【51CTO.com 综合消息】金融行业的各项业务越来越依赖于互联网,虽然很多用户都在网络中部署了防火墙、IDS、防病毒软硬件等网络安全产品,但在内网安全管控方面依然还有待加强。常见的问题如下:
1、上网终端的管理不够严格。银行、证券、保险等用户内网规模普遍较大,能访问互联网的人数众多,个别用户没有及时安装系统补丁和安全类软件,使终端存在安全漏洞,容易感染病毒或受到外网入侵、引发安全问题。
2、互联网访问的管理不足。Internet的普及给金融行业的用户带来了极大便利,但个别职员在上班时间访问和工作无关的网站,影响了日常工作的开展。个别人可能利用手头的资金进行炒股或博彩等投机行为,存在资金安全的隐患。
3、信息和数据安全保护有待加强。金融行业的信息关系国计民生,如有人不慎将局域网中的信息通过邮件、BBS等工具泄露到互联网上,将对企业和国家带来不良影响。
招商银行上网行为管理解决方案
作为中国金融领域信息化的先行者之一,招商银行为避免发生上述的内网安全管控问题,选择了同国内知名网络厂商深信服公司合作,通过组建上网行为管理解决方案来实现内网安全的管控。
具体方案如下:
1、对内网终端和用户进行“合法性认证”
为进一步保证招商银行内网安全,招商银行通过启用上网行为管理的认证功能,对内外所有终端都进行了准入控制,只有安装杀毒软件、操作系统打全补丁的终端才可以正常上网;同时,招商银行还启动了上网身份认证,只有经过授权的合法用户才能上网,避免一些外来的用户私自接入银行内网,或个别客户更改IP或Mac地址、导致网络管理出现漏洞。
2、对内网用户进行分组和分层次的管理
不同的部门和个人的工作性质不同,所以网络管理的程度应该也是不同的,不能执行一刀切式的管理模式。为了让管理更人性化,招商银行根据各部门的工作性质、人员数量、职员级别等因素对内网用户进行了分组。
3、根据权限制订互联网的访问管理规范
在完成上述认证和权限划分后,最重要的后续工作就是对各个用户组的互联网访问内容进行规则和规范制订,主要方向是互联网web站点的过滤,应用软件的管理,P2P流量管理,外发信息管理等。
对于接触核心数据的业务部门和研发部门,就需要对上网权限进行严格管理、避免产生信息泄露,而对于接触核心数据较少的部门可适当宽松管理。
方案应用效果
通过在总行、研发中心、电话银行中心、电话银行备份中心、深圳支行等处部署多台上网行为管理设备,招商银行全面保障和落实了组织内部的信息安全策略。
1、内网用户分组和上网权限划分
通过权限划分并启用上网身份认证,招商银行实现了精细到每一个用户的上网认证,一方面让内网用户上网更规范,另一方面避免外来用户利用私人电脑接入,有效降低了网络管理者的维护量,避免出现安全隐患。
2、机密信息保护
通过上网行为管理方案,招商银行对电子邮件、IM聊天工具、BBS发帖等都做了相应管理。例如在电子邮件方面,招商银行通过上网行为管理的邮件延迟审计功能,保证内网用户外发邮件的正文和附件必须先经过管理员审核之后才能正常发出;在IM风险管控方面,招商银行通过上网行为管理产品实现了对多种IM软件的文件传输行为进行封堵,并对聊天信息进行适度管理,避免机密信息的泄露、也为日后异常事件的追溯提供了强有力的数据支撑。
通过这样的处理,招商银行内部的敏感信息如个人(企业)客户资料、未公开的政策法规、商业信息等等,都得到了安全保护。
3、应用和网站过滤
通过上网行为管理的过滤技术,招商银行对一些部门启用了应用和网站的过滤,对不良及存在风险的应用和网站进行了屏蔽,避免发生安全和资金隐患。
4、P2P流量控制管理
针对内网存在的P2P下载行为占用带宽的问题,招商银行利用上网行为管理产品对P2P流量进行了管理,根据不同部门的工作内容设定了P2P的下载权限,将P2P下载控制在一个可以接受的流量范围内,既方便员工通过P2P来下载工作相关的资料、又不影响正常的互联网访问。
5、上网行为记录
招商银行的内网用户每天访问互联网时产生了海量日志信息,需要一个大容量的数据备份机制,而且这些数据信息还需要通过直观的方式进行查询,便于IT部门和企业高层进行分析和决策。
深信服上网行为管理产品具备独立的日志中心系统,可以将日志库扩展到局域网内的任意一台服务器或PC上,这样存储空间就不会受到限制,帮助招商银行实现了互联网访问日志的完整存储。同时,IT部门可以通过图象化的报表了解网络带宽的应用情况以及内网用户的网络访问状态,帮助系统管理员更好的维护和管理网络,制订带宽扩容和应用优化决策。
通过部署深信服上网行为管理系统,招商银行加强了内网安全管控,完善了信息安全管理系统和制度,降低内部机密信息泄漏的风险,为银行业务的进一步发展奠定了基础。