金融業(yè)務(wù)系統(tǒng)和數(shù)據(jù)是各金融企業(yè)的核心資產(chǎn)，對(duì)安全性有著極高要求，而金融業(yè)務(wù)系統(tǒng)的開發(fā)、測試則是一個(gè)重要的前置環(huán)節(jié)，如何保證研發(fā)系統(tǒng)及數(shù)據(jù)在生產(chǎn)部署前安全可靠，一方面要避免軟硬件系統(tǒng)的影響而導(dǎo)致數(shù)據(jù)丟失和損壞，另一方面也要避免系統(tǒng)受到外部攻擊和破壞，這些都是我們要重點(diǎn)考慮的。

　　各金融企業(yè)都有自己的業(yè)務(wù)系統(tǒng)開發(fā)團(tuán)隊(duì)，但由于金融業(yè)務(wù)系統(tǒng)龐大，相關(guān)軟硬件眾多，涉及到的廠商和技術(shù)合作也較多，不可避免地要使用到第三方合作廠商的系統(tǒng)接口及數(shù)據(jù)，并且有第三方合作開發(fā)人員接入到銀行研發(fā)環(huán)境進(jìn)行系統(tǒng)對(duì)接開發(fā)、測試和聯(lián)調(diào)，這使得銀行系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全性問題較為突出。

　　通過與上百家金融客戶的長期合作探討，中興通訊針對(duì)金融業(yè)務(wù)系統(tǒng)的開發(fā)和測試進(jìn)行了深入的場景分析和方案討論，對(duì)開發(fā)測試中的痛點(diǎn)和需求給出了詳細(xì)解決方案。主要包括如何安全管控研發(fā)合作人員的接入，如何限制系統(tǒng)訪問權(quán)限和區(qū)域，數(shù)據(jù)如何隔離，文件如何在不同組織間安全傳遞；同時(shí)，研發(fā)團(tuán)隊(duì)多，所用環(huán)境差異大，如何在安全的前提下快速有效地提供對(duì)應(yīng)的研發(fā)環(huán)境；疫情下如何確保遠(yuǎn)程研發(fā)及互聯(lián)網(wǎng)的安全接入等。

　　中興通訊自2012年開始云電腦產(chǎn)品自主研發(fā)，對(duì)云電腦如何保障系統(tǒng)信息安全擁有豐富的實(shí)踐經(jīng)驗(yàn)，并總結(jié)出一整套安全策略，形成從終端、接入、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)和應(yīng)用的全流程系統(tǒng)性安全方案。

　　為避免金融業(yè)務(wù)系統(tǒng)在開發(fā)測試過程中的數(shù)據(jù)泄露，中興云電腦在終端側(cè)有完善的接入環(huán)境檢測和認(rèn)證，對(duì)終端硬件特征（IP地址/MAC地址）、終端操作系統(tǒng)（版本號(hào)、系統(tǒng)補(bǔ)�。┘敖K端的USB端口等進(jìn)行檢測和控制，若環(huán)境不符合安全要求則不允許用戶登錄，USB端口一般情況下在系統(tǒng)后臺(tái)被設(shè)置為屏蔽狀態(tài)，只有經(jīng)過審批后外設(shè)才可在允許的范圍內(nèi)接入使用。

　　中興云電腦在登錄過程中，通過多因子認(rèn)證進(jìn)行安全鑒權(quán)，支持掃碼、安全令牌、短信、賬號(hào)密碼等多種方式組合認(rèn)證。

　　在云電腦使用過程中，可提供防截屏和防錄屏功能，并可通過屏幕明水印、暗水印等功能進(jìn)行事后安全審計(jì)。

　　在終端檢測通過后，用戶被允許接入系統(tǒng)，訪問系統(tǒng)分配的虛擬桌面，在接入及網(wǎng)絡(luò)傳輸中，中興云電腦提供了嚴(yán)格的安全保障機(jī)制。自研的互聯(lián)網(wǎng)接入網(wǎng)關(guān)CAG（Cloud Access Gateway)專門用于傳輸協(xié)議管控，對(duì)外統(tǒng)一端口接入，減少公網(wǎng)端口數(shù)量，屏蔽其他業(yè)務(wù)轉(zhuǎn)發(fā)請求。在云電腦工作過程中，本地應(yīng)用無法訪問互聯(lián)網(wǎng)，以保證云電腦辦公的絕對(duì)安全性，做到本地系統(tǒng)“辦公不上網(wǎng)，上網(wǎng)不辦公”。在接入網(wǎng)關(guān)的部署上，支持在DMZ區(qū)和內(nèi)網(wǎng)部署兩套網(wǎng)關(guān)以實(shí)現(xiàn)雙跳接入，實(shí)現(xiàn)IP的雙層轉(zhuǎn)換。

　　采用TLS加密隧道進(jìn)行數(shù)據(jù)傳輸，同時(shí)支持量子加密，依靠量子的隨機(jī)性和不可復(fù)制性來確保數(shù)據(jù)更安全。

　　中興云電腦提供的應(yīng)用環(huán)境管控DEM(Desk Environment Management)系統(tǒng)，對(duì)用戶使用的軟件應(yīng)用從源頭上進(jìn)行管控，創(chuàng)建應(yīng)用黑白名單，系統(tǒng)只允許經(jīng)DEM系統(tǒng)認(rèn)證通過后的軟件供用戶下載和使用，且下載使用均可設(shè)置不同的權(quán)限范圍，用戶只可以安裝使用有權(quán)限的應(yīng)用軟件。

　　系統(tǒng)在使用過程中實(shí)時(shí)檢測應(yīng)用的運(yùn)行情況，對(duì)應(yīng)用進(jìn)行優(yōu)先級(jí)保證，同時(shí)屏蔽用戶使用非法應(yīng)用。

　　為了保證金融業(yè)務(wù)系統(tǒng)研發(fā)過程中不同團(tuán)隊(duì)的安全高效工作，中興云電腦提供多模板設(shè)置，每個(gè)模板預(yù)置對(duì)應(yīng)研發(fā)組需要的研發(fā)應(yīng)用，用戶申請和登錄云電腦后即可直接工作，減少了繁瑣的安裝操作過程。

　　用戶在云電腦中的數(shù)據(jù)文檔資料可設(shè)置文檔分級(jí)加密機(jī)制，文檔的共享和外發(fā)均有審計(jì)，確保文檔安全。

　　在防病毒上，采用邊界殺毒從入口就做好防護(hù)，使用無代理殺毒方案在主機(jī)側(cè)統(tǒng)一防護(hù)，不需要每個(gè)用戶安裝殺毒軟件，相較于傳統(tǒng)殺毒模式，減少了對(duì)計(jì)算資源、網(wǎng)絡(luò)資源和存儲(chǔ)IO資源的消耗，在保證用戶體驗(yàn)的同時(shí)確保用戶數(shù)據(jù)安全。

　　支持金融企業(yè)不同分支機(jī)構(gòu)，甚至同一機(jī)構(gòu)下不同部門和團(tuán)隊(duì)的租戶隔離。如針對(duì)不同研發(fā)組分配不同的資源組，對(duì)資源采用虛擬防火墻進(jìn)行網(wǎng)絡(luò)隔離，禁止用戶跨團(tuán)隊(duì)訪問，實(shí)現(xiàn)數(shù)據(jù)隔離，確保研發(fā)成果安全。

　　在數(shù)據(jù)安全上，系統(tǒng)支持整體和單虛擬機(jī)的備份，支持多副本及系統(tǒng)容災(zāi)，保證業(yè)務(wù)連續(xù)性。

　　中興通訊長期與多家操作系統(tǒng)、網(wǎng)絡(luò)安全、防病毒、行為審計(jì)、文檔安全等業(yè)界知名廠商保持合作，在中興云電腦上進(jìn)行完整適配，并與各廠商的版本升級(jí)更新迭代同步，確保金融客戶在整體解決方案上沒有兼容和實(shí)施風(fēng)險(xiǎn)。

　　中興云電腦在金融業(yè)務(wù)系統(tǒng)的研發(fā)環(huán)境上，實(shí)現(xiàn)了終端的檢測和接入控制，在傳輸上實(shí)現(xiàn)了加密和網(wǎng)絡(luò)隔離，在系統(tǒng)側(cè)實(shí)現(xiàn)了邊界防護(hù)和數(shù)據(jù)隔離，在應(yīng)用上實(shí)現(xiàn)了應(yīng)用安全及權(quán)限管控，切實(shí)解決金融業(yè)務(wù)系統(tǒng)研發(fā)環(huán)境復(fù)雜、研發(fā)團(tuán)隊(duì)多的安全管理需求；同時(shí)通過云電腦預(yù)置多種模板幫助構(gòu)建不同的研發(fā)環(huán)境，讓研發(fā)人員高效開展工作，隨到隨用，提高有效工作時(shí)間。

　　目前，中興通訊云電腦在金融行業(yè)已全面覆蓋國有大行、股份行、城農(nóng)商行、保險(xiǎn)等金融客戶，并形成多個(gè)大規(guī)模局點(diǎn)，尤其在研發(fā)測試場景下的應(yīng)用最為廣泛。

　　早前某大型股份制銀行在使用傳統(tǒng)PC模式下進(jìn)行研發(fā)辦公，每年都有很多信息泄露風(fēng)險(xiǎn)案例發(fā)生，頻頻被監(jiān)管部門通報(bào)。痛定思痛后，于2017年開始分期部署中興云電腦，利用中興云電腦的整體安全能力，充分實(shí)現(xiàn)了終端安全、接入安全、網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全，做到全方位、無死角的安全管理。

　　同時(shí)，中興云電腦深入了解該銀行用戶使用場景及需求，為其量身定制多種功能，切實(shí)解決其研發(fā)測試中遇到的問題。如采用池化桌面+離線注銷方案，既確保人行征信系統(tǒng)、銀保監(jiān)系統(tǒng)等敏感業(yè)務(wù)的安全訪問，又大大提升了資源的有效利用；通過在原有PC和筆記本電腦上部署中興云電腦客戶端，實(shí)現(xiàn)設(shè)備利舊，降本增效；定制版云電腦體驗(yàn)感知系統(tǒng)滿足該銀行多DC分散建設(shè)、統(tǒng)一運(yùn)營要求；自動(dòng)開銷戶、智能機(jī)器人進(jìn)行自助化運(yùn)維。

　　截止到去年底，該銀行已經(jīng)過4次擴(kuò)容，整體用戶資源池超10000，范圍涉及總部數(shù)據(jù)中心、信用卡中心等業(yè)務(wù)單位。建設(shè)方案從原先的總行統(tǒng)一建設(shè)，拓展為全部分行分散建設(shè)，總行統(tǒng)一運(yùn)營；使用場景從最初的研發(fā)測試單場景拓展到辦公、生產(chǎn)等多場景，用戶也不再局限于外包人員。

　　在另一家股份制銀行的信息化建設(shè)中，中興通訊為其部署了一套服務(wù)于行內(nèi)開發(fā)、測試使用的云電腦平臺(tái)，用于總部及下轄各分支機(jī)構(gòu)使用。該平臺(tái)在提高銀行信息系統(tǒng)安全的同時(shí)，更提升了銀行開發(fā)、測試、辦公、業(yè)務(wù)處理的效率。平臺(tái)架構(gòu)可支持單站點(diǎn)1萬用戶并發(fā)，多站點(diǎn)最高可達(dá)10萬用戶并發(fā)，且所用云電腦終端、軟件、服務(wù)器、交換機(jī)等產(chǎn)品均為中興通訊自主研發(fā)，滿足安全可控要求。

　　未來，中興通訊將繼續(xù)深耕金融業(yè)務(wù)領(lǐng)域的創(chuàng)新研究，持續(xù)推進(jìn)云電腦在金融企業(yè)的深度應(yīng)用，以更多創(chuàng)新成果加速助力金融行業(yè)數(shù)字化轉(zhuǎn)型升級(jí)。