X
我们的愿景:构建可控的互联世界!

平安证券全国大规模上网行为管理项目
发布时间:2015-09-17  |   新闻来源地:   |   浏览次数:6127

一、背景挑战

      随着业务的发展和信息化建设步伐的加快,平安证券机构的网络安全和内网员工的互联网访问行为管控等问题日益严峻,虽然在网络出口处已部署了专门的防火墙设备,但无孔不入的病毒(尤其是木马、ARP欺骗等)、恶意软件、DOS攻击等仍然大肆泛滥,严重影响了本机构应用系统的运行和业务的正常运作; 特别是针对平安证券营业部驻点电脑的特殊的应用环境,采用3G网卡、ADSL拨号上网,员工的上网行为管控游离于整个平安证券内网的管理范围之外。

      更为重要的是平安证券上班时间内部员工的网络访问行为没有很好的管理、控制方法,长时间使用QQ聊天、收发私人邮件、浏览无关网页、在BBS、论坛上发帖等,不仅导致员工工作效率低下,还潜在向公网泄露机构内部机密信息的可能,甚至可能因访问非法网站或发别非法言论而违反法律。另外员工随意使用BTPPLiveP2P工具下载电影等,在线看视频、听歌等,严重吞噬了有限的带宽资源,影响了机构内部关键应用和业务的开展。

      上网行为缺乏管控,不仅影响了机构内部关键应用和业务的开展,也不满足合规部的政策规定, 所以急需一套上网行为管理系统来解决目前的问题。


二、主要需求

      针对平安证券营业部驻点电脑互联网应用环境以及结合合规部的审计要求,本次项目主要涉及如下方面的功能:

      1. 上网行为访问控制方面:

      禁止或者审计在办公时间玩游戏、看视频、购物、P2P下载等;禁止或者审计使用QQMSN等即时通讯工具和百度、华为等网盘;禁止并审计使用WebQQ;禁止网上在线交易、委托、炒股等行为,允许查看行情、远程开户等正常业务。

      2. 上网行为监控审计方面:

      http/ https文字和文件外发审计,主要针对BBS、论坛发帖的审计。


三、过程

      由于平安证券在这之前已经部署了一套上网行为管理设备,但是因为该类设备无法做到对QQ聊天内容实现审计、对RM(路透软件)实现监控审计、对移动存储介质的管控等;并且维护的成本非常高。

      因此,需要联软上网行为管理软件来弥补其不足。但是如此一来又会出现需要维护两个平台的问题。为了避免这种情况发生。平安证券联合联软对上网行为管理设备和联软上网行为管理软件从身份认证、应用授权管理、日志记录与报表分析等方面做了细致化的测试对比。

      结果显示,联软上网行为管理软件与市场上成熟的上网行为管理设备相比,在可实现相同功能外(除了细致的带宽分配),还可在离线安全管控、即时通讯软件审计方面弥补了其功能上的不足。依据证券实际需求,联软上网行为管理软件可以替代上网行为管理设备。并且联软还具有以下产品优势:

      a.技术优势:功能全面,支持对QQRM阿里旺旺等多种及时通讯软件审计留痕。能够支持在线、离线策略生效;能够实现整个平安证券所有环境的应用需求;针对平安证券营业部驻点PC通过定制可以实现统一的上网行为管理。

      b.服务优势:联软科技总部、研发、技术支持在深圳,能够提供更好的本地化服务。问题响应及时、有效。

      c.定制化优势:能够为平安证券提供二次开发的能力;例如:结合平安证券的审计需求,定制开发响应报表、web 版本微信的审计、互联网应用客户端审计等。

      因此,有鉴于此,平安证券决定用联软软件替换掉原有的上网行为管理设备,通过集中式的上网行为管理,来保证业务以及办公能够正常的运转,提升工作效率。


四、部署

      服务器部署情况

      项目中主要是针对平安证券营业部的网点终端进行上网行为管控,结合实际情况以及根据终端数量,本次部署采用集中管理的方式;与之前的平安证券总部的服务器共用一台服务器进行部署。由于平安证券营业部网点终端主要是互联网应用环境,一般采用3G无线网络、ADSL拨号进行上网,不直接与内网进行连接。为了实现公网的用户与内网联软服务器进行通讯,所以采用了端口映射的方式进行,整个通讯采用TCPSSL的通讯方式,保证数据传输的安全性。整体部署逻辑图如下:

  平安证券上网行为管理系统整体部署逻辑图

      采用总部统一的客户端软件进行安装控制,通过客户端进行策略控制,来完成策略实施的工作,以达到本次项目目标。系统部署示意图如下:

平安证券上网行为管理系统系统部署示意图

      客户端部署方案

      为了支持大规模安装,管理系统提供Web方式安装客户机软件。可以通过AD分发统一部署,也可以通过网页下载客户端自行安装部署;本次项目采用客户端主动页面下载安装部署或者采用内部客户端软件共享的方式。

      数据库备份机制

      数据库备份采用采用异地每周定时全量备份机制(备份文件路径指向一个共享目录),数据库备份文件至少保存最近4次备份文件。

五、价值与效果

      细致化访问控制,有效管理用户上网

      对于内网员工访问各种网页的行为,后台通过内置URL库,关键字过滤等方式进行管控。对于采用https方式加密的网页,如钓鱼网站等同样可以管控。实现对QQMSNIM聊天工具,BT、电骡等P2P下载工具,PPLiveQQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。   

      防止机密信息泄漏和法律违规事件

      完善的访问审计和监控功能能够有效防止信息通过Internet泄漏,并建立强大的内部安全的威慑,减少内部泄密的行为。对于BBS、论坛发帖不仅可以审计,成功发布的内容也能全面记录;内网员工访问的URL地址、网页标题、甚至整个网页内容,UniAccess也能够完全监控和记录等UniAccess的访问审计/监控模块为机构构筑了强大的内部安全屏障。针对不同的用户、用户组,配置相应的策略即可。另外针对http等外发文件内容可以做到内容审计并上传到指定的路径;做到事后追溯。 

      详细日志和丰富报表为决策做支撑

      平安证券内网员工每天的各种行为日志记录在数据库里,UniAccess通过数据中心实现了日志的海量存储,强大的数据中心允许管理者分组、分用户、应用程序等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、等详细信息,并可直接打印和导出报表。UniAccess的日志系统和丰富的报表功能,可详细分析出机构的Internet的详细使用情况,为网络管理员和决策者提供了最有效的数据支持。

客户案例

关注微信:Leagsoft

2018年中总结

版权所有©2003-2018 深圳市联软科技股份有限公司 粤ICP备11101642号.