案例研究
DESCRIPTION
案例研究. 思杰( Citrix )实现中国移动广州分公司数据安全“零”风险. 客户背景. 中国移动通信集团公司(简称 “ 中国移动 ” )于 2000 年 4 月 20 日成立,注册资本为 518 亿元人民币,资产规模超过 7000 亿元。 中国移动是中国唯一专注于移动通信运营的运营商,拥有全球第一的网络和客户规模,连续 7 年被美国 《 财富 》 杂志评为世界 500 强,最新排名第 180 位,是北京 2008 年奥运会合作伙伴。 - PowerPoint PPT PresentationTRANSCRIPT
案例研究思杰( Citrix)实现中国移动广州分公司数据安全“零”风险
Citrix Confidential - Do Not Distribute
• 中国移动通信集团公司(简称“中国移动”)于 2000 年 4 月 20日成立,注册资本为 518亿元人民币,资产规模超过 7000亿元。
• 中国移动是中国唯一专注于移动通信运营的运营商,拥有全球第一的网络和客户规模,连续 7年被美国《财富》杂志评为世界 500强,最新排名第180位,是北京 2008年奥运会合作伙伴。
• 随着电信市场竞争日趋激烈,利用业务支撑系统产生的大量宝贵的数据资源,进行信息的智能化加工和处理,为市场经营工作提供及时、准确、科学的决策依据,是业务支撑部门的重要的日常工作之一,已成为提升中国移动的企业核心竞争力的有效手段。
客户背景
Citrix Confidential - Do Not Distribute
• 在全面实施精细化营销的过程中,中国移动及各分公司日常市场营销和客户服务活动中数据分析需求越来越多、越来越复杂,而且增长的趋势也越来越快,自有人力资源无法保障数据分析工作的顺利开展,因此中国移动及各分公司普遍采取了服务外包的方式,结合了行业内优秀的数据分析服务商的技术资源,承担部分数据分析工作。
• 由于数据分析人员必须基于业务支撑系统、 ACRM 、 OCRM等业务系统开展市场经营分析工作,所有的数据分析人员将有机会接触广州移动最为核心的商业数据。同时,数据分析结果将会被发送给广州移动市场部门、分公司的相应数据需求人员,由数据需求人员对数据结果加以应用,所以广州移动日益关注从数据提取、数据分析、数据传递、数据存储、数据使用到数据删除整个数据生命周期的数据安全,数据安全操作中心建设迫在眉睫。
• 广州移动数据安全操作中心建设的近期目标是针对数据分析外包人员建立从数据提取、存储、传递、使用到删除的数据生命周期的安全管理和监控体系,将所有数据分析外包人员,对数据的访问和使用控制在数据安全操作中心的范围之内。
面临的挑战如何在数据分析外包的同时保障数据安全?
Citrix 方案的部署
•通过为数据分析外包人员部署瘦客户机,利用 Citrix 平台对数据分析应用工具进行集中发布,并结合网络访问控制安全技术,保证所有的网络访问都是可控的,可以很好地解决广州移动数据安全操作中心的需要。
•Citrix采用应用集中部署模式,数据分析应用工具软件只需在中心服务器上部署一次,远程访问用户即可以通过 IE的访问方式进行工作,多用户同时访问时, Citrix服务器管理和运行客户端软件的多进程运行,由运行在 Citrix服务器上的客户端访问后台服务器, Citrix服务器通过虚拟化技术将运算结果和用户输入输出向授权用户发布。
•同时 Citrix提供智能访问技术,结合全面的加密和认证技术,保护关键的信息和应用,提供对业务系统的安全接入。
•Citrix 后台可以通过严格的安全策略与接入控制策略,精确地对每一个人员进行有效的应用访问、数据操作、和进行录像和审计,在 Citrix的优秀 ICA的会话支持下这种集中模式下的软件录像可以非常节省存储空间和带宽,能够在合理的成本下实现每个用户长达一年的操作记录,有利于对每个操作用户的工作审计,问题回朔和确定责任,非常有效地保证了系统的整体安全性。
数据安全操作中心总体架构图
Citrix Confidential - Do Not Distribute
Citrix 方案部署细节
•所部署的应用程序 •网络环境
Citrix Confidential - Do Not Distribute
用户收益
Citrix Confidential - Do Not Distribute
Citrix保障安全高效的数据分析和访问• Citrix部署模式使得广东移动应用部署架构上发生变化,从一种分布式部署变成了大集中的应用部署,因而带来了应用访问、性能及安全等各个方面的提升。
智能化的监控管理保障数据安全• 通过 Citrix应用发布平台,任何用户使用应用的过程将被全程监控:用户的操作行为及显示器上的内容变化可以通过 ICA 协议存放到磁盘上,然后在需要的时候像看电影一样回放。
• 为有效利用资源和保护隐私, Citrix 解决方案也允许灵活定制以时间、角色、应用名称、位置为参数的录像策略来控制录像的开始和停止。• 由于用户登录 Citrix 平台时首先通过了身份认证,因此后台的网管系统的口令可以通过 CITRIX XenApp自动管理起来, CITRIX XenApp 具有口令自动管理的功能,通过 Citrix Password Manager(简称 CPM),可以实现多系统登陆口令的自动管理,对应用系统无任何改动,是领先的企业单点登录解决方案。
• CPM从根本上改变了传统的多口令管理方式。使用它,用户可简单接入 Windows 、 Web和基于主机的应用程序,且口令得到了更高的安全保障。为了加强安全, CPM对口令采取了集中化管理,具体事宜由管理人员统一负责。这增强了终端用户的使用安全性及对外部攻击的防御能力。
• CITRIX XenApp 白金版的性能监控工具可以方便地监控 CITRIX XenApp服务器、访问客户端、网络等全方面的使用、错误、报警、性能、软硬件变更、硬件资源情况、软件使用情况、以及 License管理等等。通过性能监控工具,管理人员不仅可以追踪用户对应用软件的使用情况,提前预知系统的性能问题,并且保存数据,以供分析和产生报表。
虚拟化技术提供高效快速访问• CITRIX XenApp 可以通过Web Interface来发布所有应用,并让用户通过 IE 浏览器访问该 Web Interface。输入用户名及密码并验证通过后,将在网页中显
示已发布给该用户的应用程序。用户可以通过点击所发布的应用程序的图标来访问该应用程序。• 通过 Citrix部署结构,最终用户访问应用的性能依赖于服务器计算能力和数据中心内部网络,不再依赖于广域网和终端设备,因此通过配置高性能的中心服务器,可以使得远程用户像在局域网内一样使用应用系统。
• 由于 ICA 协议是一种高效率的数据交换协议,同时在中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息,因此每一个连接只占用十几 KB的网络带宽。在我们进行网络带宽的规划时,非常容易估算总的带宽需要,比如广州移动近期大概需要 90个并发用户( 60个由数据分析人员并发使用, 30个由数据需求人员并发使用)时,中心带宽需求最高是: 90×20K=1.8M。
具体收益
Citrix Confidential - Do Not Distribute
客户证言
“通过部署 Citrix XenApp 平台,广州移动不仅实现了建立高效安全的数据安全操作中心的目标,而且由于 CPM加强了对信息接入的内部控制,公司能轻松应付全球范围的大量法规条款。根据美国医疗保险信息交换与保密法案( HIPAA)及萨班斯 -奥克斯利法案( Sarbanes-Oxley Act)或欧盟数据保护指令( European Union Data Protection Directive),安全缺口会让企业受到严厉的惩罚。而 CPM的使用把这种可能性降到了最低。”
--中国移动通信集团广东有限公司广州分公司 IDC中级主管王志华先生
