前言

金融行業(yè)是國民經(jīng)濟(jì)的重要行業(yè)，掌握著國家或公民的重要機(jī)密信息。一旦這些信息被泄露，輕則導(dǎo)致國家經(jīng)濟(jì)損失，重則威脅國家經(jīng)濟(jì)命脈；對(duì)于公民個(gè)人來說，銀行賬戶、理財(cái)、股票、證券、債券、信用卡、支付寶、微信等方式存儲(chǔ)著大量的個(gè)人金融信息，一旦遭遇泄露、詐騙、冒用等行為，不僅會(huì)造成公民經(jīng)濟(jì)損失，而且還泄露公民個(gè)人隱私信息。因此，金融證券行業(yè)上網(wǎng)行為管理、信息安全管理和商業(yè)機(jī)密防泄密將具有十分重要的意義。

對(duì)于互聯(lián)網(wǎng)應(yīng)用安全，金融機(jī)構(gòu)主要依賴防病毒軟件、防間諜軟件等來防護(hù)，確保敏感信息不被復(fù)制、破壞；但這個(gè)是遠(yuǎn)遠(yuǎn)不夠的，金融行業(yè)應(yīng)該將網(wǎng)絡(luò)安全建設(shè)的重點(diǎn)放到內(nèi)部來，通過“認(rèn)證-授權(quán)-審計(jì)”的思路，規(guī)范各種應(yīng)用與人員行為，這樣才能從“源頭”消除起因于內(nèi)部的各種安全威脅。如內(nèi)部有員工上了一些含有間諜軟件或者其他惡意代碼的網(wǎng)站，招致垃圾郵件、病毒感染，甚至成為“僵尸機(jī)”成為泄密的通道；或者，員工通過IM或者電子郵件將內(nèi)部敏感信息泄露出去；又或者，員工大量下載電影、玩游戲，占用正常辦公的帶寬，導(dǎo)致領(lǐng)導(dǎo)和關(guān)鍵應(yīng)用上網(wǎng)出故障等等。

這些問題，都是因?yàn)榻鹑谛袠I(yè)員工的有意或者無意的不當(dāng)上網(wǎng)行為所致。我們強(qiáng)調(diào)在金融行業(yè)的網(wǎng)絡(luò)安全建設(shè)要最大限度的提倡“事前控制”，在對(duì)合法用戶進(jìn)行認(rèn)證的基礎(chǔ)上，實(shí)施細(xì)顆粒度的授權(quán)，達(dá)到對(duì)各種網(wǎng)絡(luò)應(yīng)用行為的控制目的，做到“防患于未然”；同時(shí)，有效的實(shí)時(shí)監(jiān)控與審計(jì)手段，為IT管理人員可進(jìn)行網(wǎng)絡(luò)安全“優(yōu)化”的提供分析基礎(chǔ)。

因此，金融機(jī)構(gòu)的內(nèi)控與IT風(fēng)險(xiǎn)管理一定要考慮內(nèi)部員工的網(wǎng)絡(luò)行為管理與審計(jì)，需要根據(jù)金融機(jī)構(gòu)的各項(xiàng)管理制度，建立一套網(wǎng)絡(luò)安全行為管理策略，有效的管理和監(jiān)控員工的各種應(yīng)用行為，采取有效的手段正確的“引導(dǎo)”員工“規(guī)范的使用網(wǎng)絡(luò)”，從內(nèi)部消除、減少各種網(wǎng)絡(luò)安全威脅。

金融證券機(jī)構(gòu)網(wǎng)絡(luò)管理現(xiàn)狀

對(duì)于現(xiàn)有的IT系統(tǒng)安全架構(gòu)，金融機(jī)構(gòu)的管理人員并非沒有考慮，經(jīng)驗(yàn)豐富的金融IT人員對(duì)各種威脅認(rèn)識(shí)非常深刻：

1、37.5%的金融IT人員擔(dān)心間諜軟件、惡意程序、黑客與蠕蟲攻擊。如果遭遇攻擊，勢必造成網(wǎng)絡(luò)阻塞和數(shù)據(jù)損壞及丟失，若無法事先預(yù)防遭受攻擊，并且發(fā)作時(shí)又不能迅速采取因應(yīng)措施，勢必給金融IT系統(tǒng)的正常業(yè)務(wù)造成災(zāi)難性的后果。

2、44.5%的受訪者擔(dān)心行為監(jiān)控不夠會(huì)造成員工非法外聯(lián)、越權(quán)訪問、濫用網(wǎng)絡(luò)、資源等有意或無意的行為，這些行為都有可能為信息泄漏和金融犯罪者提供可乘之機(jī)，給系統(tǒng)帶來致命的打擊。

3、62.4%的金融IT人員最擔(dān)心不受控制的網(wǎng)絡(luò)應(yīng)用，會(huì)導(dǎo)致帶寬資源瞬時(shí)緊張，從而影響關(guān)鍵業(yè)務(wù)與領(lǐng)導(dǎo)的上網(wǎng)；73%的金融IT人員擔(dān)心網(wǎng)絡(luò)會(huì)突然斷開，直接中斷了關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)。

不受管理的網(wǎng)絡(luò)行為，將在以下四個(gè)方面產(chǎn)生危害：生產(chǎn)力流失、網(wǎng)絡(luò)帶寬浪費(fèi)、法律后果、安全隱患。具體表現(xiàn)如下：

1、上班時(shí)間瀏覽與工作無關(guān)信息、炒股、玩在線游戲、看電影等，導(dǎo)致生產(chǎn)力下降。

2、大量P2P、高速下載、FTP等等網(wǎng)絡(luò)濫用行為，占用大量帶寬，嚴(yán)重影響正常業(yè)務(wù)。

3、通過電子郵件、BBS等方式，泄露企業(yè)的機(jī)密信息。

4、網(wǎng)絡(luò)濫用行為，導(dǎo)致嚴(yán)重安全隱患，釣魚站點(diǎn)，病毒站點(diǎn)的訪問將把這些威脅的因素引入到公司的內(nèi)部，這時(shí)我們在網(wǎng)關(guān)處部署的大量的被動(dòng)防御設(shè)施將無能為力。

5、非法/過激的言論，無知識(shí)產(chǎn)權(quán)信息的下載/發(fā)布將給企業(yè)帶來法律糾紛。

金融證券機(jī)構(gòu)網(wǎng)絡(luò)管理問題

對(duì)于很多金融組織來講，最大的安全威脅來自于計(jì)算機(jī)病毒感染，傳統(tǒng)的做法是部署各種形態(tài)的殺病毒系統(tǒng)，但這種方法是事后、被動(dòng)的處理機(jī)制。最新的安全理念是，構(gòu)筑“主動(dòng)安全體系”，可以通過WEB訪問控制、IM與P2P控制、ARP定位與防護(hù)、流量管理、外發(fā)信息審計(jì)以及針對(duì)在線游戲、炒股等網(wǎng)絡(luò)行為的細(xì)顆粒管理，來實(shí)現(xiàn)“事前控制”、“防患于未然”的目的。

具體來說，當(dāng)前金融行業(yè)網(wǎng)絡(luò)管理主要有以下一些問題：

1、沒有做到細(xì)顆粒度的訪問控制。

A證券有著非常豐富的網(wǎng)絡(luò)應(yīng)用如：OA系統(tǒng)、WEB服務(wù)器、郵件服務(wù)器等。并且集團(tuán)的規(guī)模十分龐大，部門、人員組成十分復(fù)雜。集團(tuán)無法對(duì)這些用戶進(jìn)行細(xì)致的分組規(guī)定他們訪問的資源的權(quán)限。還有QQ、MSN、BT、網(wǎng)絡(luò)游戲、在線電影、炒股等等網(wǎng)絡(luò)資源同樣無法進(jìn)行有效的控制，導(dǎo)致用戶可以任意的使用網(wǎng)絡(luò)資源使員工效率降低，并且加大了企業(yè)的風(fēng)險(xiǎn)。

2、無法對(duì)內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為進(jìn)行有效的審計(jì)。

A證券對(duì)于內(nèi)網(wǎng)用戶可能發(fā)生的各種網(wǎng)絡(luò)行為不能進(jìn)行有效的審計(jì)，如通過電子郵件、IM、BBS、FTP等方式的泄密行為；內(nèi)網(wǎng)用戶發(fā)起的各種非法文件和資料的傳播行為；內(nèi)部員工發(fā)起的各種局域網(wǎng)的攻擊與黑客行為等等，這些都是傳統(tǒng)的防火墻等安全手段所不能監(jiān)控的。特別是金融類企業(yè)，尤其需要有詳細(xì)的內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為審計(jì)，以防止各種泄密、黑客等意外情況。

3、無法對(duì)網(wǎng)絡(luò)帶寬流量進(jìn)行管理。

A證券的網(wǎng)絡(luò)應(yīng)用復(fù)雜，但由于沒有成熟的方案對(duì)內(nèi)部員工的上網(wǎng)帶寬進(jìn)行細(xì)化的管理，導(dǎo)致員工的網(wǎng)絡(luò)資源濫用，使得A證券的關(guān)鍵應(yīng)用帶寬得不到保障，如CRM系統(tǒng)、電子郵件系統(tǒng)、視頻會(huì)議系統(tǒng)等等，可能因?yàn)橛脩魺o節(jié)制的BT下載、在線電影等影響，不能正常的提供服務(wù)。

4、小型的分支機(jī)構(gòu)，需要性價(jià)比高的整合性解決方案。

對(duì)于金融行業(yè)上網(wǎng)行為管理需求，可行的解決方案很多，如通過交換機(jī)、防火墻以及網(wǎng)管系統(tǒng)實(shí)現(xiàn)部分目標(biāo)；但最有效的解決方案還是專業(yè)的上網(wǎng)行為管理與審計(jì)產(chǎn)品解決方案。

金融證券機(jī)構(gòu)網(wǎng)絡(luò)管理要求

因?yàn)榻鹑谛袠I(yè)的IT系統(tǒng)非常的復(fù)雜，并且不能夠有任何的問題，所以良好的解決方案應(yīng)該具備以下特點(diǎn)：

1、對(duì)原有的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)不做改動(dòng)或者少量改動(dòng)；不影響業(yè)務(wù)。

2、安裝部署簡單，使用簡單，即插即用。

3、產(chǎn)品系統(tǒng)的功能全面，能夠全面滿足金融行業(yè)的需求。

金融企業(yè)的特點(diǎn)，要求應(yīng)用的產(chǎn)品在應(yīng)用性和成熟性方面必須異常優(yōu)秀，我們建議的的金融企業(yè)選型時(shí)考慮的因素如下：

1、硬件處理架構(gòu)

目前在中國銷售的上網(wǎng)行為管理產(chǎn)品，主要有兩種類型的硬件架構(gòu)：一種是普通的PC工控架構(gòu)，基于X86平臺(tái)；一種是專門的RISC架構(gòu)，基于MIPS芯片多核處理器平臺(tái)。X86架構(gòu)，采用通用CPU和總線結(jié)構(gòu)，在計(jì)算能力、速度、穩(wěn)定性、和軟件系統(tǒng)的整合性方面都有很明顯的問題；而RISC架構(gòu)，特別是基于百萬級(jí)計(jì)算能力的MIPS芯片多核處理器平臺(tái)，采用專用網(wǎng)絡(luò)處理芯片、多核多線程計(jì)算，可以提供4-16核多達(dá)8-32個(gè)線程運(yùn)算能力。RISC架構(gòu)傳統(tǒng)上只在小型機(jī)和高級(jí)專用網(wǎng)絡(luò)設(shè)備上采用，它能夠提供更為可靠的穩(wěn)定性和標(biāo)稱速度。

2、全面的行為記錄和應(yīng)用控制

網(wǎng)絡(luò)行為管理與審計(jì)系統(tǒng)，要求能夠識(shí)別L7層等高級(jí)應(yīng)用，能夠自動(dòng)識(shí)別并按照策略處置各種高級(jí)應(yīng)用，如P2P，電子郵件特別是WEB郵件等。采用網(wǎng)關(guān)技術(shù)而不是簡單的旁路技術(shù)，以保證不漏包和網(wǎng)絡(luò)訪問控制的效率。

3、要有強(qiáng)大行為分析技術(shù)

上網(wǎng)行為管理與審計(jì)系統(tǒng)，要提供多種分析的方法、模型，為企業(yè)制定新的網(wǎng)絡(luò)管理策略和優(yōu)化方案提供必要的支撐，同時(shí)也可以為企業(yè)的人力資源管理提供必要的參考數(shù)據(jù)。

4、產(chǎn)品應(yīng)用可靠

硬件產(chǎn)品應(yīng)該具有完善的可靠性設(shè)計(jì)，保證了網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)穩(wěn)定。使用了性能卓越的硬件設(shè)備，減少了產(chǎn)品宕機(jī)、死機(jī)的情況。獨(dú)有的軟硬件Bypas保護(hù)功能，即使在設(shè)備故障的情況下，也能保證網(wǎng)絡(luò)的暢通。高性價(jià)比，電信級(jí)的設(shè)備性能，企業(yè)級(jí)的設(shè)備價(jià)格。

金融證券機(jī)構(gòu)網(wǎng)絡(luò)管理方案

當(dāng)銀行把安全的注意力集中于防火墻、入侵控制以及風(fēng)險(xiǎn)管理等外部威脅的時(shí)候，由于銀行內(nèi)部原因所引起的安全問題往往容易被忽視。據(jù)銀行內(nèi)部的消息，大部分的銀行安全問題是由于內(nèi)部監(jiān)控和風(fēng)險(xiǎn)管理欠缺所引起的。許多銀行可能認(rèn)為員工是最不需要擔(dān)心的一部分，但是，有許多網(wǎng)絡(luò)安全問題卻是由于內(nèi)部員工所引起的。因此，在信息化高度發(fā)展的金融領(lǐng)域，應(yīng)該轉(zhuǎn)變安全的觀點(diǎn)，逐漸把安全的戰(zhàn)略從防外轉(zhuǎn)向防內(nèi)，擁有一個(gè)真正安全的網(wǎng)絡(luò)環(huán)境。

在金融機(jī)構(gòu)中，37.5%的受訪者擔(dān)心間諜軟件、惡意程序、黑客與蠕蟲攻擊。如果遭遇攻擊，勢必造成網(wǎng)絡(luò)阻塞和數(shù)據(jù)損壞及丟失，若無法事先預(yù)防遭受攻擊，并且發(fā)作時(shí)又不能迅速采取因應(yīng)措施，勢必給金融IT系統(tǒng)的正常業(yè)務(wù)造成災(zāi)難性的后果；25%的受訪者擔(dān)心行為監(jiān)控不夠會(huì)造成員工非法外聯(lián)、越權(quán)訪問、濫用網(wǎng)絡(luò)、資源等有意或無意的行為，這些行為都有可能為信息泄漏和金融犯罪者提供可乘之機(jī)，給系統(tǒng)帶來致命的打擊。另外，根據(jù)Yankelovich的最新調(diào)查報(bào)告顯示，超過60%的企業(yè)互聯(lián)網(wǎng)訪問包括了與業(yè)務(wù)無關(guān)的、不恰當(dāng)?shù)?、甚至危險(xiǎn)的站點(diǎn)。

由于金融機(jī)構(gòu)掌管著大量的敏感數(shù)據(jù)，不能僅僅依賴防毒軟件、間諜軟件和封鎖廣告軟件產(chǎn)品來確?；ヂ?lián)網(wǎng)的安全。相反，金融機(jī)構(gòu)應(yīng)該把安全的重點(diǎn)移動(dòng)企業(yè)內(nèi)部來，據(jù)統(tǒng)計(jì)，網(wǎng)絡(luò)安全事件有絕大部分的攻擊、漏洞和威脅來自于企業(yè)內(nèi)部。例如，員工上網(wǎng)留下電子郵件地址或因上網(wǎng)后中了間諜軟件，可能會(huì)招致垃圾郵件，會(huì)造成郵件服務(wù)器宕機(jī)或網(wǎng)絡(luò)堵塞，更有甚者因收到“不當(dāng)內(nèi)容廣告”或“釣魚信件”后，直接讀取郵件中“鏈結(jié)網(wǎng)址”，可能會(huì)觸犯相關(guān)法律因而危害到企業(yè)本身。“聊天工具”或“網(wǎng)頁郵件”為不法泄漏公司機(jī)密的人開啟了一個(gè)便利通道，這些人可輕易的將公司內(nèi)部重要信息傳送到企業(yè)外部，為企業(yè)與客戶帶來莫大的損失。

大勢至針對(duì)金融行業(yè)網(wǎng)絡(luò)管理方案如下：

首先，針對(duì)較為簡單的局域網(wǎng)環(huán)境，可以部署基于B/S架構(gòu)的“聚生網(wǎng)管”網(wǎng)絡(luò)行為管理系統(tǒng)。聚生網(wǎng)管系統(tǒng)（下載地址：http://www.grabsun.com/wangguan.html）基于獨(dú)創(chuàng)的“虛擬網(wǎng)關(guān)”技術(shù)，只需要在局域網(wǎng)一臺(tái)電腦部署就可以控制整個(gè)局域網(wǎng)電腦上網(wǎng)行為，可以有效禁止局域網(wǎng)下載、炒股、聊天、玩游戲、網(wǎng)購等上網(wǎng)行為，并且還可以設(shè)置黑白名單過濾網(wǎng)址，限制局域網(wǎng)電腦網(wǎng)速，進(jìn)行局域網(wǎng)IP和MAC地址綁定，以及防止局域網(wǎng)ARP攻擊等，實(shí)現(xiàn)局域網(wǎng)上網(wǎng)行為的全面控制。

有兩種部署方式可以選擇，首先可以在一個(gè)聚生網(wǎng)管的控制機(jī)上面額外配置多塊網(wǎng)卡（最高配置6塊），然后通過每個(gè)網(wǎng)卡分別接入各個(gè)局域網(wǎng)上的交換機(jī)的方式實(shí)現(xiàn)對(duì)多個(gè)局域網(wǎng)的監(jiān)控，如圖（一）所示。如果存在多個(gè)多個(gè)交換機(jī)、多個(gè)局域網(wǎng)的情況下，可以在每個(gè)局域網(wǎng)對(duì)應(yīng)的交換機(jī)下面各配置一臺(tái)聚生網(wǎng)管的控制機(jī)，分別控制各自的局域網(wǎng)，如圖（二）所示。

其次，對(duì)于較大規(guī)模的網(wǎng)絡(luò)環(huán)境，尤其是通過三層交換機(jī)劃分了多網(wǎng)段的局域網(wǎng)，可以部署大勢至公司的“網(wǎng)絡(luò)特警”上網(wǎng)行為管理設(shè)備。“網(wǎng)絡(luò)特警”基于獨(dú)創(chuàng)的“創(chuàng)新直連”架構(gòu)，只需要接入到三層交換機(jī)的一個(gè)網(wǎng)段就可以控制所有網(wǎng)段、所有電腦上網(wǎng)行為，完全禁止局域網(wǎng)迅雷下載、禁止電腦玩游戲、禁止局域網(wǎng)炒股、禁止電腦網(wǎng)購、禁止隨意瀏覽網(wǎng)頁、禁止局域網(wǎng)看視頻、進(jìn)行IP和MAC地址綁定、防御ARP攻擊等。同時(shí)，還可以禁止無線路由器接入局域網(wǎng)、禁止手機(jī)連接局域網(wǎng)、禁止局域網(wǎng)隨身wifi、禁止wifi共享等。如下圖所示：

最后，大勢至公司的“聚生網(wǎng)管”和“網(wǎng)絡(luò)特警”網(wǎng)絡(luò)行為管理系統(tǒng)，都可以根據(jù)金融證券行業(yè)的具體網(wǎng)絡(luò)管理需求進(jìn)行二次定制開發(fā)，從而可以滿足用戶個(gè)性化的網(wǎng)絡(luò)管理需要。

全方位的信息安全防泄密方案如下：

雖然通過上網(wǎng)行為管理系統(tǒng)，一方面可以有效控制員工上網(wǎng)行為，防止上班時(shí)間干私活、上網(wǎng)娛樂以及其他與工作無關(guān)的上網(wǎng)行為，從而可以防止員工這些上網(wǎng)行為占用工作時(shí)間，并提高工作效率；另一方面，通過對(duì)員工不適當(dāng)?shù)纳暇W(wǎng)行為、與工作無關(guān)的上網(wǎng)行為的管控，可以防止員工訪問木馬病毒網(wǎng)站、下載含有惡意程序的文件，防范黑客攻擊行為等。

但是這些上網(wǎng)行為管理面臨的問題通常是對(duì)員工訪問互聯(lián)網(wǎng)的行為進(jìn)行管控，而對(duì)用戶通過電腦外接設(shè)備的泄密行為通常無法有效的管控，尤其是通過U盤、移動(dòng)硬盤等USB存儲(chǔ)設(shè)備，以及通過網(wǎng)盤、郵件（加密郵件）、FTP文件上傳和聊天軟件發(fā)送文件等方式的泄密行為，則常常無法提供有效的管控。

同時(shí)，在金融證券行業(yè)的局域網(wǎng)中，通常都配備了文件服務(wù)器并共享文件供局域網(wǎng)用戶訪問。一方面，可以便于局域網(wǎng)用戶存儲(chǔ)工作文件，另一方面也便于用戶隨時(shí)訪問共享文件，便于資源共享和協(xié)同辦公。這種局域網(wǎng)文件共享方式，雖然方便了工作。但也使得這些共享文件也容易被局域網(wǎng)用戶隨意訪問、越權(quán)訪問，甚至泄露共享文件和損害共享文件的行為，而服務(wù)器的共享文件通常都是單位的無形資產(chǎn)和商業(yè)機(jī)密等，一旦泄密將會(huì)給企業(yè)帶來重大損失。因此，企業(yè)局域網(wǎng)也必須采取有效的舉措來保護(hù)文件服務(wù)器共享文件的安全。

針對(duì)上述文件泄密或隨意訪問文件、損害共享文件的行為，大勢至公司可以也推出了針對(duì)性的信息安全防泄密解決方案。

首先，通過“大勢至電腦文件防泄密系統(tǒng)”（下載地址：http://www.grabsun.com/monitorusb.html），可以完全禁止電腦USB存儲(chǔ)設(shè)備的使用，有效禁用U盤、移動(dòng)硬盤等USB存儲(chǔ)設(shè)備，同時(shí)可以只讓特定的USB存儲(chǔ)設(shè)備使用，以及向USB復(fù)制文件必須輸入輸入密碼，從而有效防止了通過USB存儲(chǔ)設(shè)備泄密的行為；同時(shí)，本系統(tǒng)還可以完全禁用網(wǎng)盤、監(jiān)控郵件收發(fā)、防止FTP上傳文件以及通過聊天軟件的文件發(fā)送行為等。

本系統(tǒng)安裝后自動(dòng)后臺(tái)隱藏運(yùn)行并需要密碼認(rèn)證，并且通過對(duì)操作系統(tǒng)的注冊表、組策略等關(guān)鍵位置的安全防護(hù)以及系統(tǒng)自我防護(hù)功能，可以極大地防止被用戶卸載或繞過監(jiān)控的情況，從而真正保護(hù)了電腦文件安全，保護(hù)了單位無形資產(chǎn)和商業(yè)機(jī)密。其處理流程如下：

其次，對(duì)于用戶訪問局域網(wǎng)共享文件泄密或損害共享文件的行為，通過部署“大勢至局域網(wǎng)共享文件管理系統(tǒng)”可以讓管理員設(shè)置用戶訪問共享文件的權(quán)限，在操作系統(tǒng)之外進(jìn)行了額外的共享文件訪問權(quán)限控制。尤其是，可以實(shí)現(xiàn)操作系統(tǒng)甚至是域控制器無法實(shí)現(xiàn)的共享文件訪問權(quán)限控制功能，例如可以只讓讀取共享文件而禁止復(fù)制共享文件、只讓修改共享文件而禁止刪除共享文件、只讓打開共享文件而禁止另存為本地磁盤的行為，以及禁止拖拽共享文件到訪問者自己的磁盤或打印共享文件的行為，從而極大地保護(hù)了共享文件的安全。

最新評(píng)論