【摘要】当前,基层行员工上网方式发生了转变,由计算机上网转变为移动终端上网,上网需求也不断扩大,如微信、支付宝等,从而出现了共享上网、无线路由私设WIFI等违规方式以及沉迷于网络购物、炒股等不良行为,加大了安全隐患,影响了正常履职。为更好的管控互联网接入、规范上网行为、防范安全风险、落实总行规定、确保高效履职,常德市中支探索开展了互联网集中管控项目。采取了中支及各支行分别部署上网行为监控,各单位通过互联网经VPN隧道将监控数据汇总到中支上网行为集中管控平台的分散接入方案。项目推广后,全辖的上网行为风险和网络安全漏洞都得到了有效防控,互联网安全管理水平得到了全面提升。
【关键词】一点接入 上网行为监控 上网安全策略
按照总行对各分支机构互联网统一管控的要求,常德市中支从组织保障、加大投入、科学论证、分步实施、制度规范、全面监控等方面着手,探索开展了全辖互联网集中管控工作,完成了中支及部分支行的互联网一点接入改造及上网行为监控的部署。项目推广后,全辖的上网行为风险和网络安全漏洞都得到了有效防控,互联网安全管理水平得到了全面提升。
一、项目背景
当前,基层央行员工上网方式发生了转变。全社会已步入了“互联网+”时代,辖内职工由计算机上网逐步转变为移动终端上网,以满足社交、购物、娱乐等需求,如微信、QQ、手机银行等。但中支及支行仅有部分接口上网。为方便手机等其他设备的上网需要,个别部门出现了共享上网、无线路由私设WIFI等违规方式,个别员工工作时间沉迷于网络购物、炒股、娱乐等不良行为,使得用户上网行为、接入方式和设备都难以监控和管理,从而加大了安全隐患,影响了央行的正常履职。
然而,互联网特别是移动互联网安全形势严峻,各种安全威胁不容忽视,如各类钓鱼网站、网银超级木马、拒绝服务攻击、第三方支付漏洞等,线上和线下已经形成了从卖方到买方完整的黑色产业链。此外,移动终端自身存在开发接口,使得它更容易被黑客利用,受到木马、蠕虫等恶意代码攻击。因此,基层行的员工上网的接入方式和行为都存在较大的安全风险。为更好的管控互联网接入方式、规范上网行为、防范安全风险、做好保密管理、确保基层行高效履职,常德市中支互联网集中管控项目应运而生。
二、项目方案和措施
(一)科学安排,分步实施
由于中支及辖内支行互联网接入方式各异,用户上网的安全意识参差不齐,有很多的不可控因素。为此,常德市中支将全辖互联网的统一管控实施工作分三个阶段进行,由点到面、逐步铺开:第一阶段完成中支机关互联网一点接入改造和上网行为监控部署;第二阶段完成临澧和津市两个试点行的上网行为监控部署和集中管控;第三阶段将试点经验推广至其他支行,完成全辖互联网的统一管控。成立了领导小组,和实施小组,并进一步对工作进行细化,将实施人员分为三个小组:协调组负责对外联络和协调,设备选型和采购;网络组负责方案制定、设备安装调试、网络配置与安全策略下发;主机组负责互联网计算机的安全检查和网络测试。各小组间既有分工又有协作,共同完成项目建设。在项目实施过程中,制订了详细的工作计划和项目进度表,将任务分解到天、落实到人,做到了设备部署、网络配置与调试、客户端测试、上网日志采集和监控、安全策略下发各环节环环相扣,保障了实施工作有条不紊进行。
(二)充分论证,完善方案
从以下四方面入手,充分论证,制定周密、可行的实施方案:一是开展摸底调研,确定改造目标。对全辖互联网的网络结构、接入方式及管理情况进行摸底调研。调研情况如下表:
从全辖互联网接入状况来看,各单位的接入方式不一致,网络接入点分散,设备运维效率不高,管理总体比较混乱。为解决上述问题,确定此次改造目标主要是改变网络接入方式,部署上网行为监控设备及系统。二是反复比较论证,敲定接入方式。经分析,存在以下两种接入方式:各单位各自部署上网行为监控,直接接入互联网,各支行监控日志通过互联网经VPN隧道传到中支上网行为集中管控平台的分散接入方式以及中支部署上网行为监控,各支行租用专线汇集到中支后,统一出口接入互联网的集中接入方式。对于这两种方式,我们向供应商询价,向外部专家请教,反复比较,多方论证,集中接入租用专线费用较高,大大超过了后一方案的资金预算,最终选择了分散接入方式。网络接入拓扑图如下:
三是列出设备清单,划定费用预算。经反复测算,本次项目改造设备采购清单及实施预算如下:
四是细化工作任务,明确各方职责。制定了《工程关键时间节点明细表》规定了各节点的起止时间、责任人,时间到天,任务到人,确保工程顺利完成。
(三)沟通协作,形成合力
互联网的集中管控是一项全行性的工作,涉及到17个科室、7个支行、300多名员工和60多台互联网计算机,工作量和难度可想而知。为协调各方面的人员和设备,建立了协调机制,各部门相互配合,形成推广合力:一是加强横向联系。与办公室积极沟通协调,明确了各自职责,科技部门负责网络接入和上网行为的监控及通报,办公室负责互联网接入审核和不当上网行为的处置。与各部门信息安全员配合默契,相得益彰。部门信息安全员不仅承担了本部门互联网需求收集和接入手续办理工作,还负责本部门互联网计算机的管理以及科室其他人员的解释和培训。作为科技人员的延伸,他们和我们积极配合,合力推进。二是加强上下沟通。中支与两家试点行科技人员组成项目团队,一起学习,相互配合,共同完成了设备安装、参数设置等实施工作,确保了按期顺利上线运行。组织全辖科技人员全程观摩了项目实施过程,切实提升支行科技人员的履职水平。三是加强对外协作。与公司技术人员分工协作,相辅相成。我们对上网行为监控系统比较陌生,很多功能和措施需要不断摸索和尝试。为此,我们在公司技术人员的帮助下,一方面尽快全面熟悉掌握该系统的各种功能,另一方面做好系统运行测试工作,根据发现的问题提出改进建议。
(四)检查督导,制度规范
科技部门与保密部门强化协作机制,在互联网管理上形成合力,加强检查督导,落实各项制度,规范安全管理:一是规范中支互联网接入。首先关闭全行所有的互联网接口,然后要求各科室按上级行规定的最新表格样式重新填报互联网接入申请表和入网协议,并要求责任人签订保密承诺书。最后,经中支保密委审核后,重新为各科室逐一的开通互联网,彻底堵塞安全漏洞。二是联合开展保密检查,以查促改,确保网络安全和保密制度落到实处。分别开展了2次县支行互联网安全保密检查。重点检查互联网接入手续是否规范,网络接入、安全配置和涉密文档存留是否符合要求。通过检查,提升互联网安全管理水平。
三、取得成效
(一)实现了全辖互联网的集中管控
中支的互联网接入方式由分散拨号接入改为一点接入,中支及各支行分别部署了上网行为监控系统,对全辖所有互联网用户的上网操作和上网行为进行全面、实时监控。部署在各单位的上网行为监控设备与中支的上网行为集中管理平台通过互联网Vpn隧道实现设备互联和数据交换。各台上网行为监控设备每天定时将监控日志上传至中支集中管理平台。从而,实现了中支集中管理平台对各单位互联网用户上网行为实时监控、随时可查,实现了各单位上网行为数据的异地备份,确保数据完整性和可靠性,实现了实现全辖的互联网运行情况全掌握。
(二)实现了全辖互联网的精细化管理
上网行为监控分散接入,统一管控后,提供了多种精细化管理功能:一是可以细化设备管理权限,基于不同角色对设备进行分级分权管理。不仅能做到中支对支行上网行为的点到点远程管理,也能将各自的管理权限下放到支行,减轻地市中支管理负担。二是可以对网络带宽及流量进行灵活控制和管理。针对不同用户和应用进行合理的带宽划分,配置适当的出口流量,保障重点业务应用的带宽需求,提升了网络带宽利用效率。三是统一制定管理规范并下发安全策略。系统以安全策略的技术方式对用户访问互联网的协议、端口、时间进行控制,实现了中支根据网络安全要求对全辖互联网用户的网络访问制定下发全局的或个性化的安全策略,全面提升了安全管理水平。
(三)实现了互联网非法接入、非法上网行为的技术防范
上网行为监控系统部署后,无线路由器等无线互联设备以及360wifiU盘等无线网卡将会被系统隔离而禁止使用,并自动断开用户的互联网连接。各用户在工作时间不当的上网行为如P2P下载,游戏,在线视频等操作也将会被系统限制,从技术层面杜绝了WIFI无线上网、路由器共享上网等不当上网行为,防范了互联网安全风险,有效提升互联网安全防护能力。
作者简介:唐诠杰(1982-),男,汉族,湖南汉寿人,毕业于中南大学商学院,MBA,任职于中国人民银行常德市中心支行,研究方向:金融、计算机。
