北信源助力某農(nóng)商銀行建設(shè)企業(yè)即時通訊系統(tǒng)

某農(nóng)商銀行是國務(wù)院批準(zhǔn)組建的省級股份制農(nóng)村商業(yè)銀行,堅守“立足城鄉(xiāng)、服務(wù)三農(nóng)、服務(wù)中小企業(yè)、服務(wù)市民百姓”的市場定位,,助力鄉(xiāng)村振興,成為服務(wù)首都實體經(jīng)濟發(fā)展和保障民生的重要金融力量。

某農(nóng)商銀行是國務(wù)院批準(zhǔn)組建的省級股份制農(nóng)村商業(yè)銀行,堅守“立足城鄉(xiāng)、服務(wù)三農(nóng)、服務(wù)中小企業(yè)、服務(wù)市民百姓”的市場定位,,助力鄉(xiāng)村振興,成為服務(wù)首都實體經(jīng)濟發(fā)展和保障民生的重要金融力量。

為方便行方員工加強交流與通訊,提升溝通協(xié)作效率,故而選擇采用建設(shè)企業(yè)即時通訊系統(tǒng),通過定制化開發(fā)方式,實施系統(tǒng)建設(shè)。系統(tǒng)建設(shè)有以下三個特色:

1,打通內(nèi)網(wǎng)、外網(wǎng)即時通訊壁壘,實現(xiàn)在網(wǎng)絡(luò)物理隔離情況下,外網(wǎng)手機端、內(nèi)網(wǎng)pc端可互聯(lián)互通

2,采用多因子登錄(短信驗證)確保登錄安全、外網(wǎng)手機端登錄時有數(shù)據(jù)安全控制,實現(xiàn)數(shù)據(jù)不落地,進而確保數(shù)據(jù)安全

3,完成國產(chǎn)化系統(tǒng)改造,服務(wù)端及客戶端均完成該項系統(tǒng)改造

一、實施背景

為加強員工在工作中的交流與通訊,提升溝通協(xié)作效率,建設(shè)企業(yè)即時通訊系統(tǒng)。隨著系統(tǒng)使用、便捷性增加,隨之在系統(tǒng)通訊中產(chǎn)生大量的工作信息及工作文件。進一步提高系統(tǒng)便捷性,隨即開通了外網(wǎng)的手機端使用場景。為確保行方數(shù)據(jù)安全,定制了數(shù)據(jù)安全管控機制,確保外網(wǎng)手機端文件不落地。

二、建設(shè)內(nèi)容

1、實現(xiàn)即時通訊客戶端之間正常溝通使用(主要是外網(wǎng)客戶端與內(nèi)網(wǎng)之間)

從網(wǎng)絡(luò)上包括內(nèi)網(wǎng)之間、內(nèi)網(wǎng)與外網(wǎng)之間、外網(wǎng)之間;

從客戶端上包括手機端與PC端之間、PC端之間、手機端之間,手機端包括蘋果、安卓;

從使用上包括單聊、群聊、發(fā)送文件、圖片、音視頻等所有即時通訊具備的正常功能;

2、多因子登錄方式(用戶名、口令+短信隨機碼)

包括外網(wǎng)手機端和PC端(現(xiàn)有內(nèi)網(wǎng)PC客戶端有特殊定制內(nèi)容)

3、外網(wǎng)客戶端文件不落地

包括外網(wǎng)手機端和PC端,收到的文件包括文件、圖片、音視頻等僅可在即時通訊系統(tǒng)中瀏覽查看,不能轉(zhuǎn)發(fā)給第三方應(yīng)用打開查看

4、外網(wǎng)文件禁止傳入內(nèi)網(wǎng)

外網(wǎng)文件禁止發(fā)送到內(nèi)網(wǎng),防止感染病毒文件進入內(nèi)網(wǎng)傳播,功能可控制(控制外網(wǎng)客戶端是否可以發(fā)送文件等),當(dāng)在系統(tǒng)中文件由外網(wǎng)發(fā)送至內(nèi)網(wǎng)時,或如外網(wǎng)客戶端發(fā)送文件時,彈出相應(yīng)提示并阻斷傳入

5、采用國密算法加密消息通道防止信息泄露

6、防截屏、水印

增加閱讀水印及防截屏轉(zhuǎn)發(fā)功能。

部署架構(gòu)圖

系統(tǒng)架構(gòu)

三、實施方案

即時通訊

1、實現(xiàn)即時通訊客戶端之間正常溝通使用(主要是外網(wǎng)客戶端與內(nèi)網(wǎng)之間)

即時通訊實現(xiàn)方式:外網(wǎng)客戶端發(fā)送請求,與部署于DMZ區(qū)的代理服務(wù)器進行連接,代理服務(wù)器轉(zhuǎn)發(fā)請求到密信內(nèi)網(wǎng)服務(wù)器進行請求處理,密信內(nèi)網(wǎng)服務(wù)器處理完畢后轉(zhuǎn)發(fā)到內(nèi)網(wǎng)客戶端或外網(wǎng)移動端實現(xiàn)外網(wǎng)與內(nèi)部網(wǎng)絡(luò)的即時通訊溝通。

2、多因子登錄方式(用戶名、口令+短信驗證碼)

外網(wǎng)客戶端用戶在登陸過程中,首先選擇外網(wǎng)登錄的方式,外網(wǎng)登錄方式需要用戶輸入用戶名、口令和短信驗證碼實現(xiàn)登錄。

首先用戶通過代理服務(wù)器域名或IP及輸入手機號來獲取短信驗證碼,代理服務(wù)器收到請求后,判斷是外網(wǎng)IP發(fā)來的請求,則轉(zhuǎn)發(fā)獲取短信驗證碼的請求到信源密信服務(wù)器,由信源密信服務(wù)器觸發(fā)短信服務(wù)器發(fā)送短信給用戶輸入的手機號。

用戶輸入用戶名、口令和接收到的短信驗證碼,發(fā)起登錄請求后,代理服務(wù)器將請求發(fā)送到信源密信服務(wù)器,由信源密信服務(wù)器從內(nèi)網(wǎng)域服務(wù)器及短信服務(wù)器獲取相關(guān)信息進行信息比對,實現(xiàn)登錄驗證,驗證通過,則返回登錄成功信息到客戶端,客戶端實現(xiàn)登錄。

3、外網(wǎng)客戶端接收文件不落地

外網(wǎng)客戶端接收到文件后,可下載查看,下載后加密存儲于本地數(shù)據(jù)庫,第三方應(yīng)用無法打開查看文件內(nèi)容。

4、外網(wǎng)文件禁止傳入內(nèi)網(wǎng)

當(dāng)外網(wǎng)客戶端發(fā)送文件時,代理服務(wù)器判斷出是外網(wǎng)地址,返回拒絕信息,客戶端給用戶彈出禁止發(fā)送文件提示,功能可控制(控制外網(wǎng)客戶端是否可以發(fā)送文件等),轉(zhuǎn)發(fā)收到的文件不受影響

5、采用國密算法加密消息通道防止信息泄露

信源密信支持采用國密算法進行數(shù)據(jù)加密。

6、防截屏、水印

信源密信支持在管理后臺開啟禁止截屏(IOS手機暫不支持),開啟明水印,開啟暗水印,禁止將消息轉(zhuǎn)發(fā)到三方應(yīng)用,禁止復(fù)制消息等開關(guān)。從多個方面,有效防止消息的泄露及數(shù)據(jù)溯源。

THEEND

最新評論

更多
暫無評論