【51CTO.com 綜合消息】目前金融行業的多項業務均需依賴互聯網平臺， 其中，銀行業的信息化建設則一直引領著各行業信息化建設的潮頭。雖然金融單位已經部署了多種網絡安全產品來抵御來自互聯網的攻擊，但在內網安全、規范管理、信息安全上尚存在許多提升空間。如銀行職員上班時間BT下載、在線觀看視頻、訪問賭博網站等危險行為，現有一般通過防火墻等傳統設備進行策略限制已經難以滿足行業內的要求。況且銀行內網一旦缺乏有效的管理手段必然會嚴重影響工作效率，而且會增加各項業務操作的風險。

科技興行  網絡管控新要求

作為銀行業業務創新的代表，招商銀行不斷豐富和秉承“科技興行”的理念，各項業務運作越來越多依賴于網絡平臺，為了達到銀行信息安全的要求，提高自身的競爭力， 進而有效的規避網絡管理疏漏而可能帶來的一系列安全隱患，招商銀行于2008年即著手開展了相關信息化建設，系統建設目標如下：

1、基于應用對內網上網人員的行為進行管控，有效控制P2P下載、在線視頻等應用的流量，防止非業務流量擠占業務應用的帶寬；

2、精細控制內網上網人員的身份及訪問權限，防止內部人員利用資金運作便利通過網絡造成銀行資金風險；

選擇上網行為管理  實現精細管理

針對上述問題，招商銀行大范圍考察業界眾多的內網管理解決方案提供商的產品。在不斷綜合現階段行內網絡管控需求后，招商銀行最終選擇了國內發展迅速的上網行為管理解決方案，招行希望通過對內網用戶進行明確的權限分配，規范銀行員工上班時網絡應用；通過徹底的帶寬、流量控制，保障招行業務系統帶寬，并進一步提高招行員工的網絡應用效率。

由于當時上網行為管理產品發展時間尚短，招商銀行采取了詳細測試、多方必選的方式甄選供應商。以銀行業特有的嚴格測試與高標準要求，在前期的測試當中，cisco、SurfControl等國外廠商的產品均無法較好滿足具體需求，最終，招商銀行于當年選擇了與上網行為管理理念的提出者深信服科技開展合作，自此展開了至今已經維持三年多的緊密合作。

通過部署上網行為管理設備，招商銀行主要采用了以下策略進行網絡管控：

1、 內網用戶上網權限的細致劃分

招商銀行各業務、職能部門工作分工非常專業，相應的網絡應用也有很大的區別，為此，招商銀行針對不同的部門，細致規定其部門員工的上網權限，讓合適的人上合適的網站，進行合適的網絡應用，超過該部門工作權限的網絡行為一律禁止。

通過上網行為管理設備招行針對各部門進行用戶組劃分，如信用卡中心、財務部……然后對基于人員劃分的用戶組賦予 不同的上網權限，如：封堵信用卡中心炒股、加密交易網站應用……甚至可以針對具體的用戶進行上網權限分配。

2、 全面流量過濾及控制

為防范病毒、木馬對招商銀行內網的危害，招行開啟了上網行為管理設備中的網關殺毒功能，對所有進入招行內網的流量進行了第一遍殺毒，再配以內網完善的殺毒軟件部署，立體化防護網絡內的終端。

同時，為了合理的分配現有的帶寬資源，招行利用上網行為管理基于應用的流量控制功能拒絕了P2P下載、在線視頻等應用，對其他業務無關應用也做了相應限制，招行網絡出口流量通過整形使內網的正常網絡訪問行為獲得了良好的體驗。

3、詳細的日志備份

招商銀行內網用戶每天訪問互聯網時產生的日志十分巨大，亟需一個更大容量的數據備份機制，而傳統網關所能提供的硬盤存儲容量有限，且這些數據查詢頗為麻煩。

本著關注日志信息的完整性和保密性的關注，招行通過上網行為管理設備獨立的日志存儲中心，招行確保了銀行內網網絡 應用日志的完整性與保密性，招行的網絡管理者可以通過直觀的、圖象化的方式了解網絡帶寬的利用情況以及內網用戶的網絡訪問狀態，上網行為管理獨立數據中心還可將網絡使用情況自動生成報表并統計出網絡訪問的趨勢，以幫助系統管理員更好地維護和管理網絡。

4、 拒絕遠程控制應用

為了提升內網安全級別，招行通過上網行為管理產品基于應用級別的網絡控制，阻斷了QQ遠程協助、VNC、Radmin、遠程桌面等桌面級控制應用，防范網絡攻擊通過遠程控制招行內部終端實現數據入侵。

全國部署  創新共贏

2008年，招商銀行上網行為管理一期工程在招行總部實施，共部署深信服高端上網行為管理設備6臺，對總部進行內網全面管理，經過近一年的實際應用，深信服上網行為管理產品自身的穩定性、對各種網絡應用有效的管理能力深得招商銀行認可。

后續，二期工程隨即展開，招行銀行將上網行為管理方案實施范圍擴大到全國范圍，共采購了20余臺深信服上網行為管理產品，分別部署于總行、研發中心、電話銀行中心、電話銀行備份中心、深圳支行等處，全面保障和落實銀行內部的信息安全策略。

在部署應用的過程中，招商銀行不斷總結著自身在上網行為管理方面的心得，深信服科技也始終保持著與招行的緊密聯系，在三年多的緊密合作里，招商銀行針對自身使用及延展需求等方面與深信服科技展開了良好的合作，多項建議被采納到深信服上網行為管理產品的版本改進中，如危險流量識別技術等。這些技術帶著金融業信息化建設明顯的前瞻性，在廣大行業客戶處獲得了一致的好評。