招商銀行股份有限公司(CMB)(以下簡稱招商銀行)成立于1987年,是中國第一家完全由企業法人持股的股份制商業銀行,是國內第六大銀行。目前,招商銀行的總資產超過了800億美元,在中國的30多個主要城市設有400多個分行,同時還與50多個國家的900多家銀行保持業務往來。
招商銀行堅持“科技興行”的發展戰略,其信息化水平一直處于行業尖端,銀行的各項業務也越來越依賴于互聯網平臺。雖然招行金融系統的網絡中已部署有很多網絡安全產品、用于抵御來自外網的攻擊,但銀行對內網安全防范的手段上依然存在短板。試想:如果銀行職員在上班時間使用BT下載,觀看在線電影,甚至不小心訪問到惡意網站,泄漏機密信息,這些危險的行為通過防火墻或IDS就能杜絕嗎?答案是否定的。
而銀行的內網一旦缺乏有效的管理手段,必然會增加各項業務操作的風險;同時,網絡上各種各樣網站和應用,如不加限制也會影響職員的工作效率。
在考察了各種方案后,招商銀行決定采用專業的上網行為管理產品來解決上述問題。其對上網行為管理產品的需求集中在以下幾方面:
1、上網行為的審計。如上班時間發生的炒股行為有多少?是哪些部門和職員經常利用上班時間做一些和工作無關的事情?
2、上網流量的控制。如分析出內網帶寬是哪些部門和職員占得最多?如何對這些P2P使行為進行封堵或限制?
3、如何防止通過各種方式(比如QQ、MSN、郵件等)對外發送涉密的文件?
4、如何防止內網計算機被外網的黑客非法控制?如何避免遠程協助等行為導致內網計算機成為肉雞或僵尸網絡中的一員?
5、如何減少病毒通過公網進入內網的可能性?
在綜合對比多家國內外的上網行為管理產品后,招商銀行最終選擇了著名前沿網絡廠商深信服科技的高端上網行為管理設備——M5800-AC和M5600-AC,部署在其總行、金融電子研發中心、電話銀行中心和深圳分行等四個大型網絡中,目前應用情況良好。
在應用中,招商銀行上網行為管理系統實現了以下功能。
1、審計和記錄功能
對各種網絡行為的審計按照報表顯示,深信服AC上網行為管理產品擁有強大的數據中心,管理者可分組、用戶、規則、協議等多種查詢對象,按餅圖、柱狀圖、曲線圖等方式進行查詢,可直觀地查看到網頁瀏覽,郵件,各種應用等詳細信息,并可直接打印和導出報表。其強大的日志系統和豐富的報表功能,詳細分析了招商銀行的Internet的具體使用情況,為網絡管理員和決策者提供了最有效的數據支持。
招商銀行的局域網每天會產生大量的互聯網訪問日志,如果都將日志保存到上網行為管理設備的硬盤中,容量顯然是不夠的。不同于其它上網行為管理產品,深信服AC的日志中心具有良好的移植性,可以將深信服AC的日志中心平滑的轉移到內網中的任何一臺服務器上,并通過Web訪問方式隨時查詢和導出數據。這種可移植的日志中心有兩大優勢:1.獨立部署的日志中心將不受設備的硬盤容量限制,更方便用戶的日志記錄和擴展。對于一些需要記錄大量互聯網訪問信息的用戶,此功能特別實用;2.由于深信服AC可將日志和設備分離,大大減輕了上網行為管理設備的工作量,避免大量的數據存取操作成為影響網關性能的瓶頸。
2、識別能力
在上網行為管理領域,對用戶上網行為的識別一直是個難點。一方面,用戶的上網行為涉及到各種網絡軟件的使用、各種網址的訪問,其數量和規模極其龐大,通過普通的URL庫和應用數據庫來管理,其滯后性嚴重,往往落后于應用一步。必須需要強大的識別和分析能力才能對其進行管理。另一方面,加密已經成為了互聯網、甚至局域網訪問的一個大勢所趨。我們可以發現,越來越多的P2P軟件開始采用加密傳輸,IM通訊工具從用戶登陸(例如中國移動的飛信)到內容傳輸(騰訊QQ和MSN Shell)都在使用加密技術,我們經常訪問的網頁,也出現了越來越多的SSL加密(例如很多的https網站)。對于加密的應用,很多解決方案無能為力。
深信服科技AC系列上網行為管理設備不僅可以識別普通的非加密應用,還可以識別出經過加密的應用和網站,并實現了基于統計學的行為識別技術,可以對所有的應用和流量進行識別,進而幫助用戶進行審計、封堵、流量控制等。很多其他解決方案無法實現的功能,例如HTTPS網站的過濾、QQ聊天信息的查詢和記錄,深信服的上網行為管理解決方案都可以做到游刃有余的管理。
3、多種手段保障內網安全
首先,作為一個全面的內網管理設備,深信服上網行為管理安全網關提供了豐富的安全保障措施,內部集成來自歐洲的領先病毒廠商的殺毒引擎,對內網用戶接收的郵件和下載的文件進行病毒過濾,降低了內網用戶感染病毒的風險。其次,通過深信服上網行為管理設備內置的規則協議庫,能夠有效的阻止對外發送文件等泄密的風險,包括郵件客戶端,WEBMAIL,即時聊天軟件,網站上傳等各種方式對外傳文件。
經過上述手段的實施,招商銀行內網的辦公電腦形成了一個正常健康的辦公環境,上網行為的責任到人; P2P流量得到有效控制,不再出現業務帶寬被無效娛樂流量占用的現象;內網安全得到全面提升,終端安全得到加強;外發信息嚴格審計,有效避免內網敏感信息外瀉的可能。