金融行業風險管控分析
金融行業的各項業務越來越依賴于互聯網，雖然很多用戶都在網絡中部署了防火墻、IDS、防病毒軟硬件等網絡安全產品，但在內網安全管控方面依然還有待加強。常見的問題如下：
1、上網終端的管理不夠嚴格。銀行、證券、保險等用戶內網規模普遍較大，能訪問互聯網的人數眾多，個別用戶沒有及時安裝系統補丁和安全類軟件，使終端存在安全漏洞，容易感染病毒或受到外網入侵、引發安全問題。
2、互聯網訪問的管理不足。Internet的普及給金融行業的用戶帶來了極大便利，但個別職員在上班時間訪問和工作無關的網站，影響了日常工作的開展。個別人可能利用手頭的資金進行炒股或博彩等投機行為，存在資金安全的隱患。
3、信息和數據安全保護有待加強。金融行業的信息關系國計民生，如有人不慎將局域網中的信息通過郵件、BBS等工具泄露到互聯網上，將對企業和國家帶來不良影響。

招商銀行上網行為管理解決方案
作為中國金融領域信息化的先行者之一，招商銀行為避免發生上述的內網安全管控問題，選擇了同國內知名網絡廠商深信服公司合作，通過組建上網行為管理解決方案來實現內網安全的管控。
 具體方案如下：
1、對內網終端和用戶進行“合法性認證”
   為進一步保證招商銀行內網安全，招商銀行通過啟用上網行為管理的認證功能，對內外所有終端都進行了準入控制，只有安裝殺毒軟件、操作系統打全補丁的終端才可以正常上網；同時，招商銀行還啟動了上網身份認證，只有經過授權的合法用戶才能上網，避免一些外來的用戶私自接入銀行內網，或個別客戶更改IP或Mac地址、導致網絡管理出現漏洞。
2、對內網用戶進行分組和分層次的管理
不同的部門和個人的工作性質不同，所以網絡管理的程度應該也是不同的，不能執行一刀切式的管理模式。為了讓管理更人性化，招商銀行根據各部門的工作性質、人員數量、職員級別等因素對內網用戶進行了分組。
3、根據權限制訂互聯網的訪問管理規范
 在完成上述認證和權限劃分后，最重要的后續工作就是對各個用戶組的互聯網訪問內容進行規則和規范制訂，主要方向是互聯網web站點的過濾，應用軟件的管理，P2P流量管理，外發信息管理等。
對于接觸核心數據的業務部門和研發部門，就需要對上網權限進行嚴格管理、避免產生信息泄露，而對于接觸核心數據較少的部門可適當寬松管理。

方案應用效果
通過在總行、研發中心、電話銀行中心、電話銀行備份中心、深圳支行等處部署多臺上網行為管理設備，招商銀行全面保障和落實了組織內部的信息安全策略。
1、內網用戶分組和上網權限劃分
通過權限劃分并啟用上網身份認證，招商銀行實現了精細到每一個用戶的上網認證，一方面讓內網用戶上網更規范，另一方面避免外來用戶利用私人電腦接入，有效降低了網絡管理者的維護量，避免出現安全隱患。
2、機密信息保護
通過上網行為管理方案，招商銀行對電子郵件、IM聊天工具、BBS發帖等都做了相應管理。例如在電子郵件方面，招商銀行通過上網行為管理的郵件延遲審計功能，保證內網用戶外發郵件的正文和附件必須先經過管理員審核之后才能正常發出；在IM風險管控方面，招商銀行通過上網行為管理產品實現了對多種IM軟件的文件傳輸行為進行封堵，并對聊天信息進行適度管理，避免機密信息的泄露、也為日后異常事件的追溯提供了強有力的數據支撐。
通過這樣的處理，招商銀行內部的敏感信息如個人（企業）客戶資料、未公開的政策法規、商業信息等等，都得到了安全保護。
3、應用和網站過濾
通過上網行為管理的過濾技術，招商銀行對一些部門啟用了應用和網站的過濾，對不良及存在風險的應用和網站進行了屏蔽，避免發生安全和資金隱患。
4、P2P流量控制管理
針對內網存在的P2P下載行為占用帶寬的問題，招商銀行利用上網行為管理產品對P2P流量進行了管理，根據不同部門的工作內容設定了P2P的下載權限，將P2P下載控制在一個可以接受的流量范圍內，既方便員工通過P2P來下載工作相關的資料、又不影響正常的互聯網訪問。
5、上網行為記錄
招商銀行的內網用戶每天訪問互聯網時產生了海量日志信息，需要一個大容量的數據備份機制，而且這些數據信息還需要通過直觀的方式進行查詢，便于IT部門和企業高層進行分析和決策。
深信服上網行為管理產品具備獨立的日志中心系統，可以將日志庫擴展到局域網內的任意一臺服務器或PC上，這樣存儲空間就不會受到限制，幫助招商銀行實現了互聯網訪問日志的完整存儲。同時，IT部門可以通過圖象化的報表了解網絡帶寬的應用情況以及內網用戶的網絡訪問狀態，幫助系統管理員更好的維護和管理網絡，制訂帶寬擴容和應用優化決策。
  
 通過部署深信服上網行為管理系統，招商銀行加強了內網安全管控，完善了信息安全管理系統和制度，降低內部機密信息泄漏的風險，為銀行業務的進一步發展奠定了基礎。