深度案例剖析
招商银行 构建由内而外的安全管理机制

地区中国
行业金融

客户简介
    招商银行成立于1987年4月8日,是中国第一家完全由企业法人持股的股份制商业银行,总行设在深圳。是国内第一家采用国际会计标准的上市公司。

业务情况
    目前,招商银行总资产逾7000亿元,在英国《银行家》杂志“世界1000家大银行”的最新排名中,资产总额居前150 位。为了保障银行信息安全建设的总体要求,提高企业竞争力,招商银行决定采购专业上网行为管理产品,构建由内而外的安全管理机制。

应用简介
    招商银行一期工程采购了五台高端设备,分别部署于总行、研发中心、电话银行中心、电话银行备份中心、深圳支行等处,全面保障和落实组织内部的信息安全策略。二期工程覆盖了所有一级分行的互联网出口。

 

方案背景
    银行业的信息化建设一直处于各大行业的前端,虽然金融系统的网络中已经部署了很多的网络安全产品,抵御来自互联网的攻击,但是对内网安全防范的手段上存在许多薄弱环节没有进行覆盖。如:

  1. 银行职员占用上班时间BT下载,观看在线电影,甚至访问不良网站,泄漏机密信息等等,这些行为通过已部署于网关出口的防火墙无法实现对它们的控制;
  2. 银行内网一旦缺乏有效的管理手段必然会增加各项业务操作的风险,同时对工作效率的影响也非常严重,难以满足银监会和当地安全管理部门的要求。

    随着招商银行业务的不断丰富和秉承“科技兴行”的理念,其各项业务越来越依赖互联网所提供的便利。为了保障银行信息安全建设的总体要求,提高企业竞争力,招商银行决定采购专业上网行为管理产品,构建由内而外的安全管理机制。
    招商银行的风险管控、安全运营十分重要,严重影响银行的业务的正常运转的内网安全的隐患,可以归结为以下几个方面:

    • 部分用户通过互联网进行赌博活动,直接或间接地导致行内机密信息的泄漏;
    • 行内职员占用上班时间访问与工作无关的不良网站和高风险网站(如:色情网站、赌博网站、携带恶意软件等),将安全隐患引入内网;
    • 行内职员上班时间观看在线电影和下载音乐,使用BT工具等等这些行为,造成带宽拥挤不堪,工作效率的大大下降;
    • 恶意用户发送敏感数据(如:反动言论等);
    • 日志信息管理手段的缺乏导致信息不完整,不能满足银监会要求。
   
 

解决方案
部署简图

    内网管理建设的标准需要符合相关的标准、规范以及文件精神的要求。目前各大银行均已制订了成文的信息安全策略——招商银行也不例外。
    互联网控制是银行安全策略的核心之一,贯彻和执行该信息安全策略需要相应的行政手段和技术手段相结合。上网行为管理为银行互联网控制的主要内容之一,是落实信息安全策略的最重要的手段。招商银行通过对比多家厂商的上网行为管理产品后,最终选用了深信服SINFOR AC上网行为管理产品。部署简图如下:

   应用规模
    SANGFOR AC的强大的功能和优异的性能,得到了招商银行的高度认可,其一期工程采购了五台高端设备,分别部署于总行、研发中心、电话银行中心、电话银行备份中心、深圳支行等处,全面保障和落实组织内部的信息安全策略。二期工程覆盖了所有一级分行的互联网出口。

 

 

 

应用策略
   
内网用户上网权限划分

    根据不同业务、不同部门、不同职位进行权限划分比如:财务部门,网络部门对网页的访问权限不同,办公室与研发中心对P2P的使用权限。招商银行通过深信服SINFOR AC上网行为管理网关,建立了完善的职能部门和成熟的决策流程,也大大降低了网络管理者的维护量,合理的规划出局域网的组织结构。
   
   机密信息保密
    银行的信息保密机制是极为严格的,例如:个人(企业)客户资料、未公开的政策法规、商业信息等信息,都具有非常高的机密性。招商银行在未部署深信服SINFOR AC上网行为管理网关之前,内部的机密信息很容易泄漏:职员有意或者无意的通过Email、QQ、MSN、BBS等将信息外发。
    SANGFOR AC上网行为管理网关具备多种机密信息的保护技术:

  1. 邮件延迟审计——保证内网用户外发邮件的正文和附件必须先经过管理员审核之后才能正常发出;
  2. 限制使用webmail时只能收取邮件,不能发送邮件;
  3. 为防止用户通过论坛发帖泄密或发布过激言论,限制只能看帖,不能发帖;
  4. 封堵IM软件的文件传输行为,并对相关聊天信息进行审计,避免机密信息的泄露同时也为日后异常事件的追溯提供了强有力的数据支撑。

    敏感数据信息过滤

    招商银行使用SANGFOR AC的URL过滤、关键字过滤等技术手段禁止不良网站的访问,并且记录关于访问行为的相关信息,将不健康和包含潜在威胁的网站拦截在外。管理员预先设置敏感关键字,例如:法伦功、色情

 

 

从自内而外和自外而内两个方向过滤不良信息。
   流量控制管理
    P2P技术使人们可以高速获取海量的网络资源,同时,P2P对带宽的占用也让网管员无可奈何:一个2M以太网出口的局域网,只要有2个以上的员工不限速地使用BT,所有人的正常网络浏览都将成为不可完成的任务。
    每天,互联网上都会有人发布最新的P2P软件,版本的更新也导致很多针对P2P的产品无法控制。针对这种情况,SANGFOR AC网关采用P2P智能检测技术和流量特征识别技术来实现管理。帮助管理员彻底封锁所有的P2P流量,或者根据实际情况,针对特定用户和相应的P2P工具进行流量控制。
   详细的日志信息备份分析系统
    公安部于2006年3月1日颁布的82号文件,其第七条中提到“按规定执行的企业必须记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施”,以及第十条,即:
(一)记录并留存用户注册信息;
(二)在公共信息服务中发现、停止传输违法信息,并保留相关记录;
(三)联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。
    招商银行网络规模较大,内网用户每天访问互联网时所产生的海量日志信息需要一个海量的数据备份机制,且需要通过更为直观和简单的方式进行查询。
    招商银行十分关注日志信息的完整和保密,深信服SANGFOR AC支持独立的日志信息备份存储中心

 

(DC),支持无限量地存储内网访问日志信息。一旦银行内部的出现访问互联网时滥用、误用、盗用客户个人或者企业客户保密信息等等行为,SANGFOR AC会将日志信息完整统计下发送至SANGFOR AC数据中心。
通过使用SANGFOR AC数据中心,组织的管理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态,并通过数据挖掘工具将网络使用情况自动生成报表并统计出网络访问的趋势、风险评估,以帮助系统管理员更好的维护和管理网络。
(以下图片为示例)

方案价值
    据美国CSI/FBI的调查结果显示,企业和政府机构因重要信息被窃所造成的损失,已远远超过病毒感染和黑客攻击所造成的损失,80%以上的安全威胁来自内部。
    SANGFOR AC上网行为管理方案在招商银行的成功应用,成为IT运营部门风险管控的有力工具:
降低内部机密信息泄漏的风险;
保证信息的完整性以备事后追踪安全事故源头;
构建由内而外的安全管理机制,完善招商银行信息化安全管理系统和制度。