对于信息安全,所有银行都不会掉以轻心。200年,银监会出台《银行业金融机构信息系统风险管理指引》,将金融信息安全提上一个重要地位。而作为银行监管国际标准制定者的巴塞尔银行监管委员会,也将“关键银行信息的保密”作为对电子银行需要进行重点风险控制的要求之一。
众所周知,金融机构掌管着大量的敏感数据,金融企业一旦开放互联网使用,其内部控制与IT风险管理就一定要考虑到员工上网行为的审计与管理。传统的网络安全解决方案更多针对的是来自外部的安全威胁,如恶意攻击等,然而统计数据显示,IT风险中70%以上属于操作风险,即因人工操作不当(无意或故意)引起的风险。比如,员工上网收到钓鱼信件后,直接读取邮件中的链结网址,可能会造成个人及公司财产的重大损失。即时通讯工具以及广泛存在的BBS、博客等信息发布平台为泄漏公司机密的不法分子开启了便利通道,利用这些通道可轻易的将企业内部重要信息传送到企业外部,给金融企业来重大损失。除此之外,无限制的互联网资源的使用如P2P大流量下载工具、在线视频等使宝贵的互联网出口带宽被滥用,正常的业务应用带宽被侵占,应用速度受到严重影响。
银行业的IT系统管理者对互联网带来的风险和安全隐患有着清晰的认识,然而他们发现,仅仅通过管理和制度很难做到对互联网使用的安全保障。为保证企业内部信息资产安全,提升因特网出口带宽价值,必须采用IT手段来构建互联网访问的身份验证和准入体系,实现对网络流量及应用的识别和控制,并进行外发信息的详细审计。
深信服上网行为管理产品,部署于企业的互联网出口处,并针对性地启用一系列管理和维护策略,可有效保障银行业用户的内网信息安全:
深信服上网行为管理产品部署示意图
策略1:启用用户身份认证系统。通过深信服上网行为管理产品的用户组管理模块,将内网用户的计算机与MAC地址、IP地址进行绑定。用户登录时,如果不符合绑定规则,将无法正常访问Internet。同时,支持用户名/密码认证,USB KEY免审计认证,并可和Proxy、Mail、域等第三方服务器结合,支持第三方服务器认证。
策略2:借助于深信服上网行为管理产品的全流量识别技术,对互联网中各种数据包进行特征码深度内容检测,从而达到彻底封锁QQ、MSN等软件。由于部分部门(如理财师,客服)需要使用QQ和MSN等IM软件和用户进行沟通交流,可以对这部分用户开放IM软件的使用权限,并对其他用户的IM通讯进行封堵。
策略3:启用网络准入系统。借助于深信服上网行为管理产品的网络准入系统,识别内网用户的计算机是否具备了相应的安全策略。只有符合安全策略的计算机才允许访问外部网络,不具备相应安全条件的用户计算机,则不允许上网。这样从根本上提高了组织内网用户计算机的安全性,减少了内网用户感染蠕虫、病毒、木马以及间谍软件的风险。
策略4:启用智能流量管理系统。对PC的权限进行划分,某些部门的某些员工需要经常通过P2P下载资料的,则给该部门的特定员工开放一定的P2P下载权限,并对该员工不同类型的P2P应用设置足够的带宽,对于其他部门,既可彻底封堵P2P软件,也可将P2P软件的下载速度限定在一定范围内,避免占用过多的网络带宽,并起到规范员工上网行为的效果。
经过上述策略的实施,银行企业内网可形成一个正常健康的办公环境,内网用户通过严格的身份认证,可实现每个人对自己的网络行为负责; P2P流量得到有效控制,不再出现业务带宽被无效娱乐流量占用的现象;内网安全得到全面提升,终端安全得到加强;外发信息严格审计,通过对加密IM内容的监控,可有效避免内网敏感信息外泄的可能。
经过在金融行业的长期开拓,深信服上网行为管理解决方案已广泛应用于各类商业银行、证券公司、保险公司、银监系统等金融机构,已形成一套成熟的金融行业上网行为管理解决方案,为金融行业客户优化网络结构、提升带宽价值发挥了重要作用。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
勒索软件给事件响应带来压力
研究表明,随着网络罪犯将注意力转向勒索软件攻击,2017年泄露数据记录数量下降近25%。 根据2018年IBM […]
-
企业有望通过安全分析来应对网络威胁
几十年以来,安全领域已经发生了巨大变化。企业不仅需要保护办公室资产和股票等有形资产,同时,随着企业越来越依靠技 […]
-
云栖大会前夕:阿里云安全来了场神秘发布
国庆即来,而国庆之后即是一年一度的杭州云栖大会,在距大会不到两周的节点上,一场以“云上安全 中国力量”的阿里云安全发布会在京神秘召开,更有神秘的“幕后智多星”首次公开亮相……
-
当安全团队在寻求解决方案的时候,他们在寻找什么?
如果你问一些安全购买者在找什么样的方案或产品,其中的多数可能会说还没有找到正在找的东西……