您的位置: 网界网 > 周报全文 > 正文

[周报全文]深信服助力招商银行上网行为管理

2008年10月29日 14:22:05 | 作者:CNW.com.cn | 来源: | 查看本文手机版

摘要:众所周知,金融机构掌握着大量的敏感数据,金融企业一旦开放互联网使用,其内部控制与IT风险管理就一定要考虑到员工上网行为的审计与管理。

标签
深信服
招商银行
上网行为管理

【CNW.com.cn 专稿】

关注风险

众所周知,金融机构掌握着大量的敏感数据,金融企业一旦开放互联网使用,其内部控制与IT风险管理就一定要考虑到员工上网行为的审计与管理。传统的网络安全解决方案更多针对的是来自外部的安全威胁,如应对恶意攻击行为等。然而统计数据显示,IT风险中70%以上属于操作风险,即因人工操作不当(无意或故意)引起的风险。比如,员工上网收到钓鱼信件后,直接读取邮件中的链结网址,可能会造成个人及公司财产的重大损失。即时通信工具以及广泛存在的BBS、博客等信息发布平台,为泄漏公司机密的不法分子开启了便利通道。利用这些通道可轻易地将企业内部重要信息传送到企业外部,给金融企业来重大损失。除此之外,无限制的互联网资源的使用,如P2P大流量下载工具、在线视频等,使宝贵的互联网出口带宽被滥用,正常的业务应用带宽被侵占,应用速度受到严重影响。

作为中国目前最成功的股份制商业银行之一,招商银行IT系统管理者对互联网带来的风险和安全隐患有着清晰的认识。然而他们发现,仅仅通过管理和制度很难做到对互联网使用的安全保障。为保证银行内部信息资产安全,提升因特网出口带宽价值,必须采用IT手段来构建互联网访问的身份验证和准入体系,实现对网络流量及应用的识别和控制,并进行外发信息的详细审计。

新的策略

经过严格的比较和测试,招商银行最终选择了深信服上网行为管理产品,并将其部署于互联网出口处,有针对性地启用了一系列管理和维护策略:

策略1启用用户身份认证系统。通过深信服上网行为管理产品的用户组管理模块,将内网用户的计算机与MAC地址、IP地址进行绑定。用户登录时,如果不符合绑定规则,将无法正常访问Internet。同时,支持用户名/密码认证、USB KEY免审计认证,并可和ProxyMail、域等第三方服务器结合,支持第三方服务器认证,有效保证访问互联网的用户身份的合法性。

策略2借助于深信服上网行为管理产品的全流量识别技术,对互联网中各种数据包进行特征码深度内容检测,从而达到彻底封锁QQMSN等软件。由于部分部门(如理财师(+本站微信networkworldweixin),客服)需要使用QQMSNIM软件与用户进行沟通交流,可以对这部分用户开放IM软件的使用权限,并对其他用户的IM通信进行封堵。

策略3启用网络准入系统。借助深信服上网行为管理产品的网络准入系统,识别内网用户的计算机是否具备了相应的安全策略。只有符合安全策略的计算机才允许访问外部网络,不具备相应安全条件的用户计算机则不允许上网。这样从根本上提高了银行内网用户计算机的安全性,减少了内网用户感染蠕虫、病毒、木马以及间谍软件的风险。

策略4启用智能流量管理系统。对PC的权限进行划分。某些部门的某些员工需要经常通过P2P下载资料的,则给该部门的特定员工开放一定的P2P下载权限,并对该员工不同类型的P2P应用设置足够的带宽。对于其他部门,既可彻底封堵P2P软件,也可将P2P软件的下载速度限定在一定范围内,避免占用过多的网络带宽,起到规范员工上网行为的效果。

经过上述策略的实施,招商银行内网形成了一个正常健康的办公环境。内网用户通过严格的身份认证,可实现每个人对自己的网络行为负责; P2P流量得到有效控制,不再出现业务带宽被无效娱乐流量占用的现象;内网安全得到全面提升,终端安全得到加强;通过对加密IM内容的监控,可有效避免内网敏感信息外泄的可能。(更多内容详见http://www.cnw.com.cn/P/449

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]