对于很多金融组织来讲,最大的安全威胁来自于计算机病毒感染,传统的做法是部署各种形态的杀病毒系统,但这种方法是事后、被动的处理机制。最新的安全理念是,构筑“主动安全体系”,可以通过WEB访问控制、IM与P2P控制、ARP定位与防护、流量管理、外发信息审计以及针对在线游戏、炒股等网络行为的细颗粒管理,来实现“事前控制”、“防患于未然”的目的。
(下面以某证券公司为例,有多分支机构的银行、基金公司类似)
A证券,是中国最大的券商之一,在全国设有30多个分支机构,各个分支机构均独立上网,有关拓扑示意图如下:
通过对A*证券网络的详细了解,我们总结A证券网络安全方面,有以下问题需要解决:
(1)没有做到细颗粒度的访问控制
A证券有着非常丰富的网络应用如:OA系统、WEB服务器、邮件服务器等。并且集团的规模十分庞大,部门、人员组成十分复杂。集团无法对这些用户进行细致的分组规定他们访问的资源的权限。还有QQ、MSN、BT、网络游戏、在线电影、炒股等等网络资源同样无法进行有效的控制,导致用户可以任意的使用网络资源使员工效率降低,并且加大了企业的风险。
(2)无法对内网用户的各种网络行为进行有效的审计
A证券对于内网用户可能发生的各种网络行为不能进行有效的审计,如通过电子邮件、IM、BBS、FTP等方式的泄密行为;内网用户发起的各种非法文件和资料的传播行为;内部员工发起的各种局域网的攻击与黑客行为等等,这些都是传统的防火墙等安全手段所不能监控的。特别是金融类企业,尤其需要有详细的内网用户的网络行为审计,以防止各种泄密、黑客等意外情况。
(3)无法对网络带宽流量进行管理
A证券的网络应用复杂,但由于没有成熟的方案对内部员工的上网带宽进行细化的管理,导致员工的网络资源滥用,使得A证券的关键应用带宽得不到保障,如CRM系统、电子邮件系统、视频会议系统等等,可能因为用户无节制的BT下载、在线电影等影响,不能正常的提供服务。
(4)小型的分支机构,需要性价比高的整合性解决方案
A证券的分支机构比较多,如果都采用专门的单一功能的网络安全设备,投入巨大;A证券公司需要在满足基本安全功能的情况下,尽量的细化对网络行为的管理。
更多内容请看PCdog.com--共享上网 证券解决方案专题
