【51CTO.com 綜合消息】金融行業(yè)的各項(xiàng)業(yè)務(wù)越來越依賴于互聯(lián)網(wǎng)，雖然很多用戶都在網(wǎng)絡(luò)中部署了防火墻、IDS、防病毒軟硬件等網(wǎng)絡(luò)安全產(chǎn)品，但在內(nèi)網(wǎng)安全管控方面依然還有待加強(qiáng)。常見的問題如下：

1、上網(wǎng)終端的管理不夠嚴(yán)格。銀行、證券、保險(xiǎn)等用戶內(nèi)網(wǎng)規(guī)模普遍較大，能訪問互聯(lián)網(wǎng)的人數(shù)眾多，個別用戶沒有及時(shí)安裝系統(tǒng)補(bǔ)丁和安全類軟件，使終端存在安全漏洞，容易感染病毒或受到外網(wǎng)入侵、引發(fā)安全問題。

2、互聯(lián)網(wǎng)訪問的管理不足。Internet的普及給金融行業(yè)的用戶帶來了極大便利，但個別職員在上班時(shí)間訪問和工作無關(guān)的網(wǎng)站，影響了日常工作的開展。個別人可能利用手頭的資金進(jìn)行炒股或博彩等投機(jī)行為，存在資金安全的隱患。

3、信息和數(shù)據(jù)安全保護(hù)有待加強(qiáng)。金融行業(yè)的信息關(guān)系國計(jì)民生，如有人不慎將局域網(wǎng)中的信息通過郵件、BBS等工具泄露到互聯(lián)網(wǎng)上，將對企業(yè)和國家?guī)聿涣加绊憽?/P>

招商銀行上網(wǎng)行為管理解決方案

作為中國金融領(lǐng)域信息化的先行者之一，招商銀行為避免發(fā)生上述的內(nèi)網(wǎng)安全管控問題，選擇了同國內(nèi)知名網(wǎng)絡(luò)廠商深信服公司合作，通過組建上網(wǎng)行為管理解決方案來實(shí)現(xiàn)內(nèi)網(wǎng)安全的管控。
 
具體方案如下：

1、對內(nèi)網(wǎng)終端和用戶進(jìn)行“合法性認(rèn)證”  

為進(jìn)一步保證招商銀行內(nèi)網(wǎng)安全，招商銀行通過啟用上網(wǎng)行為管理的認(rèn)證功能，對內(nèi)外所有終端都進(jìn)行了準(zhǔn)入控制，只有安裝殺毒軟件、操作系統(tǒng)打全補(bǔ)丁的終端才可以正常上網(wǎng)；同時(shí)，招商銀行還啟動了上網(wǎng)身份認(rèn)證，只有經(jīng)過授權(quán)的合法用戶才能上網(wǎng)，避免一些外來的用戶私自接入銀行內(nèi)網(wǎng)，或個別客戶更改IP或Mac地址、導(dǎo)致網(wǎng)絡(luò)管理出現(xiàn)漏洞。

2、對內(nèi)網(wǎng)用戶進(jìn)行分組和分層次的管理

不同的部門和個人的工作性質(zhì)不同，所以網(wǎng)絡(luò)管理的程度應(yīng)該也是不同的，不能執(zhí)行一刀切式的管理模式。為了讓管理更人性化，招商銀行根據(jù)各部門的工作性質(zhì)、人員數(shù)量、職員級別等因素對內(nèi)網(wǎng)用戶進(jìn)行了分組。

3、根據(jù)權(quán)限制訂互聯(lián)網(wǎng)的訪問管理規(guī)范 

在完成上述認(rèn)證和權(quán)限劃分后，最重要的后續(xù)工作就是對各個用戶組的互聯(lián)網(wǎng)訪問內(nèi)容進(jìn)行規(guī)則和規(guī)范制訂，主要方向是互聯(lián)網(wǎng)web站點(diǎn)的過濾，應(yīng)用軟件的管理，P2P流量管理，外發(fā)信息管理等。

對于接觸核心數(shù)據(jù)的業(yè)務(wù)部門和研發(fā)部門，就需要對上網(wǎng)權(quán)限進(jìn)行嚴(yán)格管理、避免產(chǎn)生信息泄露，而對于接觸核心數(shù)據(jù)較少的部門可適當(dāng)寬松管理。

方案應(yīng)用效果

通過在總行、研發(fā)中心、電話銀行中心、電話銀行備份中心、深圳支行等處部署多臺上網(wǎng)行為管理設(shè)備，招商銀行全面保障和落實(shí)了組織內(nèi)部的信息安全策略。

1、內(nèi)網(wǎng)用戶分組和上網(wǎng)權(quán)限劃分

通過權(quán)限劃分并啟用上網(wǎng)身份認(rèn)證，招商銀行實(shí)現(xiàn)了精細(xì)到每一個用戶的上網(wǎng)認(rèn)證，一方面讓內(nèi)網(wǎng)用戶上網(wǎng)更規(guī)范，另一方面避免外來用戶利用私人電腦接入，有效降低了網(wǎng)絡(luò)管理者的維護(hù)量，避免出現(xiàn)安全隱患。

2、機(jī)密信息保護(hù)

通過上網(wǎng)行為管理方案，招商銀行對電子郵件、IM聊天工具、BBS發(fā)帖等都做了相應(yīng)管理。例如在電子郵件方面，招商銀行通過上網(wǎng)行為管理的郵件延遲審計(jì)功能，保證內(nèi)網(wǎng)用戶外發(fā)郵件的正文和附件必須先經(jīng)過管理員審核之后才能正常發(fā)出；在IM風(fēng)險(xiǎn)管控方面，招商銀行通過上網(wǎng)行為管理產(chǎn)品實(shí)現(xiàn)了對多種IM軟件的文件傳輸行為進(jìn)行封堵，并對聊天信息進(jìn)行適度管理，避免機(jī)密信息的泄露、也為日后異常事件的追溯提供了強(qiáng)有力的數(shù)據(jù)支撐。

通過這樣的處理，招商銀行內(nèi)部的敏感信息如個人（企業(yè)）客戶資料、未公開的政策法規(guī)、商業(yè)信息等等，都得到了安全保護(hù)。

3、應(yīng)用和網(wǎng)站過濾

通過上網(wǎng)行為管理的過濾技術(shù)，招商銀行對一些部門啟用了應(yīng)用和網(wǎng)站的過濾，對不良及存在風(fēng)險(xiǎn)的應(yīng)用和網(wǎng)站進(jìn)行了屏蔽，避免發(fā)生安全和資金隱患。

4、P2P流量控制管理

針對內(nèi)網(wǎng)存在的P2P下載行為占用帶寬的問題，招商銀行利用上網(wǎng)行為管理產(chǎn)品對P2P流量進(jìn)行了管理，根據(jù)不同部門的工作內(nèi)容設(shè)定了P2P的下載權(quán)限，將P2P下載控制在一個可以接受的流量范圍內(nèi)，既方便員工通過P2P來下載工作相關(guān)的資料、又不影響正常的互聯(lián)網(wǎng)訪問。

5、上網(wǎng)行為記錄

招商銀行的內(nèi)網(wǎng)用戶每天訪問互聯(lián)網(wǎng)時(shí)產(chǎn)生了海量日志信息，需要一個大容量的數(shù)據(jù)備份機(jī)制，而且這些數(shù)據(jù)信息還需要通過直觀的方式進(jìn)行查詢，便于IT部門和企業(yè)高層進(jìn)行分析和決策。

深信服上網(wǎng)行為管理產(chǎn)品具備獨(dú)立的日志中心系統(tǒng)，可以將日志庫擴(kuò)展到局域網(wǎng)內(nèi)的任意一臺服務(wù)器或PC上，這樣存儲空間就不會受到限制，幫助招商銀行實(shí)現(xiàn)了互聯(lián)網(wǎng)訪問日志的完整存儲。同時(shí)，IT部門可以通過圖象化的報(bào)表了解網(wǎng)絡(luò)帶寬的應(yīng)用情況以及內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)訪問狀態(tài)，幫助系統(tǒng)管理員更好的維護(hù)和管理網(wǎng)絡(luò)，制訂帶寬擴(kuò)容和應(yīng)用優(yōu)化決策。  

通過部署深信服上網(wǎng)行為管理系統(tǒng)，招商銀行加強(qiáng)了內(nèi)網(wǎng)安全管控，完善了信息安全管理系統(tǒng)和制度，降低內(nèi)部機(jī)密信息泄漏的風(fēng)險(xiǎn)，為銀行業(yè)務(wù)的進(jìn)一步發(fā)展奠定了基礎(chǔ)。