网络通信 频道

招商银行构建由内而外的安全管理机制

招商银行上网行为管理解决方案

  内网管理建设需要符合相关标准、规范以及文件精神的要求。目前各大银行均已制订了成文的信息安全策略,招商银行也不例外。互联网控制是银行安全策略的核心之一,贯彻和执行该信息安全策略需要相应的行政手段和技术手段相结合。上网行为管理作为银行互联网控制的主要内容之一,是落实信息安全策略的最重要的手段。
  

  深信服AC的强大的功能和优异的性能,得到了招商银行的高度认可,其一期工程采购了2台M5800-AC,3台M5600-AC,1台M5400-AC;二期工程采购了22台M5600-AC,分别部署于总行、研发中心、电话银行中心、电话银行备份中心、深圳支行等处,全面保障和落实组织内部的信息安全策略。
  

1、 内网用户上网权限划分

  我们把外网和内网中间的网络称之为前沿网络。对于银行网络来说,外网控制主要对银行系统业务网、办公网、与外单位互联的接口网络之间按各自的应用范围、安全保密程度进行合理分布管理,以免局部安全性较低的网络系统造成的威胁,传播到整个网络系统。内网则需要根据不同的权限管理进行划分,比如针对不同业务、不同部门、不同职位等。除了把组划分好之后,我们下一步还需要给相应的组分别对应不同的上网权限,比如:财务组不能访问新浪网站,网络部则可以访问等,甚至每个组中的某一个具体用户用都可以针对用户的私有IP地址+网卡MAC地址来分配所能访问的权限。细致的上网权限划分是上网行为管理产品必需具备的功能之一,招商银行通过深信服AC上网行为管理网关,建立了完善的职能部门和成熟的决策流程,也大大降低了网络管理者的维护量,合理的规划出局域网的组织结构。
  
2、机密信息保密
  招商银行在未部署深信服AC上网行为管理产品之前,内部机密信息很容易泄漏。银行的信息保密机制是最为严格的,例如:个人(企业)客户资料、未公开的政策法规、商业信息等等,都具有非常高的机密性,如果职员利用互联网有意或者无意的通过Email、QQ、MSN、BBS等渠道很容易造成这些信息的泄密或丢失。深信服AC上网行为管理设备具备多种机密信息的保护技术,用户可以通过专利技术之一的邮件延迟审计技术,将内网用户发送的邮件先转移至设备的邮件缓存区,邮件审核人员通过系统口令访问邮件缓存区并审核邮件正文及其附件,那些涉及到机密信息、侵犯性语言、非法URL、个人隐私的邮件将被返回给发件人或者丢弃。而这一审核过程对局域网中的用户是完全透明的,邮件的发送过程和以往并没有任何不同。
  
3、敏感数据信息过滤
  深信服AC上网行为管理设备通过URL、关键字过滤等技术手段禁止不良网站的访问,并且需要记录关于访问行为的所有信息,例如:当事人名字,及其所访问的或者被禁止访问的网页,并且该次访问是在什么时候发生的等等信息。在深信服AC上网行为管理设备中内置了URL库,其中包含了海量的成人、暴力、反动和恶意网站信息,这有助于将不健康和包含潜在威胁的网站拦截在外,通过对URL的阻拦,可大大降低内网用户对不良Web页面的访问,关键字过滤的手段也是通过管理员在该设备上预先设置敏感性的关键字,例如:法伦功、色情等。
  
4、流量控制管理
  P2P技术是目前互联网中被人们最常使用的下载软件,它使人们可以高速获取海量网络资源,例如:BT、电驴,以及在线影院等等,而这些P2P软件对带宽的占用也让网管员无可奈何。一个2M以太网出口的局域网,只要有2个以上的员工不限速地使用BT,所有人的正常网络浏览都将成为不可完成的任务。每天,互联网上都会有人发布最新的P2P软件,版本的更新也导致很多针对P2P的产品无法发挥作用。那为什么这些P2P软件会这么难管呢?主要原因是原有的P2P控制管理工具都是基于应用程序的端口进行封堵,一旦最新的P2P软件端口发生变化,原来的控制软件就很难封赌了。深信服AC上网行为管理设备通过对P2P下载软件的智能检测技术来实现管理。通过这种技术,管理员甚至可以彻底封锁所有的P2P流量,甚至还可以根据实际情况,选择针对特定用户和相应的P2P工具进行流量控制。
  
5、详细的日志信息备份分析系统
  目前国内大型机构都在践行公安部与2006年3月1日颁布的82号文件,其第七条中提到,按规定执行的企业必须记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施,以及第十条,即:
(一)记录并留存用户注册信息;
(二)在公共信息服务中发现、停止传输违法信息,并保留相关记录;
(三)联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。
  
  对于招商银行来说,内网用户每天访问互联网时所产生的海量日志信息需要一个更大容量的数据备份机制,网关所能提供的硬盘存储容量是有限的,而且这些数据信息还需要通过更为直观和简单的方式进行查询。招商银行更为关注日志信息的完成性和保密性,深信服AC上网行为管理设备支持独立的日志信息备份存储中心,称为数据中心(Network Data Center, NDC),可以保证内网所有信息数据的完整性和保密性。招商银行通过深信服AC的独立日志中心系统,可以无限量的存储内网访问的日志信息,例如银行内部的某个职员访问互联网时候出现滥用、误用、盗用个人客户或者企业客户保密信息等等行为的时候, AC把这些日志信息完整统计下来并发送至数据中心。
  
  通过使用深信服AC NDC,组织的管理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态,NDC将网络使用情况自动生成报表并统计出网络访问的趋势,以帮助系统管理员更好的维护和管理网络。
  
  
  管理员可以远程通过Web方式实时地了解深信服 AC 的网络运行状况和网络行为日志,并将日志记录统一导出,形成整个组织的网络行为分析记录,进而制定出细化的、多层次的安全策略,更为严密的保障银行的信息安全机密,和优化对内网的管理。
  
  6、深信服AC给招商银行带来的价值
  据美国CSI/FBI的调查结果显示,企业和政府机构因重要信息被窃所造成的损失,已远远超过病毒感染和黑客攻击所造成的损失,80%以上的安全威胁来自组织内部。深信服AC上网行为管理产品在招商银行的成功应用,规范了银行职员在上班时间的上网行为,提高了工作效率,完善了招商银行信息化安全管理系统和机制,降低了内部机密信息泄漏的风险,强大的数据中心更保证了信息的完整性,也更易于网络管理人员的日常管理。

0
相关文章