金融業(yè)務系統(tǒng)和數(shù)據(jù)是各金融企業(yè)的核心資產(chǎn)，對安全性有著極高要求，而金融業(yè)務系統(tǒng)的開發(fā)、測試則是一個重要的前置環(huán)節(jié)，如何保證研發(fā)系統(tǒng)及數(shù)據(jù)在生產(chǎn)部署前安全可靠，一方面要避免軟硬件系統(tǒng)的影響而導致數(shù)據(jù)丟失和損壞，另一方面也要避免系統(tǒng)受到外部攻擊和破壞，這些都是我們要重點考慮的。

　　各金融企業(yè)都有自己的業(yè)務系統(tǒng)開發(fā)團隊，但由于金融業(yè)務系統(tǒng)龐大，相關軟硬件眾多，涉及到的廠商和技術合作也較多，不可避免地要使用到第三方合作廠商的系統(tǒng)接口及數(shù)據(jù)，并且有第三方合作開發(fā)人員接入到銀行研發(fā)環(huán)境進行系統(tǒng)對接開發(fā)、測試和聯(lián)調(diào)，這使得銀行系統(tǒng)、應用和數(shù)據(jù)的安全性問題較為突出。

　　通過與上百家金融客戶的長期合作探討，中興通訊針對金融業(yè)務系統(tǒng)的開發(fā)和測試進行了深入的場景分析和方案討論，對開發(fā)測試中的痛點和需求給出了詳細解決方案。主要包括如何安全管控研發(fā)合作人員的接入，如何限制系統(tǒng)訪問權限和區(qū)域，數(shù)據(jù)如何隔離，文件如何在不同組織間安全傳遞；同時，研發(fā)團隊多，所用環(huán)境差異大，如何在安全的前提下快速有效地提供對應的研發(fā)環(huán)境；疫情下如何確保遠程研發(fā)及互聯(lián)網(wǎng)的安全接入等。

　　中興通訊自2012年開始云電腦產(chǎn)品自主研發(fā)，對云電腦如何保障系統(tǒng)信息安全擁有豐富的實踐經(jīng)驗，并總結出一整套安全策略，形成從終端、接入、網(wǎng)絡、系統(tǒng)、數(shù)據(jù)和應用的全流程系統(tǒng)性安全方案。

　　為避免金融業(yè)務系統(tǒng)在開發(fā)測試過程中的數(shù)據(jù)泄露，中興云電腦在終端側有完善的接入環(huán)境檢測和認證，對終端硬件特征（IP地址/MAC地址）、終端操作系統(tǒng)（版本號、系統(tǒng)補�。┘敖K端的USB端口等進行檢測和控制，若環(huán)境不符合安全要求則不允許用戶登錄，USB端口一般情況下在系統(tǒng)后臺被設置為屏蔽狀態(tài)，只有經(jīng)過審批后外設才可在允許的范圍內(nèi)接入使用。

　　中興云電腦在登錄過程中，通過多因子認證進行安全鑒權，支持掃碼、安全令牌、短信、賬號密碼等多種方式組合認證。

　　在云電腦使用過程中，可提供防截屏和防錄屏功能，并可通過屏幕明水印、暗水印等功能進行事后安全審計。

　　在終端檢測通過后，用戶被允許接入系統(tǒng)，訪問系統(tǒng)分配的虛擬桌面，在接入及網(wǎng)絡傳輸中，中興云電腦提供了嚴格的安全保障機制。自研的互聯(lián)網(wǎng)接入網(wǎng)關CAG（Cloud Access Gateway)專門用于傳輸協(xié)議管控，對外統(tǒng)一端口接入，減少公網(wǎng)端口數(shù)量，屏蔽其他業(yè)務轉發(fā)請求。在云電腦工作過程中，本地應用無法訪問互聯(lián)網(wǎng)，以保證云電腦辦公的絕對安全性，做到本地系統(tǒng)“辦公不上網(wǎng)，上網(wǎng)不辦公”。在接入網(wǎng)關的部署上，支持在DMZ區(qū)和內(nèi)網(wǎng)部署兩套網(wǎng)關以實現(xiàn)雙跳接入，實現(xiàn)IP的雙層轉換。

　　采用TLS加密隧道進行數(shù)據(jù)傳輸，同時支持量子加密，依靠量子的隨機性和不可復制性來確保數(shù)據(jù)更安全。

　　中興云電腦提供的應用環(huán)境管控DEM(Desk Environment Management)系統(tǒng)，對用戶使用的軟件應用從源頭上進行管控，創(chuàng)建應用黑白名單，系統(tǒng)只允許經(jīng)DEM系統(tǒng)認證通過后的軟件供用戶下載和使用，且下載使用均可設置不同的權限范圍，用戶只可以安裝使用有權限的應用軟件。

　　系統(tǒng)在使用過程中實時檢測應用的運行情況，對應用進行優(yōu)先級保證，同時屏蔽用戶使用非法應用。

　　為了保證金融業(yè)務系統(tǒng)研發(fā)過程中不同團隊的安全高效工作，中興云電腦提供多模板設置，每個模板預置對應研發(fā)組需要的研發(fā)應用，用戶申請和登錄云電腦后即可直接工作，減少了繁瑣的安裝操作過程。

　　用戶在云電腦中的數(shù)據(jù)文檔資料可設置文檔分級加密機制，文檔的共享和外發(fā)均有審計，確保文檔安全。

　　在防病毒上，采用邊界殺毒從入口就做好防護，使用無代理殺毒方案在主機側統(tǒng)一防護，不需要每個用戶安裝殺毒軟件，相較于傳統(tǒng)殺毒模式，減少了對計算資源、網(wǎng)絡資源和存儲IO資源的消耗，在保證用戶體驗的同時確保用戶數(shù)據(jù)安全。

　　支持金融企業(yè)不同分支機構，甚至同一機構下不同部門和團隊的租戶隔離。如針對不同研發(fā)組分配不同的資源組，對資源采用虛擬防火墻進行網(wǎng)絡隔離，禁止用戶跨團隊訪問，實現(xiàn)數(shù)據(jù)隔離，確保研發(fā)成果安全。

　　在數(shù)據(jù)安全上，系統(tǒng)支持整體和單虛擬機的備份，支持多副本及系統(tǒng)容災，保證業(yè)務連續(xù)性。

　　中興通訊長期與多家操作系統(tǒng)、網(wǎng)絡安全、防病毒、行為審計、文檔安全等業(yè)界知名廠商保持合作，在中興云電腦上進行完整適配，并與各廠商的版本升級更新迭代同步，確保金融客戶在整體解決方案上沒有兼容和實施風險。

　　中興云電腦在金融業(yè)務系統(tǒng)的研發(fā)環(huán)境上，實現(xiàn)了終端的檢測和接入控制，在傳輸上實現(xiàn)了加密和網(wǎng)絡隔離，在系統(tǒng)側實現(xiàn)了邊界防護和數(shù)據(jù)隔離，在應用上實現(xiàn)了應用安全及權限管控，切實解決金融業(yè)務系統(tǒng)研發(fā)環(huán)境復雜、研發(fā)團隊多的安全管理需求；同時通過云電腦預置多種模板幫助構建不同的研發(fā)環(huán)境，讓研發(fā)人員高效開展工作，隨到隨用，提高有效工作時間。

　　目前，中興通訊云電腦在金融行業(yè)已全面覆蓋國有大行、股份行、城農(nóng)商行、保險等金融客戶，并形成多個大規(guī)模局點，尤其在研發(fā)測試場景下的應用最為廣泛。

　　早前某大型股份制銀行在使用傳統(tǒng)PC模式下進行研發(fā)辦公，每年都有很多信息泄露風險案例發(fā)生，頻頻被監(jiān)管部門通報。痛定思痛后，于2017年開始分期部署中興云電腦，利用中興云電腦的整體安全能力，充分實現(xiàn)了終端安全、接入安全、網(wǎng)絡安全、應用安全、管理安全，做到全方位、無死角的安全管理。

　　同時，中興云電腦深入了解該銀行用戶使用場景及需求，為其量身定制多種功能，切實解決其研發(fā)測試中遇到的問題。如采用池化桌面+離線注銷方案，既確保人行征信系統(tǒng)、銀保監(jiān)系統(tǒng)等敏感業(yè)務的安全訪問，又大大提升了資源的有效利用；通過在原有PC和筆記本電腦上部署中興云電腦客戶端，實現(xiàn)設備利舊，降本增效；定制版云電腦體驗感知系統(tǒng)滿足該銀行多DC分散建設、統(tǒng)一運營要求；自動開銷戶、智能機器人進行自助化運維。

　　截止到去年底，該銀行已經(jīng)過4次擴容，整體用戶資源池超10000，范圍涉及總部數(shù)據(jù)中心、信用卡中心等業(yè)務單位。建設方案從原先的總行統(tǒng)一建設，拓展為全部分行分散建設，總行統(tǒng)一運營；使用場景從最初的研發(fā)測試單場景拓展到辦公、生產(chǎn)等多場景，用戶也不再局限于外包人員。

　　在另一家股份制銀行的信息化建設中，中興通訊為其部署了一套服務于行內(nèi)開發(fā)、測試使用的云電腦平臺，用于總部及下轄各分支機構使用。該平臺在提高銀行信息系統(tǒng)安全的同時，更提升了銀行開發(fā)、測試、辦公、業(yè)務處理的效率。平臺架構可支持單站點1萬用戶并發(fā)，多站點最高可達10萬用戶并發(fā)，且所用云電腦終端、軟件、服務器、交換機等產(chǎn)品均為中興通訊自主研發(fā)，滿足安全可控要求。

　　未來，中興通訊將繼續(xù)深耕金融業(yè)務領域的創(chuàng)新研究，持續(xù)推進云電腦在金融企業(yè)的深度應用，以更多創(chuàng)新成果加速助力金融行業(yè)數(shù)字化轉型升級。