信息中心
招商銀行上網行為管理解決方案
內網管理建設需要符合相關標準、規范以及文件精神的要求。目前各大銀行均已制訂了成文的信息安全策略,招商銀行也不例外。互聯網控制是銀行安全策略的核心之一,貫徹和執行該信息安全策略需要相應的行政手段和技術手段相結合。上網行為管理作為銀行互聯網控制的主要內容之一,是落實信息安全策略的最重要的手段。
深信服AC的強大的功能和優異的性能,得到了招商銀行的高度認可,其一期工程采購了2臺M5800-AC,3臺M5600-AC,1臺M5400-AC;二期工程采購了22臺M5600-AC,分別部署于總行、研發中心、電話銀行中心、電話銀行備份中心、深圳支行等處,全面保障和落實組織內部的信息安全策略。
1、 內網用戶上網權限劃分
我們把外網和內網中間的網絡稱之為前沿網絡。對于銀行網絡來說,外網控制主要對銀行系統業務網、辦公網、與外單位互聯的接口網絡之間按各自的應用范圍、安全保密程度進行合理分布管理,以免局部安全性較低的網絡系統造成的威脅,傳播到整個網絡系統。內網則需要根據不同的權限管理進行劃分,比如針對不同業務、不同部門、不同職位等。除了把組劃分好之后,我們下一步還需要給相應的組分別對應不同的上網權限,比如:財務組不能訪問新浪網站,網絡部則可以訪問等,甚至每個組中的某一個具體用戶用都可以針對用戶的私有IP地址+網卡MAC地址來分配所能訪問的權限。細致的上網權限劃分是上網行為管理產品必需具備的功能之一,招商銀行通過深信服AC上網行為管理網關,建立了完善的職能部門和成熟的決策流程,也大大降低了網絡管理者的維護量,合理的規劃出局域網的組織結構。
2、機密信息保密
招商銀行在未部署深信服AC上網行為管理產品之前,內部機密信息很容易泄漏。銀行的信息保密機制是最為嚴格的,例如:個人(企業)客戶資料、未公開的政策法規、商業信息等等,都具有非常高的機密性,如果職員利用互聯網有意或者無意的通過Email、QQ、MSN、BBS等渠道很容易造成這些信息的泄密或丟失。深信服AC上網行為管理設備具備多種機密信息的保護技術,用戶可以通過專利技術之一的郵件延遲審計技術,將內網用戶發送的郵件先轉移至設備的郵件緩存區,郵件審核人員通過系統口令訪問郵件緩存區并審核郵件正文及其附件,那些涉及到機密信息、侵犯性語言、非法URL、個人隱私的郵件將被返回給發件人或者丟棄。而這一審核過程對局域網中的用戶是完全透明的,郵件的發送過程和以往并沒有任何不同。
3、敏感數據信息過濾
深信服AC上網行為管理設備通過URL、關鍵字過濾等技術手段禁止不良網站的訪問,并且需要記錄關于訪問行為的所有信息,例如:當事人名字,及其所訪問的或者被禁止訪問的網頁,并且該次訪問是在什么時候發生的等等信息。在深信服AC上網行為管理設備中內置了URL庫,其中包含了海量的成人、暴力、反動和惡意網站信息,這有助于將不健康和包含潛在威脅的網站攔截在外,通過對URL的阻攔,可大大降低內網用戶對不良Web頁面的訪問,關鍵字過濾的手段也是通過管理員在該設備上預先設置敏感性的關鍵字,例如:法倫功、色情等。
4、流量控制管理
P2P技術是目前互聯網中被人們最常使用的下載軟件,它使人們可以高速獲取海量網絡資源,例如:BT、電驢,以及在線影院等等,而這些P2P軟件對帶寬的占用也讓網管員無可奈何。一個2M以太網出口的局域網,只要有2個以上的員工不限速地使用BT,所有人的正常網絡瀏覽都將成為不可完成的任務。每天,互聯網上都會有人發布最新的P2P軟件,版本的更新也導致很多針對P2P的產品無法發揮作用。那為什么這些P2P軟件會這么難管呢?主要原因是原有的P2P控制管理工具都是基于應用程序的端口進行封堵,一旦最新的P2P軟件端口發生變化,原來的控制軟件就很難封賭了。深信服AC上網行為管理設備通過對P2P下載軟件的智能檢測技術來實現管理。通過這種技術,管理員甚至可以徹底封鎖所有的P2P流量,甚至還可以根據實際情況,選擇針對特定用戶和相應的P2P工具進行流量控制。
5、詳細的日志信息備份分析系統
目前國內大型機構都在踐行公安部與2006年3月1日頒布的82號文件,其第七條中提到,按規定執行的企業必須記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名、系統維護日志的技術措施,以及第十條,即:
(一)記錄并留存用戶注冊信息;
(二)在公共信息服務中發現、停止傳輸違法信息,并保留相關記錄;
(三)聯網使用單位使用內部網絡地址與互聯網網絡地址轉換方式向用戶提供接入服務的,能夠記錄并留存用戶使用的互聯網網絡地址和內部網絡地址對應關系。
對于招商銀行來說,內網用戶每天訪問互聯網時所產生的海量日志信息需要一個更大容量的數據備份機制,網關所能提供的硬盤存儲容量是有限的,而且這些數據信息還需要通過更為直觀和簡單的方式進行查詢。招商銀行更為關注日志信息的完成性和保密性,深信服AC上網行為管理設備支持獨立的日志信息備份存儲中心,稱為數據中心(Network Data Center, NDC),可以保證內網所有信息數據的完整性和保密性。招商銀行通過深信服AC的獨立日志中心系統,可以無限量的存儲內網訪問的日志信息,例如銀行內部的某個職員訪問互聯網時候出現濫用、誤用、盜用個人客戶或者企業客戶保密信息等等行為的時候, AC把這些日志信息完整統計下來并發送至數據中心。
通過使用深信服AC NDC,組織的管理者可以通過直觀的、圖象化的方式了解網絡帶寬的利用情況以及內網用戶的網絡訪問狀態,NDC將網絡使用情況自動生成報表并統計出網絡訪問的趨勢,以幫助系統管理員更好的維護和管理網絡。
管理員可以遠程通過Web方式實時地了解深信服 AC 的網絡運行狀況和網絡行為日志,并將日志記錄統一導出,形成整個組織的網絡行為分析記錄,進而制定出細化的、多層次的安全策略,更為嚴密的保障銀行的信息安全機密,和優化對內網的管理。
6、深信服AC給招商銀行帶來的價值
據美國CSI/FBI的調查結果顯示,企業和政府機構因重要信息被竊所造成的損失,已遠遠超過病毒感染和黑客攻擊所造成的損失,80%以上的安全威脅來自組織內部。深信服AC上網行為管理產品在招商銀行的成功應用,規范了銀行職員在上班時間的上網行為,提高了工作效率,完善了招商銀行信息化安全管理系統和機制,降低了內部機密信息泄漏的風險,強大的數據中心更保證了信息的完整性,也更易于網絡管理人員的日常管理。
文章作者:立志
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄