深信服上网行为管理解决方案构建招商银行前沿网络安全.docVIP

深信服上网行为管理解决方案构建招商银行前沿网络安全 ――由内而外的安全管理机制 背景： ?银行信息化建设一直处于各大行业的尖端，银行的各项业务也越来越依赖于互联网平台。虽然金融系统的网络中已经部署了很多网络安全产品，抵御来自互联网的攻击，但在内网安全防范的手段上存在许多薄弱环节没有覆盖。试想：如果银行职员占用上班时间BT下载、观看在线电影，甚至访问不良网站、泄漏机密信息等等，这些行为通过已部署于网关出口的防火墙就能实现对它们的控制吗？银行内网一旦缺乏有效的管理手段必然会增加各项业务操作的风险，同时对工作效率的影响也非常严重。 招商银行总部需求分析： 招商银行成立于1987年4月8日，是中国第一家完全由企业法人持股的股份制商业银行，总行设在深圳。自成立以来，招商银行先后进行了四次增资扩股，并于2002年3月成功发行了15亿普通股，4月9日在上交所挂牌（股票代码：600036），是国内第一家采用国际会计标准的上市公司。目前，招商银行总资产逾7000亿元，在英国《银行家》杂志“世界1000家大银行”的最新排名中，资产总额居前150 位。随着银行业务的不断丰富和秉承“科技兴行”的理念，其越来越依赖互联网所提供的便利，为了保障银行信息安全建设的总体要求，提高企业竞争力，招商银行通过对比多家厂商的上网行为管理产品后，最终选用了深信服上网行为管理产品。 客户需求： 由于银行业的行业特性，招商银行较多业务都具有相当的操作风险。因此，银行业务的安全运营至关重要。除此之外，如果银行职员占用上班时间访问与工作无关的网站，或者是播放在线电影、下载MP3、进行BT下载等等，这些行为将造成工作效率的大大下降。还有哪些内网安全隐患会严重影响银行业务的正常运转呢？可以归结为以下几个方面： 1、机密信息的泄漏 2、上班时间滥用带宽进行BT下载、播放流媒体 3、发送敏感数据（如：反动言论等） 4、访问不良网站和高风险网站（如：色情网站，携带恶意软件等） 5、日志信息管理手段的缺乏导致信息不完整 招商银行上网行为管理解决方案 内网管理建设需要符合相关标准、规范以及文件精神的要求。目前各大银行均已制订了成文的信息安全策略，招商银行也不例外。互联网控制是银行安全策略的核心之一，贯彻和执行该信息安全策略需要相应的行政手段和技术手段相结合。上网行为管理作为银行互联网控制的主要内容之一，是落实信息安全策略的最重要的手段。 深信服上网行为管理产品强大的功能和优异的性能，得到了招商银行的高度认可，其一期工程采购了2台M5800-AC，3台M5600-AC，1台M5400-AC；二期工程采购了22台M5600-AC，分别部署于总行、研发中心、电话银行中心、电话银行备份中心、深圳支行等处，全面保障和落实组织内部的信息安全策略。 1、内网用户上网权限划分 我们把外网和内网中间的网络称之为前沿网络。对于银行网络来说，外网控制主要对银行系统业务网、办公网、与外单位互联的接口网络之间按各自的应用范围、安全保密程度进行合理分布管理，以免局部安全性较低的网络系统造成的威胁，传播到整个网络系统。内网则需要根据不同的权限管理进行划分，比如针对不同业务、不同部门、不同职位等。除了把组划分好之后，我们下一步还需要给相应的组分别对应不同的上网权限，比如：财务组不能访问新浪网站，网络部则可以访问等，甚至每个组中的某一个具体用户用都可以针对用户的私有IP地址＋网卡MAC地址来分配所能访问的权限。细致的上网权限划分是上网行为管理产品必需具备的功能之一，招商银行通过深信服上网行为管理产品，建立了完善的职能部门和成熟的决策流程，也大大降低了网络管理者的维护量，合理的规划出局域网的组织结构。 2、机密信息保密 招商银行在未部署深信服上网行为管理产品之前，内部机密信息很容易泄漏。银行的信息保密机制是最为严格的，例如：个人（企业）客户资料、未公开的政策法规、商业信息等等，都具有非常高的机密性，如果职员利用互联网有意或者无意的通过Email、QQ、MSN、BBS等渠道很容易造成这些信息的泄密或丢失。深信服上网行为管理产品具备多种机密信息的保护技术，用户可以通过专利技术之一的邮件延迟审计技术，将内网用户发送的邮件先转移至设备的邮件缓存区，邮件审核人员通过系统口令访问邮件缓存区并审核邮件正文及其附件，那些涉及到机密信息、侵犯性语言、非法URL、个人隐私的邮件将被返回给发件人或者丢弃。而这一审核过程对局域网中的用户是完全透明的，邮件的发送过程和以往并没有任何不同。 3、敏感数据信息过滤 深信服上网行为管理产品通过URL、关键字过滤等技术手段禁止不良网站的访问，并且需要记录关于访问行为的所有信息，例如：当事人名字，及其所访问的或者被禁止访问的网页，并且该次访问是在什么时候发生的等等信息。在深信服上网行为管理产品中内