金融行业
统一互联网出口解决方案
分享到:
1.概述
1.1. 银行的业务需求

除了传统的生产、办公、管理类业务数据以外,各银行总行、一级分行、二级分行均有自己的Internet出口,满足互联网业务的需要,整个银行业的IT系统总体架构如下图所示:


  
 
1)网上银行服务
网上银行是银行业基本的服务渠道之一,为了满足客户多样化的需求,目前银行通常的做法是在营业网点放置少量的PC,PC上安装windows简化版,屏蔽大部分与网银使用无关的功能,单独租用运营商线路或走逻辑隔离的互联网区,供用户上网进行网上银行转账、行情查询、代缴费等操作。

2)办公业务的交互操作
银行内部员工进行个人网银操作的时候,使用办公IP网段通过内网上数据中心的网银服务器进行日常个人业务办理,这样可以避免使用Internet,具有较高的安全性。但是带来的问题也比较明显,占用了内网的线路资源。

3)邮件收发
内部员工收发邮件,邮件信息系统需要有与互联网交互的数据访问互联网。病毒邮件,垃圾邮件的防控成为安全防控重点。

4)资讯浏览
银行内部员工浏览网上资讯,进行互联网资源查询等上网需求。如何规范上网行为,避免访问非法网站,造成资源浪费及感染病毒,也是要解决的安全性问题。

1.2. 互联网出口现状分析
1)出口太多
银行各一级分行辖内存在众多分散的Internet出口。这些Internet出口有些是建设于一/二级分行、支行办公大楼内部,用于满足内部员工办理有关办公业务和日常上网浏览需求。分行辖内各营业网点也设有互联网出口,用以满足网点为客户提供网银业务操作及演示的需求。

2)高风险
互联网通常被称为是最不可信的网络,源于互联网有开放性、难以管理的特点,各种病毒、攻击手段泛滥成灾。因此,通过互联网则必然给银行网络带来安全隐患。从目前来看,相当一部分银行的出口通常用一台防火墙加一台路由器,添加一些简单的防护措施进行上网的安全控制。整体安全控制能力偏弱,互联网应用风险确实引人担忧。

3)上网速度慢
当工作人员在上班时间从事与工作无关的互联网应用行为,特别是一些耗带宽资源较大的应用如视频、BT下载等网络行为时,将严重影响工作效率,带宽资源是有限的,如果没有很好的流量控制手段,不加以防范管理,最终导致有限的带宽资源被少数人占用,带宽压力超负荷,继而使得全企业用户上网速度缓慢,即使通过扩容手段将带宽扩大,最终还是会陷入带宽"入不敷出"的怪圈。

4)上网行为管理困难
三分技术、七分管理,管理制度和技术是相辅相成的,从管理制度规范上网行为非常容易实现。可是要求IT部门、监管部门在每位员工身后实时监督其网络应用行为是非常不现实的。通常是处于事后管理、事后追查的模式,一旦员工违反制度如:发表非法言论、滥用违禁软件进行视频下载,监管人员往往难以定位到具体员工。责任的界定和追究无从落实。同时,针对下属的各级机构,总行(公司)的互联网管理制度,执行效果更是不尽人意,上网行为的全面管理难以企及。

1.3. 挑战与压力
1)维护压力大
目前银行的网络结构规模呈逐渐扩大趋势,而运维人员的数量基本上比较稳定,地市维护人员甚至呈下降的趋势,面对如此庞大的网络,分散的互联网出口无疑使维护人员的维护工作量更加繁重。

2)风险控制
银行多采用技术管控及制度管控的方式控制风险,但存在风险难评估,问题难定位等问题。为控制风险,IT部门必须承担评估风险,内部规范建立及技术实现的职责,这些工作IT人员需要做大量调研工作,耗费大量精力,但往往规划赶不上企业应用的变化。

既要合理控制风险,又要保证业务运行的稳定性,便利性,易操作性,使得风险控制技术落地困难重重,运维及IT规划部门面临调研难,需求变更快,实施贯彻难,控制效果不理想等诸多难题。

3)IT部门在企业的认同度低
作为业务运营保障的IT运维部门,肩负着辖内网络维护与管理工作,当互联网业务速度减缓或难以访问时,其他部门用户想到的第一个求助对象肯定是IT运维部门,在没有合适控制手段来防止带宽资源滥用的情况下,求助电话将越来越多,IT运维部门将疲于应付,网络用户不可避免会出现抱怨的声音。

4)安全控制、审计合规
IT信息部门面临着内外审计的要求,一方面,总行(公司)科技工作反复强调应加强企业的风险控制,保障业务安全运营要求;另外,公安部颁发的2006年3月1日起施行82号令,明确要求各企业应有防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;有完备的技术和管理手段记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;可记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。

1.4. 互联网出口技术关注点
1)上网风险的集中控制与管理
需要统一规划,统一Internet出口;可以将互联出口设置在总行或省行,关闭下辖机构的所有互联网出口(现有的通过互联网办理的业务除外,如银行的网银)。将统一出口设置在总行将给总部IT部门带来很大的管理压力,建议将互联出口设置在省行,实现风险集中、管理上收。

2)加强出口安全防护建设
Internet是最不可信任的区域,充斥着大量的病毒和木马,因此必须在互联网统一出口处,建立一套严密的安全防护措施,最大程度将安全威胁挡在门外。

3)上网用户的精细化管理
面对集中后更为庞大的互联网访问用户群,必须要有严格的上网用户管理策略、URL管理、上网行为管理等一系列的策略控制措施,保证整体网络的安全。

2.解决方案设计
2.1. 方案拓扑图

  
 
2.2. 部署要点
1)统一出口、风险集中管控
为了满足银行的上网需求,规范上网统一管理,增强网络的安全性,减少从Internet流入的病毒及木马的威胁。必须对银行网点以及地市行的Internet出口进行统一整合,在省行本部建设统一互联网出口区,实现统一出口、风险集中管控。

2)立体化安全防御
统一互联网出口区对设备的性能要求比以往更高,方案在考虑安全功能的基础上还兼顾网络的整体性能,因此,部署了万兆级的防火墙、上网行为管理及UTM,以满足各地市行以及网点的互联网访问需求。

防火墙负责基于端口号的访问控制,UTM负责应用层安全防护,包括IPS,反病毒,反垃圾邮件,应用控制,URL过滤等安全功能,有效阻止互联网的病毒、黑客攻击、垃圾邮件等进入银行网络,真正实现立体化安全防御系统。

3)带宽资源精细管理
上网行为管理负责屏蔽网络中大量的基于P2P垃圾流量和网络娱乐功能(例如:网络游戏、股票),一方面可以提高员工的工作效率,另一方面也可以保障互联网出口带宽真正的用于满足业务的需要,从而实现带宽资源的精细化管理。

3.方案特点
3.1. 标准化统一管理
汉柏科技统一互联网出口解决方案帮助银行便于实现统一的标准及管理策略部署,从而降低了以往分散部署及管理的风险及运维强度,提高了整体的运行效率,也便于互联网管理制度的贯彻和执行。

3.2. 风险集中、安全、可控
汉柏科技统一互联网出口解决方案使得银行的互联网非安全区域集中管控,使得以前分散在各地的风险集中可控,并通过高性能万兆防火墙、UTM、上网行业管理、流量管理等安全产品为银行构立体化安全防御系统,真正做到银行的业务风险集中、安全、可控。

3.3. 关键用户带宽有保障
汉柏科技统一互联网出口解决方案可以帮助银行针对不同的人员提供不同的访问互联网的策略,实现链路带宽的合理分配及有效利用,从而保障关键用户和关键业务的带宽。

3.4. 上网行为透明管理
汉柏科技统一互联网出口解决方案通过对用户身份,业务流量,网络及终端设备的管控,实现了对用户上网行为的可查可控,实现行为的透明管理,意味着网络风险可控,网络事件可查,网络控制有依据,网络安全有保证。

汉柏科技有限公司版权所有   

京公网安备 11010502033707号   

津ICP备11004525号-1