桌面安全管控领域的全面落地,提高了整体信息安全水平,提升了办公效率,极大保障了证券业务的稳定持续运行。成为了了证券业界的标杆,为其它同类机构起到了很好的示范作用。
深交所一体化桌面云安全管理项目采用了华为的云操作系统和桌面云软件,功能特性丰富,用户体验卓越,兼容性和可扩展性好,性能领先,可用性达到99.99%;硬件采用了华为高性能的服务器、存储和网络交换设备,客户端采用安装了华为芯片的瘦终端。安全数传、安全文印、安全运维等子系统均为国内领先的解决方案产品。
实现一体化的桌面云安全管理
该项目打造流程自动化的云办公管理,实现漫游办公,提高云平台可用性。
◆云办公管理流程自动化方面:桌面云提供用户自助服务功能,便于业务的快速开展,新员工入职可通过自助服务门户快速获得桌面(10分钟),而传统PC领用和安装配置完成需要数十小时;还可按用户需求提供虚拟桌面规格动态调整(3分钟完成),磁盘动态扩容(3分钟完成),桌面快速回收等高效自助功能。所有桌面的管理和配置都集中在中心机房进行,管理员可对所有桌面和应用进行统一配置和管理,如:系统升级、应用安装、新员工桌面发放等,避免了由于传统桌面分布所造成的管理运维复杂困难和成本高等问题。
◆实现漫游办公方面:通过桌面云系统,深交所员工可以不再局限于固定的办公位,可以在不同办公区域接入个人统一的云桌面开展办公,可以在不同城市如上海、北京等外地办公中心接入到属于个人统一的云桌面开展办公。该项目通过接入网关替换原有的VPN网络,实现在WiFi无线网络、4G网络、Internet等不同网络环境的一致访问体验,总体上提升桌面的可用性与连续性。
◆云平台高可用性方面:该项目采用云计算技术构建,实现了数据中心级的高可用桌面云资源,远远超出传统PC的可靠性。采用先进的云操作系统虚拟化技术,实现资源池化,可用性提升到99.99%;系统网络采取业务、管理、存储三平面组网,实现安全隔离;所有设备、模块节点具备冗余部署能力,确保系统及业务的可靠运行。用户数据有快照保护,用户可自助恢复数据,并且有同城双中心数据灾备,进一步提高了办公数据安全。
除了带来更便捷的办公,该项目也很好满足了金融机构对高安全性能的需求,终端管控无数据泄漏,实现安全数传、安全文印和安全运维。
◆终端管控无数据泄漏方面,采用瘦终端办公,使用软件控制瘦终端的USB/端口读写权限,杜绝了数据从终端外泄的风险;针对深交所特定的市场监察、公司监管、研发办公、远程办公等场景,制定了防截屏、防二次跳转的定制化方案,保证了本地不涉密,外设易管控,保障核心数据安全,达到防泄密安全要求。
◆安全数传方面,在不同业务区域之间部署安全数据交换网关,对跨区域的数据传输进行用户的安全认证,实现对传输数据的控制和审计,实现对传输行为的管理和回溯,确保了数据传输的安全可控管理,满足信息安全监管要求。
◆安全文印管控系统,对深交所的各类打印设备进行打印、复印、输出的集中控制与管理,通过强制身份认证、打印文件留底、日志记录等手段,实现了文印系统的集中安全管控,也实现了员工的就近打印、网络打印,提高了工作效率。
◆安全运维方面,在办公内网部署安全运维系统,进行运维管控和审计。实现对身份管理、访问控制、操作审计、自动化操作等几大功能进行统一有效管理,最小化运维操作风险。
节约成本,社会效益显著
深交所一体化桌面云安全管理项目建成后,由于通过利用虚拟化技术提高设备的使用率,大幅降低了硬件采购开支和运维成本;同时通过自动化、办公漫游等提高人员办公效率,节约了大量人力支出。相比原有PC管理模式,每年共节约运维成本38.5万元,节省人力成本约120万元,每年共节约电费约40.6万元。
该项目同时也带来了很好的社会效益。一是积极响应了国家的信息安全技术发展战略,大幅消除了信息安全隐患,为深交所业务运行和信息安全提供了强有力的保障。二是覆盖2000端用户桌面,从云、端、数据/文印/运维等多维度落实了安全管控措施,促进了高可用、高安全、高性能、高体验的安全体系建设,保障了国家金融安全,节省大量的设备管理维护成本,为行业的推广树立了标杆作用。三是持续三年的安全稳定运行,为我国证券市场的活动开展和业务创新、多层次资本市场的建设、保障社会和谐稳定提供了坚实的技术支撑。同时有效防止敏感信息泄漏,提高行业与社会的安全意识,进一步保障行业安全。