上网行为管理，提升业务质量

招商银行股份有限公司(CMB)(以下简称招商银行)成立于1987年，是中国第一家完全由企业法人持股的股份制商业银行，是国内第六大银行。目前，招商银行的总资产超过了800亿美元，在中国的30多个主要城市设有400多个分行，同时还与50多个国家的900多家银行保持业务往来。

招商银行坚持“科技兴行”的发展战略，其信息化水平一直处于行业尖端，银行的各项业务也越来越依赖于互联网平台。虽然招行金融系统的网络中已部署有很多网络安全产品、用于抵御来自外网的攻击，但银行对内网安全防范的手段上依然存在短板。试想：如果银行职员在上班时间使用BT下载，观看在线电影，甚至不小心访问到恶意网站，泄漏机密信息，这些危险的行为通过防火墙或IDS就能杜绝吗？答案是否定的。

而银行的内网一旦缺乏有效的管理手段，必然会增加各项业务操作的风险；同时，网络上各种各样网站和应用，如不加限制也会影响职员的工作效率。

　　在考察了各种方案后，招商银行决定采用专业的上网行为管理产品来解决上述问题。其对上网行为管理产品的需求集中在以下几方面：

1、上网行为的审计。如上班时间发生的炒股行为有多少？是哪些部门和职员经常利用上班时间做一些和工作无关的事情？

2、上网流量的控制。如分析出内网带宽是哪些部门和职员占得最多？如何对这些P2P使
行为进行封堵或限制？

3、如何防止通过各种方式（比如QQ、MSN、邮件等）对外发送涉密的文件？

4、如何防止内网计算机被外网的黑客非法控制？如何避免远程协助等行为导致内网计算机成为肉鸡或僵尸网络中的一员？

5、 如何减少病毒通过公网进入内网的可能性？

在综合对比多家国内外的上网行为管理产品后，招商银行最终选择了著名前沿网络厂商深信服科技的高端上网行为管理设备——M5800-AC和M5600-AC，部署在其总行、金融电子研发中心、电话银行中心和深圳分行等四个大型网络中，目前应用情况良好。

在应用中，招商银行上网行为管理系统实现了以下功能。

1、 强大的审计和记录功能。
对各种网络行为的审计按照报表显示，深信服AC上网行为管理产品拥有强大的数据中心，管理者可分组、用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网页浏览，邮件，各种应用等详细信息，并可直接打印和导出报表。其强大的日志系统和丰富的报表功能，详细分析了招商银行的Internet的具体使用情况，为网络管理员和决策者提供了最有效的数据支持。

招商银行的局域网每天会产生大量的互联网访问日志，如果都将日志保存到上网行为管理设备的硬盘中，容量显然是不够的。不同于其它上网行为管理产品，深信服AC的日志中心具有良好的移植性，可以将深信服AC的日志中心平滑的转移到内网中的任何一台服务器上，并通过Web访问方式随时查询和导出数据。这种可移植的日志中心有两大优势：1.独立部署的日志中心将不受设备的硬盘容量限制，更方便用户的日志记录和扩展。对于一些需要记录大量互联网访问信息的用户，此功能特别实用；2.由于深信服AC可将日志和设备分离，大大减轻了上网行为管理设备的工作量，避免大量的数据存取操作成为影响网关性能的瓶颈。

2、 超强的识别能力。

在上网行为管理领域，对用户上网行为的识别一直是个难点。一方面，用户的上网行为涉及到各种网络软件的使用、各种网址的访问，其数量和规模极其庞大，通过普通的URL库和应用数据库来管理，其滞后性严重，往往落后于应用一步。必须需要强大的识别和分析能力才能对其进行管理。另一方面，加密已经成为了互联网、甚至局域网访问的一个大势所趋。我们可以发现，越来越多的P2P软件开始采用加密传输，IM通讯工具从用户登陆（例如中国移动的飞信）到内容传输（腾讯QQ和MSN Shell）都在使用加密技术，我们经常访问的网页，也出现了越来越多的SSL加密（例如很多的https网站）。对于加密的应用，很多解决方案无能为力。

　　深信服科技AC系列上网行为管理设备不仅可以识别普通的非加密应用，还可以识别出经过加密的应用和网站，并实现了基于统计学的行为识别技术，可以对所有的应用和流量进行识别，进而帮助用户进行审计、封堵、流量控制等。很多其他解决方案无法实现的功能，例如HTTPS网站的过滤、QQ聊天信息的查询和记录，深信服的上网行为管理解决方案都可以做到游刃有余的管理。

3、 多种手段保障内网安全。

首先，作为一个全面的内网管理设备，深信服上网行为管理安全网关提供了丰富的安全保障措施，内部集成来自欧洲的领先病毒厂商的杀毒引擎，对内网用户接收的邮件和下载的文件进行病毒过滤，降低了内网用户感染病毒的风险。其次，通过深信服上网行为管理设备内置的规则协议库，能够有效的阻止对外发送文件等泄密的风险，包括邮件客户端，WEBMAIL，即时聊天软件，网站上传等各种方式对外传文件。

经过上述手段的实施，招商银行内网的办公电脑形成了一个正常健康的办公环境，上网行为的责任到人； P2P流量得到有效控制，不再出现业务带宽被无效娱乐流量占用的现象；内网安全得到全面提升，终端安全得到加强；外发信息严格审计，有效避免内网敏感信息外泻的可能。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友