前言
金融行业是国民经济的重要行业,掌握着国家或公民的重要机密信息。一旦这些信息被泄露,轻则导致国家经济损失,重则威胁国家经济命脉;对于公民个人来说,银行账户、理财、股票、证券、债券、信用卡、支付宝、微信等方式存储着大量的个人金融信息,一旦遭遇泄露、诈骗、冒用等行为,不仅会造成公民经济损失,而且还泄露公民个人隐私信息。因此,金融证券行业上网行为管理、信息安全管理和商业机密防泄密将具有十分重要的意义。
对于互联网应用安全,金融机构主要依赖防病毒软件、防间谍软件等来防护,确保敏感信息不被复制、破坏;但这个是远远不够的,金融行业应该将网络安全建设的重点放到内部来,通过“认证-授权-审计”的思路,规范各种应用与人员行为,这样才能从“源头”消除起因于内部的各种安全威胁。如内部有员工上了一些含有间谍软件或者其他恶意代码的网站,招致垃圾邮件、病毒感染,甚至成为“僵尸机”成为泄密的通道; 或者,员工通过IM或者电子邮件将内部敏感信息泄露出去;又或者,员工大量下载电影、玩游戏,占用正常办公的带宽,导致领导和关键应用上网出故障等等。
这些问题,都是因为金融行业员工的有意或者无意的不当上网行为所致。 我们强调在金融行业的网络安全建设要最大限度的提倡“事前控制”,在对合法用户进行认证的基础上,实施细颗粒度的授权,达到对各种网络应用行为的控制目的,做到“防患于未然”;同时,有效的实时监控与审计手段,为IT管理人员可进行网络安全“优化”的提供分析基础。
因此,金融机构的内控与IT风险管理一定要考虑内部员工的网络行为管理与审计,需要根据金融机构的各项管理制度,建立一套网络安全行为管理策略,有效的管理和监控员工的各种应用行为,采取有效的手段正确的“引导”员工“规范的使用网络”,从内部消除、减少各种网络安全威胁。
金融证券机构网络管理现状
对于现有的IT系统安全架构,金融机构的管理人员并非没有考虑,经验丰富的金融IT人员对各种威胁认识非常深刻:
1、37.5%的金融IT人员担心间谍软件、恶意程序、黑客与蠕虫攻击。如果遭遇攻击,势必造成网络阻塞和数据损坏及丢失,若无法事先预防遭受攻击,并且发作时又不能迅速采取因应措施,势必给金融IT系统的正常业务造成灾难性的后果。
2、44.5%的受访者担心行为监控不够会造成员工非法外联、越权访问、滥用网络、资源等有意或无意的行为,这些行为都有可能为信息泄漏和金融犯罪者提供可乘之机,给系统带来致命的打击。
3、62.4%的金融IT人员最担心不受控制的网络应用,会导致带宽资源瞬时紧张,从而影响关键业务与领导的上网;73%的金融IT人员担心网络会突然断开,直接中断了关键业务的网络服务。
不受管理的网络行为,将在以下四个方面产生危害:生产力流失、网络带宽浪费、法律后果、安全隐患。具体表现如下:
1、上班时间浏览与工作无关信息、炒股、玩在线游戏、看电影等,导致生产力下降。
2、大量P2P、高速下载、FTP等等网络滥用行为,占用大量带宽,严重影响正常业务。
3、通过电子邮件、BBS等方式,泄露企业的机密信息。
4、网络滥用行为,导致严重安全隐患,钓鱼站点,病毒站点的访问将把这些威胁的因素引入到公司的内部,这时我们在网关处部署的大量的被动防御设施将无能为力。
5、非法/过激的言论,无知识产权信息的下载/发布将给企业带来法律纠纷。
金融证券机构网络管理问题
对于很多金融组织来讲,最大的安全威胁来自于计算机病毒感染,传统的做法是部署各种形态的杀病毒系统,但这种方法是事后、被动的处理机制。最新的安全理念是,构筑“主动安全体系”,可以通过WEB访问控制、IM与P2P控制、ARP定位与防护、流量管理、外发信息审计以及针对在线游戏、炒股等网络行为的细颗粒管理,来实现“事前控制”、“防患于未然”的目的。
具体来说,当前金融行业网络管理主要有以下一些问题:
1、没有做到细颗粒度的访问控制。
A证券有着非常丰富的网络应用如:OA系统、WEB服务器、邮件服务器等。并且集团的规模十分庞大,部门、人员组成十分复杂。集团无法对这些用户进行细致的分组规定他们访问的资源的权限。还有QQ、MSN、BT、网络游戏、在线电影、炒股等等网络资源同样无法进行有效的控制,导致用户可以任意的使用网络资源使员工效率降低,并且加大了企业的风险。
2、无法对内网用户的各种网络行为进行有效的审计。
A证券对于内网用户可能发生的各种网络行为不能进行有效的审计,如通过电子邮件、IM、BBS、FTP等方式的泄密行为;内网用户发起的各种非法文件和资料的传播行为;内部员工发起的各种局域网的攻击与黑客行为等等,这些都是传统的防火墙等安全手段所不能监控的。特别是金融类企业,尤其需要有详细的内网用户的网络行为审计,以防止各种泄密、黑客等意外情况。
3、无法对网络带宽流量进行管理。
A证券的网络应用复杂,但由于没有成熟的方案对内部员工的上网带宽进行细化的管理,导致员工的网络资源滥用,使得A证券的关键应用带宽得不到保障,如CRM系统、电子邮件系统、视频会议系统等等,可能因为用户无节制的BT下载、在线电影等影响,不能正常的提供服务。
4、小型的分支机构,需要性价比高的整合性解决方案。
对于金融行业上网行为管理需求,可行的解决方案很多,如通过交换机、防火墙以及网管系统实现部分目标;但最有效的解决方案还是专业的上网行为管理与审计产品解决方案。
金融证券机构网络管理要求
因为金融行业的IT系统非常的复杂,并且不能够有任何的问题,所以良好的解决方案应该具备以下特点:
1、对原有的网络结构和业务不做改动或者少量改动;不影响业务。
2、安装部署简单,使用简单,即插即用。
3、产品系统的功能全面,能够全面满足金融行业的需求。
金融企业的特点,要求应用的产品在应用性和成熟性方面必须异常优秀,我们建议的的金融企业选型时考虑的因素如下:
1、硬件处理架构
目前在中国销售的上网行为管理产品,主要有两种类型的硬件架构:一种是普通的PC工控架构,基于X86平台;一种是专门的RISC架构,基于MIPS芯片多核处理器平台。X86架构,采用通用CPU和总线结构,在计算能力、速度、稳定性、和软件系统的整合性方面都有很明显的问题;而RISC架构,特别是基于百万级计算能力的MIPS芯片多核处理器平台,采用专用网络处理芯片、多核多线程计算,可以提供4-16核多达8-32个线程运算能力。RISC架构传统上只在小型机和高级专用网络设备上采用,它能够提供更为可靠的稳定性和标称速度。
2、全面的行为记录和应用控制
网络行为管理与审计系统,要求能够识别L7层等高级应用,能够自动识别并按照策略处置各种高级应用,如P2P,电子邮件特别是WEB邮件等。采用网关技术而不是简单的旁路技术,以保证不漏包和网络访问控制的效率。
3、要有强大行为分析技术
上网行为管理与审计系统,要提供多种分析的方法、模型,为企业制定新的网络管理策略和优化方案提供必要的支撑,同时也可以为企业的人力资源管理提供必要的参考数据。
4、产品应用可靠
硬件产品应该具有完善的可靠性设计,保证了网络用户的网络稳定。使用了性能卓越的硬件设备,减少了产品宕机、死机的情况。独有的软硬件 Bypas保护功能,即使在设备故障的情况下,也能保证网络的畅通。高性价比,电信级的设备性能,企业级的设备价格。
金融证券机构网络管理方案
当银行把安全的注意力集中于防火墙、入侵控制以及风险管理等外部威胁的时候,由于银行内部原因所引起的安全问题往往容易被忽视。据银行内部的消息,大部分的银行安全问题是由于内部监控和风险管理欠缺所引起的。许多银行可能认为员工是最不需要担心的一部分,但是,有许多网络安全问题却是由于内部员工所引起的。因此,在信息化高度发展的金融领域,应该转变安全的观点,逐渐把安全的战略从防外转向防内,拥有一个真正安全的网络环境。
在金融机构中,37.5%的受访者担心间谍软件、恶意程序、黑客与蠕虫攻击。如果遭遇攻击,势必造成网络阻塞和数据损坏及丢失,若无法事先预防遭受攻击,并且发作时又不能迅速采取因应措施,势必给金融IT系统的正常业务造成灾难性的后果;25%的受访者担心行为监控不够会造成员工非法外联、越权访问、滥用网络、资源等有意或无意的行为,这些行为都有可能为信息泄漏和金融犯罪者提供可乘之机,给系统带来致命的打击。另外,根据Yankelovich的最新调查报告显示,超过60%的企业互联网访问包括了与业务无关的、不恰当的、甚至危险的站点。
由于金融机构掌管着大量的敏感数据,不能仅仅依赖防毒软件、间谍软件和封锁广告软件产品来确保互联网的安全。相反,金融机构应该把安全的重点移动企业内部来,据统计,网络安全事件有绝大部分的攻击、漏洞和威胁来自于企业内部。例如,员工上网留下电子邮件地址或因上网后中了间谍软件,可能会招致垃圾邮件,会造成邮件服务器宕机或网络堵塞,更有甚者因收到“不当内容广告”或“钓鱼信件”后,直接读取邮件中“链结网址”,可能会触犯相关法律因而危害到企业本身。“聊天工具”或“网页邮件”为不法泄漏公司机密的人开启了一个便利通道,这些人可轻易的将公司内部重要信息传送到企业外部,为企业与客户带来莫大的损失。
大势至针对金融行业网络管理方案如下:
首先,针对较为简单的局域网环境,可以部署基于B/S架构的“聚生网管”网络行为管理系统。聚生网管系统基于独创的“虚拟网关”技术,只需要在局域网一台电脑部署就可以控制整个局域网电脑上网行为,可以有效禁止局域网下载、炒股、聊天、玩游戏、网购等上网行为,并且还可以设置黑白名单过滤网址,限制局域网电脑网速,进行局域网IP和MAC地址绑定,以及防止局域网ARP攻击等,实现局域网上网行为的全面控制。
有两种部署方式可以选择,首先可以在一个聚生网管的控制机上面额外配置多块网卡(最高配置6块),然后通过每个网卡分别接入各个局域网上的交换机的方式实现对多个局域网的监控,如图(一)所示。如果存在多个多个交换机、多个局域网的情况下,可以在每个局域网对应的交换机下面各配置一台聚生网管的控制机,分别控制各自的局域网,如图(二)所示。
其次,对于较大规模的网络环境,尤其是通过三层交换机划分了多网段的局域网,可以部署大势至公司的“网络特警”上网行为管理设备。“网络特警”基于独创的“创新直连”架构,只需要接入到三层交换机的一个网段就可以控制所有网段、所有电脑上网行为,完全禁止局域网迅雷下载、禁止电脑玩游戏、禁止局域网炒股、禁止电脑网购、禁止随意浏览网页、禁止局域网看视频、进行IP和MAC地址绑定、防御ARP攻击等。同时,还可以禁止无线路由器接入局域网、禁止手机连接局域网、禁止局域网随身wifi、禁止wifi共享等。如下图所示:
最后,大势至公司的“聚生网管”和“网络特警”网络行为管理系统,都可以根据金融证券行业的具体网络管理需求进行二次定制开发,从而可以满足用户个性化的网络管理需要。
全方位的信息安全防泄密方案如下:
虽然通过上网行为管理系统,一方面可以有效控制员工上网行为,防止上班时间干私活、上网娱乐以及其他与工作无关的上网行为,从而可以防止员工这些上网行为占用工作时间,并提高工作效率;另一方面,通过对员工不适当的上网行为、与工作无关的上网行为的管控,可以防止员工访问木马病毒网站、下载含有恶意程序的文件,防范黑客攻击行为等。
但是这些上网行为管理面临的问题通常是对员工访问互联网的行为进行管控,而对用户通过电脑外接设备的泄密行为通常无法有效的管控,尤其是通过U盘、移动硬盘等USB存储设备,以及通过网盘、邮件(加密邮件)、FTP文件上传和聊天软件发送文件等方式的泄密行为,则常常无法提供有效的管控。
同时,在金融证券行业的局域网中,通常都配备了文件服务器并共享文件供局域网用户访问。一方面,可以便于局域网用户存储工作文件,另一方面也便于用户随时访问共享文件,便于资源共享和协同办公。这种局域网文件共享方式,虽然方便了工作。但也使得这些共享文件也容易被局域网用户随意访问、越权访问,甚至泄露共享文件和损害共享文件的行为,而服务器的共享文件通常都是单位的无形资产和商业机密等,一旦泄密将会给企业带来重大损失。因此,企业局域网也必须采取有效的举措来保护文件服务器共享文件的安全。
针对上述文件泄密或随意访问文件、损害共享文件的行为,大势至公司可以也推出了针对性的信息安全防泄密解决方案。
首先,通过“大势至电脑文件防泄密系统”,可以完全禁止电脑USB存储设备的使用,有效禁用U盘、移动硬盘等USB存储设备,同时可以只让特定的USB存储设备使用,以及向USB复制文件必须输入输入密码,从而有效防止了通过USB存储设备泄密的行为;同时,本系统还可以完全禁用网盘、监控邮件收发、防止FTP上传文件以及通过聊天软件的文件发送行为等。
本系统安装后自动后台隐藏运行并需要密码认证,并且通过对操作系统的注册表、组策略等关键位置的安全防护以及系统自我防护功能,可以极大地防止被用户卸载或绕过监控的情况,从而真正保护了电脑文件安全,保护了单位无形资产和商业机密。其处理流程如下:
其次,对于用户访问局域网共享文件泄密或损害共享文件的行为,通过部署“大势至局域网共享文件管理系统”可以让管理员设置用户访问共享文件的权限,在操作系统之外进行了额外的共享文件访问权限控制。尤其是,可以实现操作系统甚至是域控制器无法实现的共享文件访问权限控制功能,例如可以只让读取共享文件而禁止复制共享文件、只让修改共享文件而禁止删除共享文件、只让打开共享文件而禁止另存为本地磁盘的行为,以及禁止拖拽共享文件到访问者自己的磁盘或打印共享文件的行为,从而极大地保护了共享文件的安全。