金融業(yè)務(wù)系統和數據是各金融企業(yè)的核心資產(chǎn)，對安全性有著(zhù)極高要求，而金融業(yè)務(wù)系統的開(kāi)發(fā)、測試則是一個(gè)重要的前置環(huán)節，如何保證研發(fā)系統及數據在生產(chǎn)部署前安全可靠，一方面要避免軟硬件系統的影響而導致數據丟失和損壞，另一方面也要避免系統受到外部攻擊和破壞，這些都是我們要重點(diǎn)考慮的。

　　各金融企業(yè)都有自己的業(yè)務(wù)系統開(kāi)發(fā)團隊，但由于金融業(yè)務(wù)系統龐大，相關(guān)軟硬件眾多，涉及到的廠(chǎng)商和技術(shù)合作也較多，不可避免地要使用到第三方合作廠(chǎng)商的系統接口及數據，并且有第三方合作開(kāi)發(fā)人員接入到銀行研發(fā)環(huán)境進(jìn)行系統對接開(kāi)發(fā)、測試和聯(lián)調，這使得銀行系統、應用和數據的安全性問(wèn)題較為突出。

　　通過(guò)與上百家金融客戶(hù)的長(cháng)期合作探討，中興通訊針對金融業(yè)務(wù)系統的開(kāi)發(fā)和測試進(jìn)行了深入的場(chǎng)景分析和方案討論，對開(kāi)發(fā)測試中的痛點(diǎn)和需求給出了詳細解決方案。主要包括如何安全管控研發(fā)合作人員的接入，如何限制系統訪(fǎng)問(wèn)權限和區域，數據如何隔離，文件如何在不同組織間安全傳遞；同時(shí)，研發(fā)團隊多，所用環(huán)境差異大，如何在安全的前提下快速有效地提供對應的研發(fā)環(huán)境；疫情下如何確保遠程研發(fā)及互聯(lián)網(wǎng)的安全接入等。

　　中興通訊自2012年開(kāi)始云電腦產(chǎn)品自主研發(fā)，對云電腦如何保障系統信息安全擁有豐富的實(shí)踐經(jīng)驗，并總結出一整套安全策略，形成從終端、接入、網(wǎng)絡(luò )、系統、數據和應用的全流程系統性安全方案。

　　為避免金融業(yè)務(wù)系統在開(kāi)發(fā)測試過(guò)程中的數據泄露，中興云電腦在終端側有完善的接入環(huán)境檢測和認證，對終端硬件特征（IP地址/MAC地址）、終端操作系統（版本號、系統補丁）及終端的USB端口等進(jìn)行檢測和控制，若環(huán)境不符合安全要求則不允許用戶(hù)登錄，USB端口一般情況下在系統后臺被設置為屏蔽狀態(tài)，只有經(jīng)過(guò)審批后外設才可在允許的范圍內接入使用。

　　中興云電腦在登錄過(guò)程中，通過(guò)多因子認證進(jìn)行安全鑒權，支持掃碼、安全令牌、短信、賬號密碼等多種方式組合認證。

　　在云電腦使用過(guò)程中，可提供防截屏和防錄屏功能，并可通過(guò)屏幕明水印、暗水印等功能進(jìn)行事后安全審計。

　　在終端檢測通過(guò)后，用戶(hù)被允許接入系統，訪(fǎng)問(wèn)系統分配的虛擬桌面，在接入及網(wǎng)絡(luò )傳輸中，中興云電腦提供了嚴格的安全保障機制。自研的互聯(lián)網(wǎng)接入網(wǎng)關(guān)CAG（Cloud Access Gateway)專(zhuān)門(mén)用于傳輸協(xié)議管控，對外統一端口接入，減少公網(wǎng)端口數量，屏蔽其他業(yè)務(wù)轉發(fā)請求。在云電腦工作過(guò)程中，本地應用無(wú)法訪(fǎng)問(wèn)互聯(lián)網(wǎng)，以保證云電腦辦公的絕對安全性，做到本地系統“辦公不上網(wǎng)，上網(wǎng)不辦公”。在接入網(wǎng)關(guān)的部署上，支持在DMZ區和內網(wǎng)部署兩套網(wǎng)關(guān)以實(shí)現雙跳接入，實(shí)現IP的雙層轉換。

　　采用TLS加密隧道進(jìn)行數據傳輸，同時(shí)支持量子加密，依靠量子的隨機性和不可復制性來(lái)確保數據更安全。

　　中興云電腦提供的應用環(huán)境管控DEM(Desk Environment Management)系統，對用戶(hù)使用的軟件應用從源頭上進(jìn)行管控，創(chuàng )建應用黑白名單，系統只允許經(jīng)DEM系統認證通過(guò)后的軟件供用戶(hù)下載和使用，且下載使用均可設置不同的權限范圍，用戶(hù)只可以安裝使用有權限的應用軟件。

　　系統在使用過(guò)程中實(shí)時(shí)檢測應用的運行情況，對應用進(jìn)行優(yōu)先級保證，同時(shí)屏蔽用戶(hù)使用非法應用。

　　為了保證金融業(yè)務(wù)系統研發(fā)過(guò)程中不同團隊的安全高效工作，中興云電腦提供多模板設置，每個(gè)模板預置對應研發(fā)組需要的研發(fā)應用，用戶(hù)申請和登錄云電腦后即可直接工作，減少了繁瑣的安裝操作過(guò)程。

　　用戶(hù)在云電腦中的數據文檔資料可設置文檔分級加密機制，文檔的共享和外發(fā)均有審計，確保文檔安全。

　　在防病毒上，采用邊界殺毒從入口就做好防護，使用無(wú)代理殺毒方案在主機側統一防護，不需要每個(gè)用戶(hù)安裝殺毒軟件，相較于傳統殺毒模式，減少了對計算資源、網(wǎng)絡(luò )資源和存儲IO資源的消耗，在保證用戶(hù)體驗的同時(shí)確保用戶(hù)數據安全。

　　支持金融企業(yè)不同分支機構，甚至同一機構下不同部門(mén)和團隊的租戶(hù)隔離。如針對不同研發(fā)組分配不同的資源組，對資源采用虛擬防火墻進(jìn)行網(wǎng)絡(luò )隔離，禁止用戶(hù)跨團隊訪(fǎng)問(wèn)，實(shí)現數據隔離，確保研發(fā)成果安全。

　　在數據安全上，系統支持整體和單虛擬機的備份，支持多副本及系統容災，保證業(yè)務(wù)連續性。

　　中興通訊長(cháng)期與多家操作系統、網(wǎng)絡(luò )安全、防病毒、行為審計、文檔安全等業(yè)界知名廠(chǎng)商保持合作，在中興云電腦上進(jìn)行完整適配，并與各廠(chǎng)商的版本升級更新迭代同步，確保金融客戶(hù)在整體解決方案上沒(méi)有兼容和實(shí)施風(fēng)險。

　　中興云電腦在金融業(yè)務(wù)系統的研發(fā)環(huán)境上，實(shí)現了終端的檢測和接入控制，在傳輸上實(shí)現了加密和網(wǎng)絡(luò )隔離，在系統側實(shí)現了邊界防護和數據隔離，在應用上實(shí)現了應用安全及權限管控，切實(shí)解決金融業(yè)務(wù)系統研發(fā)環(huán)境復雜、研發(fā)團隊多的安全管理需求；同時(shí)通過(guò)云電腦預置多種模板幫助構建不同的研發(fā)環(huán)境，讓研發(fā)人員高效開(kāi)展工作，隨到隨用，提高有效工作時(shí)間。

　　目前，中興通訊云電腦在金融行業(yè)已全面覆蓋國有大行、股份行、城農商行、保險等金融客戶(hù)，并形成多個(gè)大規模局點(diǎn)，尤其在研發(fā)測試場(chǎng)景下的應用最為廣泛。

　　早前某大型股份制銀行在使用傳統PC模式下進(jìn)行研發(fā)辦公，每年都有很多信息泄露風(fēng)險案例發(fā)生，頻頻被監管部門(mén)通報。痛定思痛后，于2017年開(kāi)始分期部署中興云電腦，利用中興云電腦的整體安全能力，充分實(shí)現了終端安全、接入安全、網(wǎng)絡(luò )安全、應用安全、管理安全，做到全方位、無(wú)死角的安全管理。

　　同時(shí)，中興云電腦深入了解該銀行用戶(hù)使用場(chǎng)景及需求，為其量身定制多種功能，切實(shí)解決其研發(fā)測試中遇到的問(wèn)題。如采用池化桌面+離線(xiàn)注銷(xiāo)方案，既確保人行征信系統、銀保監系統等敏感業(yè)務(wù)的安全訪(fǎng)問(wèn)，又大大提升了資源的有效利用；通過(guò)在原有PC和筆記本電腦上部署中興云電腦客戶(hù)端，實(shí)現設備利舊，降本增效；定制版云電腦體驗感知系統滿(mǎn)足該銀行多DC分散建設、統一運營(yíng)要求；自動(dòng)開(kāi)銷(xiāo)戶(hù)、智能機器人進(jìn)行自助化運維。

　　截止到去年底，該銀行已經(jīng)過(guò)4次擴容，整體用戶(hù)資源池超10000，范圍涉及總部數據中心、信用卡中心等業(yè)務(wù)單位。建設方案從原先的總行統一建設，拓展為全部分行分散建設，總行統一運營(yíng)；使用場(chǎng)景從最初的研發(fā)測試單場(chǎng)景拓展到辦公、生產(chǎn)等多場(chǎng)景，用戶(hù)也不再局限于外包人員。

　　在另一家股份制銀行的信息化建設中，中興通訊為其部署了一套服務(wù)于行內開(kāi)發(fā)、測試使用的云電腦平臺，用于總部及下轄各分支機構使用。該平臺在提高銀行信息系統安全的同時(shí)，更提升了銀行開(kāi)發(fā)、測試、辦公、業(yè)務(wù)處理的效率。平臺架構可支持單站點(diǎn)1萬(wàn)用戶(hù)并發(fā)，多站點(diǎn)最高可達10萬(wàn)用戶(hù)并發(fā)，且所用云電腦終端、軟件、服務(wù)器、交換機等產(chǎn)品均為中興通訊自主研發(fā)，滿(mǎn)足安全可控要求。

　　未來(lái)，中興通訊將繼續深耕金融業(yè)務(wù)領(lǐng)域的創(chuàng )新研究，持續推進(jìn)云電腦在金融企業(yè)的深度應用，以更多創(chuàng )新成果加速助力金融行業(yè)數字化轉型升級。