信息化觀察網(wǎng)

某農(nóng)商銀行是國務(wù)院批準組建的省級股份制農(nóng)村商業(yè)銀行，堅守“立足城鄉(xiāng)、服務(wù)三農(nóng)、服務(wù)中小企業(yè)、服務(wù)市民百姓”的市場定位，，助力鄉(xiāng)村振興，成為服務(wù)首都實體經(jīng)濟發(fā)展和保障民生的重要金融力量。

為方便行方員工加強交流與通訊，提升溝通協(xié)作效率，故而選擇采用建設(shè)企業(yè)即時通訊系統(tǒng)，通過定制化開發(fā)方式，實施系統(tǒng)建設(shè)。系統(tǒng)建設(shè)有以下三個特色：

1，打通內(nèi)網(wǎng)、外網(wǎng)即時通訊壁壘，實現(xiàn)在網(wǎng)絡(luò)物理隔離情況下，外網(wǎng)手機端、內(nèi)網(wǎng)pc端可互聯(lián)互通

2，采用多因子登錄（短信驗證）確保登錄安全、外網(wǎng)手機端登錄時有數(shù)據(jù)安全控制，實現(xiàn)數(shù)據(jù)不落地，進而確保數(shù)據(jù)安全

3，完成國產(chǎn)化系統(tǒng)改造，服務(wù)端及客戶端均完成該項系統(tǒng)改造

一、實施背景

為加強員工在工作中的交流與通訊，提升溝通協(xié)作效率，建設(shè)企業(yè)即時通訊系統(tǒng)。隨著系統(tǒng)使用、便捷性增加，隨之在系統(tǒng)通訊中產(chǎn)生大量的工作信息及工作文件。進一步提高系統(tǒng)便捷性，隨即開通了外網(wǎng)的手機端使用場景。為確保行方數(shù)據(jù)安全，定制了數(shù)據(jù)安全管控機制，確保外網(wǎng)手機端文件不落地。

二、建設(shè)內(nèi)容

1、實現(xiàn)即時通訊客戶端之間正常溝通使用（主要是外網(wǎng)客戶端與內(nèi)網(wǎng)之間）

從網(wǎng)絡(luò)上包括內(nèi)網(wǎng)之間、內(nèi)網(wǎng)與外網(wǎng)之間、外網(wǎng)之間；

從客戶端上包括手機端與PC端之間、PC端之間、手機端之間,手機端包括蘋果、安卓；

從使用上包括單聊、群聊、發(fā)送文件、圖片、音視頻等所有即時通訊具備的正常功能；

2、多因子登錄方式（用戶名、口令+短信隨機碼）

包括外網(wǎng)手機端和PC端（現(xiàn)有內(nèi)網(wǎng)PC客戶端有特殊定制內(nèi)容）

3、外網(wǎng)客戶端文件不落地

包括外網(wǎng)手機端和PC端，收到的文件包括文件、圖片、音視頻等僅可在即時通訊系統(tǒng)中瀏覽查看，不能轉(zhuǎn)發(fā)給第三方應(yīng)用打開查看

4、外網(wǎng)文件禁止傳入內(nèi)網(wǎng)

外網(wǎng)文件禁止發(fā)送到內(nèi)網(wǎng)，防止感染病毒文件進入內(nèi)網(wǎng)傳播，功能可控制（控制外網(wǎng)客戶端是否可以發(fā)送文件等），當在系統(tǒng)中文件由外網(wǎng)發(fā)送至內(nèi)網(wǎng)時，或如外網(wǎng)客戶端發(fā)送文件時，彈出相應(yīng)提示并阻斷傳入

5、采用國密算法加密消息通道防止信息泄露

6、防截屏、水印

增加閱讀水印及防截屏轉(zhuǎn)發(fā)功能。

部署架構(gòu)圖

系統(tǒng)架構(gòu)

三、實施方案

即時通訊

1、實現(xiàn)即時通訊客戶端之間正常溝通使用（主要是外網(wǎng)客戶端與內(nèi)網(wǎng)之間）

即時通訊實現(xiàn)方式：外網(wǎng)客戶端發(fā)送請求，與部署于DMZ區(qū)的代理服務(wù)器進行連接，代理服務(wù)器轉(zhuǎn)發(fā)請求到密信內(nèi)網(wǎng)服務(wù)器進行請求處理，密信內(nèi)網(wǎng)服務(wù)器處理完畢后轉(zhuǎn)發(fā)到內(nèi)網(wǎng)客戶端或外網(wǎng)移動端實現(xiàn)外網(wǎng)與內(nèi)部網(wǎng)絡(luò)的即時通訊溝通。

2、多因子登錄方式（用戶名、口令+短信驗證碼）

外網(wǎng)客戶端用戶在登陸過程中，首先選擇外網(wǎng)登錄的方式，外網(wǎng)登錄方式需要用戶輸入用戶名、口令和短信驗證碼實現(xiàn)登錄。

首先用戶通過代理服務(wù)器域名或IP及輸入手機號來獲取短信驗證碼，代理服務(wù)器收到請求后，判斷是外網(wǎng)IP發(fā)來的請求，則轉(zhuǎn)發(fā)獲取短信驗證碼的請求到信源密信服務(wù)器，由信源密信服務(wù)器觸發(fā)短信服務(wù)器發(fā)送短信給用戶輸入的手機號。

用戶輸入用戶名、口令和接收到的短信驗證碼，發(fā)起登錄請求后，代理服務(wù)器將請求發(fā)送到信源密信服務(wù)器，由信源密信服務(wù)器從內(nèi)網(wǎng)域服務(wù)器及短信服務(wù)器獲取相關(guān)信息進行信息比對，實現(xiàn)登錄驗證，驗證通過，則返回登錄成功信息到客戶端，客戶端實現(xiàn)登錄。

3、外網(wǎng)客戶端接收文件不落地

外網(wǎng)客戶端接收到文件后，可下載查看，下載后加密存儲于本地數(shù)據(jù)庫，第三方應(yīng)用無法打開查看文件內(nèi)容。

4、外網(wǎng)文件禁止傳入內(nèi)網(wǎng)

當外網(wǎng)客戶端發(fā)送文件時，代理服務(wù)器判斷出是外網(wǎng)地址，返回拒絕信息，客戶端給用戶彈出禁止發(fā)送文件提示，功能可控制（控制外網(wǎng)客戶端是否可以發(fā)送文件等）,轉(zhuǎn)發(fā)收到的文件不受影響

5、采用國密算法加密消息通道防止信息泄露

信源密信支持采用國密算法進行數(shù)據(jù)加密。

6、防截屏、水印

信源密信支持在管理后臺開啟禁止截屏（IOS手機暫不支持），開啟明水印，開啟暗水印，禁止將消息轉(zhuǎn)發(fā)到三方應(yīng)用，禁止復(fù)制消息等開關(guān)。從多個方面，有效防止消息的泄露及數(shù)據(jù)溯源。