项目背景:
目前银行的多项业务均需依赖互联网平台, 银行信息化建设一直引领着各行业信息化建设的潮头。虽然金融单位已经部署了多种网络安全产品来抵御来自互联网的攻击,但在内网安全、规范管理、信息安全上存在许多薄弱环节。试想:如果银行职员上班时间BT下载、在线观看视频、访问赌博网站等,这些行为通过部署于网关出口的防火墙就能得到控制吗?银行内网一旦缺乏有效的管理手段必然会增加各项业务操作的风险,而且会严重影响工作效率。
招商银行项目原因:
招商银行是中国第一家完全由企业法人持股的股份制商业银行,总行设在深圳,在英国《银行家》杂志“世界1000家大银行”的最新排名中,资产总额居前150 位。随着银行业务的不断丰富和秉承“科技兴行”的理念,招商银行的各项业务运作越来越多依赖于网络平台,为了达到银行信息安全的要求,提高银行的竞争力,招商银行需要构建管理规范、流量平稳、防止泄密的安全无忧内网。目前招商银行内网管理存在以下问题:
1、银行职员上班时观看在线视频、进行BT下载等行为,对招行的网络出口带宽造成了不小的压力,招行的正常业务运用可能因为这些非工作性网络应用造成中断;
2、银行业务操作人员利用资金流相对便利,如何有效封堵加密的赌博网站、相关网络应用,是招行迫切需要解决的问题。
深信服上网行为管理解决方案:
针对上述问题,招商银行考察业界众多的内网管理解决方案提供商的产品,最终选择了上网行为管理解决方案,招行希望通过对内网用户进行明确的权限分配,规范银行员工上班时网络应用;通过彻底的带宽、流量控制,保障招行业务系统带宽,并进一步提高招行员工的网络应用效率。
深信服科技作为中国上网行为管理第一品牌的厂商,其产品经过招行IT部门的数轮测试,深信服上网行为管理产品强大的功能、性能特征深得招行IT部领导认可;而深信服专业的服务反应,也让招行领导放心不已。经过详细比对,招商银行最后选择部署深信服上网行为管理产品。
一期工程在招行总部实施,共部署深信服高端上网行为管理设备6台,对总部进行内网全面管理,经过近一年的实际应用,深信服上网行为管理产品超强的稳定性、对各种网络应用有效的管理能力深得招商银行认可。
二期工程实施时,招行银行将上网行为管理方案实施范围扩大到全国范围,共采购了20余台深信服上网行为管理产品,分别部署于总行、研发中心、电话银行中心、电话银行备份中心、深圳支行等处,全面保障和落实银行内部的信息安全策略。
招商银行上网行为管理设备部署示意图
1、内网用户上网权限的细致划分
招商银行各业务、职能部门工作分工非常专业,相应的网络应用也有很大的区别,为此,招行希望针对不同的部门,细致规定其部门员工的上网权限,让合适的人上合适的网站,进行合适的网络应用,超过该部门工作权限的网络行为一律禁止。
深信服上网行为管理设备针对招行各部门进行用户组划分,如信用卡中心、财务部……然后对基于人员划分的用户组赋予不同的上网权限,如:封掉信用卡中心炒股、加密交易网站应用……深信服上网行为管理设备甚至可以针对具体的用户进行上网权限分配。深信服上网行为管理产品细致的权限分配,大大降低了网络管理者的维护量,合理地规划出局域网的组织结构。
2、全面流量控制
事实上,一个2M以太网出口的局域网,只要有2个以上的员工不限速地使用BT,几乎所有人的正常网络浏览都将成为不可完成的任务。银行带宽出口虽然相对较大,但因为其网络应用众多,出口带宽也面临不小的压力。
深信服上网行为管理设备可进行BT、加密BT、未知版本BT的全面封堵,而且不会像防火墙那样被BT软件通过转换端口绕过去;通过基于人员、应用、访问网站类型等进行带宽分配、流量控制,招行IT人员可以提前规划好各部门网络应用流量,充分保障银行正常业务运作。
3、详细的日志备份
招商银行内网用户每天访问互联网时产生的日志十分巨大,亟需一个更大容量的数据备份机制,而传统网关所能提供的硬盘存储容量有限,且这些数据查询颇为麻烦。
招商银行关注日志信息的完整性和保密性,通过深信服上网行为管理设备独立的日志存储中心,招行确保了银行内网网络应用日志的完整性与保密性。通过使用深信服上网行为管理设备的NDC,招行的管理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态,NDC将网络使用情况自动生成报表并统计出网络访问的趋势,以帮助系统管理员更好地维护和管理网络。
