金融证券行业上网行为管理应用案例解析

无序网络行为引发危机

对于互联网应用安全，金融机构主要依赖防病毒软件、防间谍软件等来防护，确保敏感信息不被复制、破坏；但这个是远远不够的，金融行业应该将网络安全建设的重点放到内部来，通过“认证-授权-审计”的思路，规范各种应用与人员行为，这样才能从“源头”消除起因于内部的各种安全威胁。 如内部有员工上了一些含有间谍软件或者其他恶意代码的网站，招致垃圾邮件、病毒感染，甚至成为“僵尸机”成为泄密的通道； 或者，员工通过IM或者电子邮件将内部敏感信息泄露出去；又或者，员工大量下载电影、玩游戏，占用正常办公的带宽，导致领导和关键应用上网出故障等等。

这些问题，都是因为金融行业员工的有意或者无意的不当上网行为所致。 我们强调在金融行业的网络安全建设要最大限度的提倡“事前控制”，在对合法用户进行认证的基础上，实施细颗粒度的授权，达到对各种网络应用行为的控制目的，做到“防患于未然”；同时，有效的实时监控与审计手段，为IT管理人员可进行网络安全“优化”的提供分析基础。

因此，金融机构的内控与IT风险管理一定要考虑内部员工的网络行为管理与审计，需要根据金融机构的各项管理制度，建立一套网络安全行为管理策略，有效的管理和监控员工的各种应用行为，采取有效的手段正确的“引导”员工“规范的使用网络”，从内部消除、减少各种网络安全威胁。

金融机构的需求分析

对于现有的IT系统安全架构，金融机构的管理人员并非没有考虑，经验丰富的金融IT人员对各种威胁认识非常深刻：

（1）37.5%的金融IT人员担心间谍软件、恶意程序、黑客与蠕虫攻击。如果遭遇攻击，势必造成网络阻塞和数据损坏及丢失，若无法事先预防遭受攻击，并且发作时又不能迅速采取因应措施，势必给金融IT系统的正常业务造成灾难性的后果;

（2）44.5%的受访者担心行为监控不够会造成员工非法外联、越权访问、滥用网络、资源等有意或无意的行为，这些行为都有可能为信息泄漏和金融犯罪者提供可乘之机，给系统带来致命的打击。

（3）62.4%的金融IT人员最担心不受控制的网络应用，会导致带宽资源瞬时紧张，从而影响关键业务与领导的上网；73%的金融IT人员担心网络会突然断开，直接中断了关键业务的网络服务。

不受管理的网络行为，将在以下四个方面产生危害：生产力流失、网络带宽浪费、法律后果、安全隐患。具体表现如下：

（1）上班时间浏览与工作无关信息、炒股、玩在线游戏、看电影等，导致生产力下降

（2）大量P2P、高速下载、FTP等等网络滥用行为，占用大量带宽，严重影响正常业务

（3） 通过电子邮件、BBS等方式，泄露企业的机密信息

（4）网络滥用行为，导致严重安全隐患，钓鱼站点，病毒站点的访问将把这些威胁的因素引入到公司的内部，这时我们在网关处部署的大量的被动防御设施将无能为力

（5）非法/过激的言论，无知识产权信息的下载/发布将给企业带来法律纠纷

 金融行业的具体需求应对

对于很多金融组织来讲，最大的安全威胁来自于计算机病毒感染，传统的做法是部署各种形态的杀病毒系统，但这种方法是事后、被动的处理机制。最新的安全理念是，构筑“主动安全体系”，可以通过WEB访问控制、IM与P2P控制、ARP定位与防护、流量管理、外发信息审计以及针对在线游戏、炒股等网络行为的细颗粒管理，来实现“事前控制”、“防患于未然”的目的。

（下面以某证券公司为例，有多分支机构的银行、基金公司类似）

A证券，是中国最大的券商之一，在全国设有30多个分支机构，各个分支机构均独立上网，有关拓扑示意图如下：

通过对A*证券网络的详细了解，我们总结A证券网络安全方面，有以下问题需要解决：

（1）没有做到细颗粒度的访问控制

A证券有着非常丰富的网络应用如：OA系统、WEB服务器、邮件服务器等。并且集团的规模十分庞大，部门、人员组成十分复杂。集团无法对这些用户进行细致的分组规定他们访问的资源的权限。还有QQ、MSN、BT、网络游戏、在线电影、炒股等等网络资源同样无法进行有效的控制，导致用户可以任意的使用网络资源使员工效率降低，并且加大了企业的风险。

（2）无法对内网用户的各种网络行为进行有效的审计

A证券对于内网用户可能发生的各种网络行为不能进行有效的审计，如通过电子邮件、IM、BBS、FTP等方式的泄密行为；内网用户发起的各种非法文件和资料的传播行为；内部员工发起的各种局域网的攻击与黑客行为等等，这些都是传统的防火墙等安全手段所不能监控的。特别是金融类企业，尤其需要有详细的内网用户的网络行为审计，以防止各种泄密、黑客等意外情况。

（3）无法对网络带宽流量进行管理

A证券的网络应用复杂，但由于没有成熟的方案对内部员工的上网带宽进行细化的管理，导致员工的网络资源滥用，使得A证券的关键应用带宽得不到保障，如CRM系统、电子邮件系统、视频会议系统等等，可能因为用户无节制的BT下载、在线电影等影响，不能正常的提供服务。

（4）小型的分支机构，需要性价比高的整合性解决方案

A证券的分支机构比较多，如果都采用专门的单一功能的网络安全设备，投入巨大；A证券公司需要在满足基本安全功能的情况下，尽量的细化对网络行为的管理。

细颗粒度的网络行为管理解决方案

对于金融行业上网行为管理需求，可行的解决方案很多，如通过交换机、防火墙以及网管系统实现部分目标；但最有效的解决方案还是专业的上网行为管理与审计产品解决方案。

因为金融行业的IT系统非常的复杂，并且不能够有任何的问题，所以良好的解决方案应该具备以下特点：

（1）对原有的网络结构和业务不做改动或者少量改动；不影响业务。

（2）安装部署简单，使用简单，即插即用。

（3）产品系统的功能全面，能够全面满足金融行业的需求。

金融企业的特点，要求应用的产品在应用性和成熟性方面必须异常优秀，我们建议的的金融企业选型时考虑的因素如下：

（1）硬件处理架构

目前在中国销售的上网行为管理产品，主要有两种类型的硬件架构：一种是普通的PC工控架构，基于X86平台；一种是专门的RISC架构，基于MIPS芯片多核处理器平台。X86架构，采用通用CPU和总线结构，在计算能力、速度、稳定性、和软件系统的整合性方面都有很明显的问题；而RISC架构，特别是基于百万级计算能力的MIPS芯片多核处理器平台，采用专用网络处理芯片、多核多线程计算，可以提供4-16核多达8-32个线程运算能力。RISC架构传统上只在小型机和高级专用网络设备上采用，它能够提供更为可靠的稳定性和标称速度。

（2）全面的行为记录和应用控制

网络行为管理与审计系统，要求能够识别L7层等高级应用，能够自动识别并按照策略处置各种高级应用，如P2P，电子邮件特别是WEB邮件等。采用网关技术而不是简单的旁路技术，以保证不漏包和网络访问控制的效率。

（3）要有强大行为分析技术

上网行为管理与审计系统，要提供多种分析的方法、模型，为企业制定新的网络管理策略和优化方案提供必要的支撑，同时也可以为企业的人力资源管理提供必要的参考数据。

（4）产品应用可靠

硬件产品应该具有完善的可靠性设计，保证了网络用户的网络稳定。使用了性能卓越的硬件设备，减少了产品宕机、死机的情况。独有的软硬件 Bypas保护功能，即使在设备故障的情况下，也能保证网络的畅通。高性价比，电信级的设备性能，企业级的设备价格。

青莲AOS是中国本土第一款基于RISC多核处理器平台的网络行为管理与审计系统，除了提供稳定、卓越的性能外，<