启明星辰助力金融行业实现内网安全合规

　　启明星辰天珣内网安全风险管理与审计系统产品，正是针对金融行业的网络特性和合规性的要求，从终端这个源头入手，集中安全管理，推进内网的整体安全。天珣内网安全管理与审计系统服务于金融行业的信息安全保护，使其内部网络始终处于安全、可靠、保密的环境下运行。同时，天珣产品进一步帮助金融行业合规管理的政策落地、帮助金融行业内部安全管理的制度执行、提高金融行业内网资源的有效协调和管理水平、提升金融行业内网的整体安全防护，最终实现，保障金融行业客户的各项业务的连续性和安全性运行。

　　一、金融行业内网特点和面临的主要安全威胁

　　1、金融行业网络结构的特点

　　整体看，我国银行网络总体是一个银行内部业务系统，一般采取总行到省行及地市分行的三级网络结构。银行的网络一般分为三级节点：总行网络中心为一级的节点、省行网络中心为二级的节点，各地市银行网络中心、各支行网络中心为三级节点。从业务结构上看，金融行业的网络结构整体分为业务(生产)网络与办公业务局域网系统。

　　生产业务网：营业服务器，业务服务器，中间业务服务器汇集到中心交换机。中心交换机多采用双机备份。营业服务器和业务服务器通过中心交换机与各地市行网络中心以及分支网络中心互联。中间业务服务器从中心交换机与移动、联通、金融等相连。另一方面，营业服务器和业务服务器从中心交换机通过前置机为各营业网点通过网络办理正常业务。还有就是通过 INTERNET 公网为公网用户提供网上银行业务。主要应用诸如：储蓄、信用卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等生产业务。

　　办公业务局域网：主要用于金融总部及下面各级网络的办公自动化系统，为了确保金融网络的安全，办公业务局域网和金融的业务系统隔离，相互独立。金融办公局域网整网结构设计一般为接入、汇聚、核心三层网络结构。办公业务局域网一般与一台中心交换机相连，由若干个 VLAN 组成，是用于正常办公及处理内部业务的系统，它有领导用户、财务部、一般用户等各级别的客户端不同的安全需求。

　　2、金融行业内网面临的主要安全威胁

　　金融行业其独特的内网结构，使该行业的内网面临来自六个方面的安全威胁：

　　·内部合规管理难以落地：金融机构对内部的合规要求、安全操作等都缺乏实质有效的信息化管理手段，比如员工的肆意修改IP地址行为，造成的违规事件无法溯源，无法对员工的行为做有效管理;

　　·外部终端缺乏准入控制：终端未经安全认证和授权即可随意接入到内网，导致组织内部重要信息泄露或毁灭，终端接入后对内网的非授权访问难以管理，造成不可弥补的重大损失;

　　·移动存储介质疏于管理：移动设备，包括笔记本电脑、便携式PDA等和新增设备未经过安全检查和处理违规接入，非法拷贝内网数据，甚至带来病毒传播、黑客入侵等不安全因素;

　　·工具滥用危及网络资源：员工在工作时间内聊天、游戏、赌博、电影下载、登陆色情反动网站等行为大量存在，由于工具滥用行为，还包括客户端发送的违规欺骗包，使内部流量负载增加，影响了工作效率，影响网络正常使用;

　　·脆弱风险阻于行为审计：终端的脆弱点和违规溯源，需要对客户端的文件操作审计与控制、打印、网站访问、异常路由、终端Windows登录、在线违规拨号上网、违规离线上网等审计;

　　·终端安全水平参差不齐：客户端的漏洞密布、口令简陋、缺少必要的关键补丁，缺乏必要的安全知识，同时无法及时掌握进程运行情况，木马程序可能就混在其中，无从获取管理员的帮助支持;

　　二、天珣内网安全的解决之道

　　1、国内某商业银行的部署方案

　　以某商业银行为例，该行是1992年经人民银行批准试营运，下辖数十个支行，共有营业网点上万个客户端。网络较为复杂，需要部署省、市两级内网安全管理系统，网络内部有大量关键服务器需要保护，同时需要对终端进行统一监控和管理，能够满足内网网络准入控制、终端安全控制、桌面管理功能、终端审计等安全功能，实现全面的内网安全。

　　具体的部署和管理构架如下图所示：

2、天珣内网安全风险管理与审计系统实现的价值

　　天珣内网风险管理与审计系统，作为一套终端合规管理系统，从客户的管理角度切入，把用户的需求划分为五个管理需求，分别是：终端的准入和控制、终端的安全管理控制、终端的桌面管理、移动存储管理、终端的行为审计的管理需求(见图1)。从用户现实需求出发，天珣内网风险管理与审计系统提出了“五维终端合规管理模型”框架，覆盖了终端合规的这五大领域，针对这些功能点，天珣内网风险管理与审计系统以多样的准入控制为核心(见图2)，全面实现了上述功能需求。

图1

图2 多层次准入控制图

　　多层的准入控制——保障内网安全：全新构建内网“安检系统”，保证终端安全接入内网，保证终端接入行为受控，保证合规管理策略100%执行。

　　积极的主动防御——保护终端安全：为终端提供盔甲，使终端具备威胁主动防御能力，保护终端免受攻击和破坏，最终保障内网安全和不间断运行。

　　全面的桌面管理——提升防护水平：提供精确和完整的终端信息，为合规管理提供基础数据保证。

　　独到的介质管理——弥合管控短板：解决终端数据保密性问题和数据传播途径受控的问题。通过对终端关键数据进行加密和授权共享管理，提升终端数据保密性，同时结合完善的非法外联控制和移动存储管理技术，实现关键数据受控共享。

　　可以说，天珣内网安全风险管理与审计系统的这些诸多价值点，彻底颠覆了以往内网安全管理被动和执行力低下的问题，它通过实现从“准入控制”、“主动防御”、“数据防泄密”、“桌面信息管理”和“终端审计”的动态闭环的内网合规管理体系，在应对内网安全威胁的斗争中，掌握了主动权和制高点，有效应对无限的内网威胁。

　　三、结束语

　　在金融业日益现代化、国际化的今天，我国的各大银行电子化程度的提高，服务水平和金融创新得到空前发展，金融机构对于终端安全的需求也越来越呈现出多样性的特点。启明星辰公司根据对内网安全领域多年的深厚积累，通过对金融机构的业务系统的深入研究，提出了内网安全的解决方案。

　　综合看来，天珣内网风险管理与审计系统，充分考虑了金融行业特殊的应用需求和复杂网络环境，应用了业内领先、成熟的安全技术和管理手段，在保证可用性、安全性的同时，实现了安全与业务的深度融合，为广大金融行业机构奉献了一套安全、灵活、稳定的终端安全解决方案，为金融机构的信息化建设提供了有力支撑，引导金融行业向着科学化、智能化、自动化、合规化的方向不断迈进。

　　天珣内网风险管理与审计系统是安全领域合规性管理(Security Compliance Management)的关键产品之一。系统自发布以来，已经还在政府、军工、制造等其他多个领域里得到大量应用，并在与国内外的产品竞争中均有上乘表现。