风险管理一直是证券行业内控流程当中的重要环节,在IT风险管理层面,管理员需要提前预防并及时处理网络/应用系统可能出现的风险及隐患,并设法将其危害降至最低。
在行业监管方面,相关的监管部门陆续出台了相应的IT技术指引,要求证券公司加强员工网络行为的管理及留痕,加强网络安全建设,同时需要通过相应技术贯彻执行“隔离墙制度”。
在互联网应用管理方面,内部从业人员在组织内网的股票、基金交易行为、业务敏感信息外发行为可能会为组织或客户带来较大的资金风险。系统应用方面,如何从源头上控制内幕信息或未公开的信息在企业内部的流动?如何实现关键应用系统分类、分级管理,并实现细粒度的用户权限分配?同时,加强内部网络防病毒、终端安全管理等也是IT风险管理的必要手段。
为此,深信服科技通过互联网应用风险隔离、应用系统信息隔离、内网终端安全隔离这三个层面,为用户提供一体化解决方案,帮助证券用户彻底从网络、系统、终端三方面隔离安全风险,提升内部信息安全性。
互联网在为组织日常办公带来巨大便利的同时,也带来了相应的安全隐患。就券商而言,内部从业人员在公司内部的股票交易行为、业务敏感信息外发行为必须进行严格的管控,并且从业人员日常的互联网访问行为也应当留痕在案,以确保在安全事件发生时能够有据可查。同时,企业员工在内网产生的娱乐性流量“在线影音、游戏、BT下载”,也为组织互联网出口带宽带来巨大的挑战。病毒、蠕虫、木马、黑客攻击、垃圾邮件等不良因素也可能成为用户内网的安全短板。此时,通过使用深信服专业上网行为管理设备,可对内部从业人员在公司内网股票、基金等交易行为进行差异化控制,即:允许查看业务行情但拒绝相应的业务交易行为。同时通过对IM聊天工具、外部邮件、论坛等信息外发通道的严格控制,有效防止企业内部机密信息通过互联网外发出去。最后,通过独立的外置数据中心,将员工上网日志进行留痕记录,为日后事件追溯提供良好的数据支撑。除此之外,深信服上网行为管理设备的流控功能,能够对组织内部关键应用进行相应的带宽保障,而对非关键应用“娱乐性流量”进行相应的带宽限制,同时设备自带的防火墙、防病毒、防垃圾邮件、防ARP欺骗、防DOS攻击等安全扩展模块,也能够降低内网安全短板带来的安全隐患。
在内部信息管理方面,为防止相关内幕信息或未公开信息在企业内部的流动,需要对内部的关键应用系统分类、分级管理,并实现细粒度的用户权限分配,保证同一套系统,不同角色的员工拥有不同级别的访问权限。此时,可在内网应用系统前端部署深信服SSLVPN设备,通过用户名密码、USBKEY、短信认证、硬件特征码绑定、动态令牌等多样化的身份认证手段,并结合特有的主从账号绑定技术,实现对内网系统的用户身份认证加固,防止系统账号密码泄露被冒用,同时通过多达16级的分级组织权限系统,细致控制每一个系统访问者的权限,有效防止越权访问。最后,通过详细的用户日志记录、使用趋势和总量分析、资源的活跃度呈现等,实现对系统访问过程的完整记录,并提供丰富管理分析数据。
终端通常是内部网络的安全短板,终端的安全性直接关乎到内网的安全性。在内网在终端管理方面,可通过深信服SSLVPN设备的沙盒技术,在终端电脑形成虚拟安全桌面,并针对相关的资源限制只能在这个安全桌面中访问。安全桌面与本身的默认桌面形成逻辑隔离,用户无法把任何资料或文件保留在本地;在安全桌面中可禁止和外网、本地局域网的任何地址进行通讯;在退出安全桌面之后,所有的操作痕迹将会被清除。同时,通过深信服NAC设备,可根据终端安全级别评估结果,设立虚拟化的隔离区,将不同用户、不同安全级别的终端指派到相应隔离区。管理员可依据各隔离区的安全级别设置网络服务控制策略、分配互联网访问权限和与其他隔离区的通讯权限,拒绝安全级别不足的隔离区中的终端与正常通过安全策略检测的终端进行通讯。最后,再通过NAC设备的终端准入检测功能,实现对电脑终端的杀毒软件检测、windows补丁检测、应用程序使用统计、USB防拷贝、3G接入以及自行配置的其他上网链路并进行相应的控制,全面保障内网终端安全。
通过对网络、系统、终端的全方位隔离及保护,有效降低了证券企业内部的IT安全风险,同时也很好的贯彻落实了相关监管部门的IT政策要求。