前言

金融行業(yè)是國民經(jīng)濟的重要行業(yè)，掌握著國家或公民的重要機密信息。一旦這些信息被泄露，輕則導(dǎo)致國家經(jīng)濟損失，重則威脅國家經(jīng)濟命脈；對于公民個人來說，銀行賬戶、理財、股票、證券、債券、信用卡、支付寶、微信等方式存儲著大量的個人金融信息，一旦遭遇泄露、詐騙、冒用等行為，不僅會造成公民經(jīng)濟損失，而且還泄露公民個人隱私信息。因此，金融證券行業(yè)上網(wǎng)行為管理、信息安全管理和商業(yè)機密防泄密將具有十分重要的意義。

對于互聯(lián)網(wǎng)應(yīng)用安全，金融機構(gòu)主要依賴防病毒軟件、防間諜軟件等來防護，確保敏感信息不被復(fù)制、破壞；但這個是遠遠不夠的，金融行業(yè)應(yīng)該將網(wǎng)絡(luò)安全建設(shè)的重點放到內(nèi)部來，通過“認證-授權(quán)-審計”的思路，規(guī)范各種應(yīng)用與人員行為，這樣才能從“源頭”消除起因于內(nèi)部的各種安全威脅。如內(nèi)部有員工上了一些含有間諜軟件或者其他惡意代碼的網(wǎng)站，招致垃圾郵件、病毒感染，甚至成為“僵尸機”成為泄密的通道；或者，員工通過IM或者電子郵件將內(nèi)部敏感信息泄露出去；又或者，員工大量下載電影、玩游戲，占用正常辦公的帶寬，導(dǎo)致領(lǐng)導(dǎo)和關(guān)鍵應(yīng)用上網(wǎng)出故障等等。

這些問題，都是因為金融行業(yè)員工的有意或者無意的不當(dāng)上網(wǎng)行為所致。我們強調(diào)在金融行業(yè)的網(wǎng)絡(luò)安全建設(shè)要最大限度的提倡“事前控制”，在對合法用戶進行認證的基礎(chǔ)上，實施細顆粒度的授權(quán)，達到對各種網(wǎng)絡(luò)應(yīng)用行為的控制目的，做到“防患于未然”；同時，有效的實時監(jiān)控與審計手段，為IT管理人員可進行網(wǎng)絡(luò)安全“優(yōu)化”的提供分析基礎(chǔ)。

因此，金融機構(gòu)的內(nèi)控與IT風(fēng)險管理一定要考慮內(nèi)部員工的網(wǎng)絡(luò)行為管理與審計，需要根據(jù)金融機構(gòu)的各項管理制度，建立一套網(wǎng)絡(luò)安全行為管理策略，有效的管理和監(jiān)控員工的各種應(yīng)用行為，采取有效的手段正確的“引導(dǎo)”員工“規(guī)范的使用網(wǎng)絡(luò)”，從內(nèi)部消除、減少各種網(wǎng)絡(luò)安全威脅。

金融證券機構(gòu)網(wǎng)絡(luò)管理現(xiàn)狀

對于現(xiàn)有的IT系統(tǒng)安全架構(gòu)，金融機構(gòu)的管理人員并非沒有考慮，經(jīng)驗豐富的金融IT人員對各種威脅認識非常深刻：

1、37.5%的金融IT人員擔(dān)心間諜軟件、惡意程序、黑客與蠕蟲攻擊。如果遭遇攻擊，勢必造成網(wǎng)絡(luò)阻塞和數(shù)據(jù)損壞及丟失，若無法事先預(yù)防遭受攻擊，并且發(fā)作時又不能迅速采取因應(yīng)措施，勢必給金融IT系統(tǒng)的正常業(yè)務(wù)造成災(zāi)難性的后果。

2、44.5%的受訪者擔(dān)心行為監(jiān)控不夠會造成員工非法外聯(lián)、越權(quán)訪問、濫用網(wǎng)絡(luò)、資源等有意或無意的行為，這些行為都有可能為信息泄漏和金融犯罪者提供可乘之機，給系統(tǒng)帶來致命的打擊。

3、62.4%的金融IT人員最擔(dān)心不受控制的網(wǎng)絡(luò)應(yīng)用，會導(dǎo)致帶寬資源瞬時緊張，從而影響關(guān)鍵業(yè)務(wù)與領(lǐng)導(dǎo)的上網(wǎng)；73%的金融IT人員擔(dān)心網(wǎng)絡(luò)會突然斷開，直接中斷了關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)。

不受管理的網(wǎng)絡(luò)行為，將在以下四個方面產(chǎn)生危害：生產(chǎn)力流失、網(wǎng)絡(luò)帶寬浪費、法律后果、安全隱患。具體表現(xiàn)如下：

1、上班時間瀏覽與工作無關(guān)信息、炒股、玩在線游戲、看電影等，導(dǎo)致生產(chǎn)力下降。

2、大量P2P、高速下載、FTP等等網(wǎng)絡(luò)濫用行為，占用大量帶寬，嚴(yán)重影響正常業(yè)務(wù)。

3、通過電子郵件、BBS等方式，泄露企業(yè)的機密信息。

4、網(wǎng)絡(luò)濫用行為，導(dǎo)致嚴(yán)重安全隱患，釣魚站點，病毒站點的訪問將把這些威脅的因素引入到公司的內(nèi)部，這時我們在網(wǎng)關(guān)處部署的大量的被動防御設(shè)施將無能為力。

5、非法/過激的言論，無知識產(chǎn)權(quán)信息的下載/發(fā)布將給企業(yè)帶來法律糾紛。

金融證券機構(gòu)網(wǎng)絡(luò)管理問題

對于很多金融組織來講，最大的安全威脅來自于計算機病毒感染，傳統(tǒng)的做法是部署各種形態(tài)的殺病毒系統(tǒng)，但這種方法是事后、被動的處理機制。最新的安全理念是，構(gòu)筑“主動安全體系”，可以通過WEB訪問控制、IM與P2P控制、ARP定位與防護、流量管理、外發(fā)信息審計以及針對在線游戲、炒股等網(wǎng)絡(luò)行為的細顆粒管理，來實現(xiàn)“事前控制”、“防患于未然”的目的。

具體來說，當(dāng)前金融行業(yè)網(wǎng)絡(luò)管理主要有以下一些問題：

1、沒有做到細顆粒度的訪問控制。

A證券有著非常豐富的網(wǎng)絡(luò)應(yīng)用如：OA系統(tǒng)、WEB服務(wù)器、郵件服務(wù)器等。并且集團的規(guī)模十分龐大，部門、人員組成十分復(fù)雜。集團無法對這些用戶進行細致的分組規(guī)定他們訪問的資源的權(quán)限。還有QQ、MSN、BT、網(wǎng)絡(luò)游戲、在線電影、炒股等等網(wǎng)絡(luò)資源同樣無法進行有效的控制，導(dǎo)致用戶可以任意的使用網(wǎng)絡(luò)資源使員工效率降低，并且加大了企業(yè)的風(fēng)險。

2、無法對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為進行有效的審計。

A證券對于內(nèi)網(wǎng)用戶可能發(fā)生的各種網(wǎng)絡(luò)行為不能進行有效的審計，如通過電子郵件、IM、BBS、FTP等方式的泄密行為；內(nèi)網(wǎng)用戶發(fā)起的各種非法文件和資料的傳播行為；內(nèi)部員工發(fā)起的各種局域網(wǎng)的攻擊與黑客行為等等，這些都是傳統(tǒng)的防火墻等安全手段所不能監(jiān)控的。特別是金融類企業(yè)，尤其需要有詳細的內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為審計，以防止各種泄密、黑客等意外情況。

3、無法對網(wǎng)絡(luò)帶寬流量進行管理。

A證券的網(wǎng)絡(luò)應(yīng)用復(fù)雜，但由于沒有成熟的方案對內(nèi)部員工的上網(wǎng)帶寬進行細化的管理，導(dǎo)致員工的網(wǎng)絡(luò)資源濫用，使得A證券的關(guān)鍵應(yīng)用帶寬得不到保障，如CRM系統(tǒng)、電子郵件系統(tǒng)、視頻會議系統(tǒng)等等，可能因為用戶無節(jié)制的BT下載、在線電影等影響，不能正常的提供服務(wù)。

4、小型的分支機構(gòu)，需要性價比高的整合性解決方案。

對于金融行業(yè)上網(wǎng)行為管理需求，可行的解決方案很多，如通過交換機、防火墻以及網(wǎng)管系統(tǒng)實現(xiàn)部分目標(biāo)；但最有效的解決方案還是專業(yè)的上網(wǎng)行為管理與審計產(chǎn)品解決方案。

金融證券機構(gòu)網(wǎng)絡(luò)管理要求

因為金融行業(yè)的IT系統(tǒng)非常的復(fù)雜，并且不能夠有任何的問題，所以良好的解決方案應(yīng)該具備以下特點：

1、對原有的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)不做改動或者少量改動；不影響業(yè)務(wù)。

2、安裝部署簡單，使用簡單，即插即用。

3、產(chǎn)品系統(tǒng)的功能全面，能夠全面滿足金融行業(yè)的需求。

金融企業(yè)的特點，要求應(yīng)用的產(chǎn)品在應(yīng)用性和成熟性方面必須異常優(yōu)秀，我們建議的的金融企業(yè)選型時考慮的因素如下：

1、硬件處理架構(gòu)

目前在中國銷售的上網(wǎng)行為管理產(chǎn)品，主要有兩種類型的硬件架構(gòu)：一種是普通的PC工控架構(gòu)，基于X86平臺；一種是專門的RISC架構(gòu)，基于MIPS芯片多核處理器平臺。X86架構(gòu)，采用通用CPU和總線結(jié)構(gòu)，在計算能力、速度、穩(wěn)定性、和軟件系統(tǒng)的整合性方面都有很明顯的問題；而RISC架構(gòu)，特別是基于百萬級計算能力的MIPS芯片多核處理器平臺，采用專用網(wǎng)絡(luò)處理芯片、多核多線程計算，可以提供4-16核多達8-32個線程運算能力。RISC架構(gòu)傳統(tǒng)上只在小型機和高級專用網(wǎng)絡(luò)設(shè)備上采用，它能夠提供更為可靠的穩(wěn)定性和標(biāo)稱速度。

2、全面的行為記錄和應(yīng)用控制

網(wǎng)絡(luò)行為管理與審計系統(tǒng)，要求能夠識別L7層等高級應(yīng)用，能夠自動識別并按照策略處置各種高級應(yīng)用，如P2P，電子郵件特別是WEB郵件等。采用網(wǎng)關(guān)技術(shù)而不是簡單的旁路技術(shù)，以保證不漏包和網(wǎng)絡(luò)訪問控制的效率。

3、要有強大行為分析技術(shù)

上網(wǎng)行為管理與審計系統(tǒng)，要提供多種分析的方法、模型，為企業(yè)制定新的網(wǎng)絡(luò)管理策略和優(yōu)化方案提供必要的支撐，同時也可以為企業(yè)的人力資源管理提供必要的參考數(shù)據(jù)。

4、產(chǎn)品應(yīng)用可靠

硬件產(chǎn)品應(yīng)該具有完善的可靠性設(shè)計，保證了網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)穩(wěn)定。使用了性能卓越的硬件設(shè)備，減少了產(chǎn)品宕機、死機的情況。獨有的軟硬件Bypas保護功能，即使在設(shè)備故障的情況下，也能保證網(wǎng)絡(luò)的暢通。高性價比，電信級的設(shè)備性能，企業(yè)級的設(shè)備價格。

金融證券機構(gòu)網(wǎng)絡(luò)管理方案

當(dāng)銀行把安全的注意力集中于防火墻、入侵控制以及風(fēng)險管理等外部威脅的時候，由于銀行內(nèi)部原因所引起的安全問題往往容易被忽視。據(jù)銀行內(nèi)部的消息，大部分的銀行安全問題是由于內(nèi)部監(jiān)控和風(fēng)險管理欠缺所引起的。許多銀行可能認為員工是最不需要擔(dān)心的一部分，但是，有許多網(wǎng)絡(luò)安全問題卻是由于內(nèi)部員工所引起的。因此，在信息化高度發(fā)展的金融領(lǐng)域，應(yīng)該轉(zhuǎn)變安全的觀點，逐漸把安全的戰(zhàn)略從防外轉(zhuǎn)向防內(nèi)，擁有一個真正安全的網(wǎng)絡(luò)環(huán)境。

在金融機構(gòu)中，37.5%的受訪者擔(dān)心間諜軟件、惡意程序、黑客與蠕蟲攻擊。如果遭遇攻擊，勢必造成網(wǎng)絡(luò)阻塞和數(shù)據(jù)損壞及丟失，若無法事先預(yù)防遭受攻擊，并且發(fā)作時又不能迅速采取因應(yīng)措施，勢必給金融IT系統(tǒng)的正常業(yè)務(wù)造成災(zāi)難性的后果；25%的受訪者擔(dān)心行為監(jiān)控不夠會造成員工非法外聯(lián)、越權(quán)訪問、濫用網(wǎng)絡(luò)、資源等有意或無意的行為，這些行為都有可能為信息泄漏和金融犯罪者提供可乘之機，給系統(tǒng)帶來致命的打擊。另外，根據(jù)Yankelovich的最新調(diào)查報告顯示，超過60%的企業(yè)互聯(lián)網(wǎng)訪問包括了與業(yè)務(wù)無關(guān)的、不恰當(dāng)?shù)?、甚至危險的站點。

由于金融機構(gòu)掌管著大量的敏感數(shù)據(jù)，不能僅僅依賴防毒軟件、間諜軟件和封鎖廣告軟件產(chǎn)品來確?；ヂ?lián)網(wǎng)的安全。相反，金融機構(gòu)應(yīng)該把安全的重點移動企業(yè)內(nèi)部來，據(jù)統(tǒng)計，網(wǎng)絡(luò)安全事件有絕大部分的攻擊、漏洞和威脅來自于企業(yè)內(nèi)部。例如，員工上網(wǎng)留下電子郵件地址或因上網(wǎng)后中了間諜軟件，可能會招致垃圾郵件，會造成郵件服務(wù)器宕機或網(wǎng)絡(luò)堵塞，更有甚者因收到“不當(dāng)內(nèi)容廣告”或“釣魚信件”后，直接讀取郵件中“鏈結(jié)網(wǎng)址”，可能會觸犯相關(guān)法律因而危害到企業(yè)本身。“聊天工具”或“網(wǎng)頁郵件”為不法泄漏公司機密的人開啟了一個便利通道，這些人可輕易的將公司內(nèi)部重要信息傳送到企業(yè)外部，為企業(yè)與客戶帶來莫大的損失。

大勢至針對金融行業(yè)網(wǎng)絡(luò)管理方案如下：

首先，針對較為簡單的局域網(wǎng)環(huán)境，可以部署基于B/S架構(gòu)的“聚生網(wǎng)管”網(wǎng)絡(luò)行為管理系統(tǒng)。聚生網(wǎng)管系統(tǒng)（下載地址：http://www.grabsun.com/wangguan.html）基于獨創(chuàng)的“虛擬網(wǎng)關(guān)”技術(shù)，只需要在局域網(wǎng)一臺電腦部署就可以控制整個局域網(wǎng)電腦上網(wǎng)行為，可以有效禁止局域網(wǎng)下載、炒股、聊天、玩游戲、網(wǎng)購等上網(wǎng)行為，并且還可以設(shè)置黑白名單過濾網(wǎng)址，限制局域網(wǎng)電腦網(wǎng)速，進行局域網(wǎng)IP和MAC地址綁定，以及防止局域網(wǎng)ARP攻擊等，實現(xiàn)局域網(wǎng)上網(wǎng)行為的全面控制。

有兩種部署方式可以選擇，首先可以在一個聚生網(wǎng)管的控制機上面額外配置多塊網(wǎng)卡（最高配置6塊），然后通過每個網(wǎng)卡分別接入各個局域網(wǎng)上的交換機的方式實現(xiàn)對多個局域網(wǎng)的監(jiān)控，如圖（一）所示。如果存在多個多個交換機、多個局域網(wǎng)的情況下，可以在每個局域網(wǎng)對應(yīng)的交換機下面各配置一臺聚生網(wǎng)管的控制機，分別控制各自的局域網(wǎng)，如圖（二）所示。

其次，對于較大規(guī)模的網(wǎng)絡(luò)環(huán)境，尤其是通過三層交換機劃分了多網(wǎng)段的局域網(wǎng)，可以部署大勢至公司的“網(wǎng)絡(luò)特警”上網(wǎng)行為管理設(shè)備。“網(wǎng)絡(luò)特警”基于獨創(chuàng)的“創(chuàng)新直連”架構(gòu)，只需要接入到三層交換機的一個網(wǎng)段就可以控制所有網(wǎng)段、所有電腦上網(wǎng)行為，完全禁止局域網(wǎng)迅雷下載、禁止電腦玩游戲、禁止局域網(wǎng)炒股、禁止電腦網(wǎng)購、禁止隨意瀏覽網(wǎng)頁、禁止局域網(wǎng)看視頻、進行IP和MAC地址綁定、防御ARP攻擊等。同時，還可以禁止無線路由器接入局域網(wǎng)、禁止手機連接局域網(wǎng)、禁止局域網(wǎng)隨身wifi、禁止wifi共享等。如下圖所示：

最后，大勢至公司的“聚生網(wǎng)管”和“網(wǎng)絡(luò)特警”網(wǎng)絡(luò)行為管理系統(tǒng)，都可以根據(jù)金融證券行業(yè)的具體網(wǎng)絡(luò)管理需求進行二次定制開發(fā)，從而可以滿足用戶個性化的網(wǎng)絡(luò)管理需要。

全方位的信息安全防泄密方案如下：

雖然通過上網(wǎng)行為管理系統(tǒng)，一方面可以有效控制員工上網(wǎng)行為，防止上班時間干私活、上網(wǎng)娛樂以及其他與工作無關(guān)的上網(wǎng)行為，從而可以防止員工這些上網(wǎng)行為占用工作時間，并提高工作效率；另一方面，通過對員工不適當(dāng)?shù)纳暇W(wǎng)行為、與工作無關(guān)的上網(wǎng)行為的管控，可以防止員工訪問木馬病毒網(wǎng)站、下載含有惡意程序的文件，防范黑客攻擊行為等。

但是這些上網(wǎng)行為管理面臨的問題通常是對員工訪問互聯(lián)網(wǎng)的行為進行管控，而對用戶通過電腦外接設(shè)備的泄密行為通常無法有效的管控，尤其是通過U盤、移動硬盤等USB存儲設(shè)備，以及通過網(wǎng)盤、郵件（加密郵件）、FTP文件上傳和聊天軟件發(fā)送文件等方式的泄密行為，則常常無法提供有效的管控。

同時，在金融證券行業(yè)的局域網(wǎng)中，通常都配備了文件服務(wù)器并共享文件供局域網(wǎng)用戶訪問。一方面，可以便于局域網(wǎng)用戶存儲工作文件，另一方面也便于用戶隨時訪問共享文件，便于資源共享和協(xié)同辦公。這種局域網(wǎng)文件共享方式，雖然方便了工作。但也使得這些共享文件也容易被局域網(wǎng)用戶隨意訪問、越權(quán)訪問，甚至泄露共享文件和損害共享文件的行為，而服務(wù)器的共享文件通常都是單位的無形資產(chǎn)和商業(yè)機密等，一旦泄密將會給企業(yè)帶來重大損失。因此，企業(yè)局域網(wǎng)也必須采取有效的舉措來保護文件服務(wù)器共享文件的安全。

針對上述文件泄密或隨意訪問文件、損害共享文件的行為，大勢至公司可以也推出了針對性的信息安全防泄密解決方案。

首先，通過“大勢至電腦文件防泄密系統(tǒng)”（下載地址：http://www.grabsun.com/monitorusb.html），可以完全禁止電腦USB存儲設(shè)備的使用，有效禁用U盤、移動硬盤等USB存儲設(shè)備，同時可以只讓特定的USB存儲設(shè)備使用，以及向USB復(fù)制文件必須輸入輸入密碼，從而有效防止了通過USB存儲設(shè)備泄密的行為；同時，本系統(tǒng)還可以完全禁用網(wǎng)盤、監(jiān)控郵件收發(fā)、防止FTP上傳文件以及通過聊天軟件的文件發(fā)送行為等。

本系統(tǒng)安裝后自動后臺隱藏運行并需要密碼認證，并且通過對操作系統(tǒng)的注冊表、組策略等關(guān)鍵位置的安全防護以及系統(tǒng)自我防護功能，可以極大地防止被用戶卸載或繞過監(jiān)控的情況，從而真正保護了電腦文件安全，保護了單位無形資產(chǎn)和商業(yè)機密。其處理流程如下：

其次，對于用戶訪問局域網(wǎng)共享文件泄密或損害共享文件的行為，通過部署“大勢至局域網(wǎng)共享文件管理系統(tǒng)”可以讓管理員設(shè)置用戶訪問共享文件的權(quán)限，在操作系統(tǒng)之外進行了額外的共享文件訪問權(quán)限控制。尤其是，可以實現(xiàn)操作系統(tǒng)甚至是域控制器無法實現(xiàn)的共享文件訪問權(quán)限控制功能，例如可以只讓讀取共享文件而禁止復(fù)制共享文件、只讓修改共享文件而禁止刪除共享文件、只讓打開共享文件而禁止另存為本地磁盤的行為，以及禁止拖拽共享文件到訪問者自己的磁盤或打印共享文件的行為，從而極大地保護了共享文件的安全。

最新評論