直击金融信息风险——深信服为北京银行构建互联网安全屏障

维普资讯 http://www.cqvip.com ｉ　直击金融信息风险　一深信服为北京银行构建互联网安全屏障　高华　对于信息安全，所有的银行都不会掉以轻心。２００Ｈ５年，　银监会出台　银行业金融机构信息系统风险管理指引　，将　金融信息安全提上一个重要地位。而作为银行监管国际标　从而达到彻底封锁ＱＱ、ＭＳＮ等软件。由于部分部门（如　理财师，客服）需要使用ＱＱ和ＭＳＮ等ＩＭ软件和用户　进行沟通和交流，可以对这部分用户开放ＱＱ和ＭＳＮ等　准的制定者巴塞尔银行监管委员会也将“关键银行信息的　保密”作为对电子银行需要进行重点风险控制的部分之一。　众所周知，金融机构掌管着大量的敏感数据，金融组　织一旦开放互联网使用，其内控与ＩＴ风险管理就一定要　考虑员工上网行为的审计与管理。传统的网络安全解决　方案更多针对的是外部风险，如恶意攻击。然而，据统　计，ＩＴ风险中７０％以上属于操作风险，即由人工操作不　当（无意或故意）引起的风险，例如，员工上网收到“钓　鱼信件”后，直接读取邮件中“链结网址”，可能会损失　个人及公司财产。即时通讯工具及广泛存在的Ｂ　Ｂ　Ｓ、博　客等信息发表场合，为不法泄漏公司机密的人开启了一个　便利通道，这些人可轻易地将公司内部重要信息传送到企　业外部，给金融组织带来巨大损失。除此之外，无限制的　互联网资源的使用，如Ｐ２Ｐ大流量下载工具、在线视频等，　同样使宝贵的互联网出口带宽被滥用，正常的业务使用反　而受到严重影响。　作为中国资产规模最大的城市商业银行，北京银行的　ＩＴ系统管理者对互联网带来的风险和隐患有着清晰的认　识，然而他们发现，仅仅通过管理和制度很难做到互联网　使用过程的安全性，为实现内部信息资产安全，提升互联　网出口带宽价值，必须采用ＩＴ手段来构建互联网访问的　身份验证和准入体系，实现网络流量及应用的识别和控制，　并进行外发信息的详细审计。　北京银行最终选择了深信服上网行为管理产品Ａ　Ｃ，　并将其部署于互联网出口，如图１所示，并针对性地启用　了一系列管理和维护策略：　策略１：启用用户身份认证系统。通过深信服ＡＣ的　用户组管理模块，将内网用户的计算机与ＭＡＣ地址、ＩＰ　地址进行绑定。用户登录时，如果不符合绑定规则，将无　法正常访问互联网。　策略２：借助于深信服ＳＩＮＦ０Ｒ　ＡＣ产品的网络行为　识别功能，对从常规端口过来的数据包进行特征码检测，　ＩＭ软件的权限，并对其他用户的ＩＭ通讯进行封堵。　策略３：启用网络准入系统。借助于深信服ＳＩＮＦＯＲ　Ａ　Ｃ产品的网络准入系统，识别内网用户的计算机是否具　备了相应的安全策略。只有符合相应的安全策略的计算机　才允许访问外部网络，不具备相应安全条件的用户计算机，　不允许上网。这样从根本上提高了企业用户计算机的安全　性，减少了企业用户感染蠕虫、病毒、木马以及间谍软件　的风险。　策略４：启用Ｐ２Ｐ流控功能。对ＰＣ的权限进行划分，　某些部门需要经常通过Ｐ２Ｐ下载学习资料，则给该部门　开放一定的Ｐ２Ｐ下载权限。每个员工平均有１００Ｋｂｐｓ的　下载上限。对于其他部门，则将Ｐ２Ｐ下载和上传的流量　限制在１０Ｋｂｐｓ以下，避免占用过多的网络带宽，并达到　规范员工上网行为的效果。　ｐ囹　ｈ纛　一一　、　一　④　、　网　＠　＠　◇　图１北京银行深信服上网行为管理产品部署示意图　经过上述策略的实施，北京银行内网的办公电脑形成　了一个正常健康的办公环境，内网用户得到有效的识别和　绑定，上网行为的责任到人；Ｐ２Ｐ流量得到有效控制，不　再出现业务带宽被无效娱乐流量占用的现象；内网安全得　到全面提升，终端安全得到加强；外发信息严格审计，通　过对加密ＩＭ内容的监控，有效避免内网敏感信息外泄的　可能。＠