打开文本图片集
【摘要】人民银行系统业务网和办公网与互联网已经实现严格的物理隔离,在内部网络运行中,已形成有效管理和控制模式,但在互联网的管理方面还存在不足,为了有效规范互联网的使用,管理互联网上网行为,防范信息类风险,太原中心支行组织建立了山西省人行系统互联网一点安全接入方式,整合省、市、县三级的互联网接入,减少各单位互联网接入口数量,建立统一的安全防护策略和防护措施,实现实时监测和管控,有效防范互联网信息风险的发生。
【关键词】互联网 一点接入 信息安全
随着信息技术的快速发展,互联网的基础性和全局性作用日益增强,互联网在各行业得到了广泛应用。在享受互联网带来便捷工作的同时,也伴有负面影响和严重安全威胁。由于缺乏规划和管理,复杂的互联网使用环境也带来诸如员工工作效率降低、带宽资源滥用、信息机密外泄等问题。加强互联网使用管理,规范上网行为,提高网络资源利用率已成为目前网络应用的迫切的需求。
一、背景
2012年12月28日,十一届全国人大常委会第三十次会议审议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》(下称“决定”)。其核心内容,正是多年来饱受争议的网络实名制。据此,决定规定:网络服务提供者为用户办理网站接入服务,办理固定电话、移动终端等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议时,要求用户提供真实身份信息。工业和信息化部在2009年下发了《关于开展政府部门互联网安全接入试点工作的通知》(工信厅协〔2009〕42号)文件,确定北京、上海、重庆和陕西作为国家政府部门互联网安全接入的试点单位,试点结果是减少互联网接入口数量,实现集中接入互联网,统一安全管理,降低建设及管理成本,提高信息系统安全防护水平。河北省在省公务外网、石家庄市、秦皇岛市、廊坊市和邯郸市同步开展了政府部门互联网安全接入工作,实现政府部门互联网接入由分散接入转变为相对集中接入,安全防护由各自为战转变为体系化安全防护。宁波市机关效能建设办公室在全市103家机关单位电脑上统一安装了上网行为管理系统,从源头上杜绝公务员违规上网的现象。这些举措对保障电子政务的应用安全,做好网络与安全工作具有重要意义。加强互联网管理,规范上网行为,提高网络资源利用率已成为目前网络应用的迫切需求。
目前,人民银行系统业务网和办公网与互联网已经实现严格的物理隔离,在内部网运行中,已具备有效管理和控制模式,但在互联网的管理方面还存在不足。以山西省人民银行系统为例,太原中心支行辖区包含省会中支1个,地市中心支行10个,县支行96个,互联网客户端数量超过1000台。其中地市中心支行均有互联网接入,所辖县支行绝大部分有互联网接入,均由各地自主管理。地市中支一般采取专线方式或ADSL方式,带宽为2M至6M不等,县支行一般采取ADSL拨号方式,带宽为2M至4M不等。上网模式、宽带带宽以及接入互联网的计算机数量规模都存在较大差异,管理方式较为粗放,组网设备参差不齐,连通效率高低不一,存在较高的风险隐患。为了有效规范互联网接入情况,管理互联网上网行为,防范信息类风险,从2011年以来,太原中心支行组织建立山西省人行系统互联网一点安全接入项目,并在晋城市中心支行以及阳城县支行进行了试点。通过试点后,2012年在全省人行系统实施互联网一点接入。
二、设计方案
全省人民银行系统实施互联网一点安全接入后,全面调整网络链路,采用专线方式连结省、市、县三级网络结构,由太原中心支行负责统一互联网出口,出口带宽为150M,各地市至太原中支专线带宽为6M,县支行至地市中支专线带宽为2M。图1为网络总体结构。
整个互联网由太原中支负责进行统一管理和上网监测,主要由互联网管理系统和互联网LDAP系统组成,其中互联网管理系统包括代理子系统、上网行为管理子系统、客户端安全子系统、日志分析子系统等四个子系统。代理子系统负责为全省互联网用户提供代理上网服务;上网行为管理子系统通过建立认证准入、管控外接设备、更新安全软件、限制外联、阻断非法连接、拦截敏感词汇等方式。按时间、类型、用户对上网行为阻断和放行,限制不当行为;对关键业务带宽提供保障,限制普通用户过分占用带宽,防止带宽滥用,实现用户上网实名制,记录用户上网日志;客户端安全子系统对客户端的接入申请要履行审批制度,对于未经审批的客户端,即便硬件接入网络,也无法使用互联网络服务;日志分析子系统对上网行为全程跟踪记录,提供网络行为审计,建立网络行为日志,通过商业智能软件挖掘和分析上网行为,并对日志及分析结果及时归档保存,为深入了解和有效管理上网行为提供决策依据。
上网行为管理子系统采用东华软件公司开发的专用FlowShaper流量管理系统,FlowShaper流量管理系统由集中的流量监控管理软件(FSview)和流量监控探针(FS-1200)组成。FSview具有识别分类、动态分析、策略控制和全面报告等内容,实现了对网络实时监控、流量管理、用户管理、网络分析、P2P疏导、UML过滤和报表报告等功能。FlowShaper采用DPI(深度报文检测)技术和DFI(深度检测)技术,通过透明桥接的方式串接在网络关键点,实现对网络流量7层应用进行分析、管控和审计。
上网行为管理子系统主要包括统计流量分析、用户深度分析和应用深度分析。每一项分析中又包括总带宽分析和总流量分析。流量监控对网络进行实时自动监控及长期历史数据收集;可监控带宽、流量、协议和应用等出站、入站或双向的具体信息。以忻州市2012年12月5日至2013年1月5日为例,表1为总带宽分析,表2为总流量分析。
三、主要成效
通过建立全省人行系统互联网一点安全接入,整合省、市、县三级互联网接入方式,减少各单位互联网接入口数量,对互联网出口链路进行流量管控和上网行为安全规范管理,提高网络带宽利用率,降低专线网络的运营成本,建立统一的安全防护策略和防护措施,实施集中统一的安全实时监测和管控,将互联网风险由结果管理变为过程管理,管控正常行为中的异常活动,有效防范互联网风险的发生。
(一)营造一个高效、安全、绿色的上网环境。实施集中统一对互联网行为和客户端进行管理,对上网行为进行检测,建立网络行为日志,提供网络行为审计,规范员工的上网行为,提高工作效率,禁止员工上班时间从事一些私人网络行为,如网络游戏、网上看电影、BT下载、炒股等。以忻州市2012年12月5日至2013年1月5日为例,互联网一点接入上线前,总流量使用为986.35GB,流量占比最大的是视频浏览和点对点下载,平均占比为40%,网页浏览平均点比仅为12%;互联网一点接入上线后,总流量使用为551.36GB,流量占比最大的是迅雷和网页浏览,二者占比为69.3%,视频浏览和点对点下载的平均占比下降了30%。
(二)加强信息安全,管控外发信息,降低泄密风险。一点接入后,实施对互联网统一集中管理,能够有效识别威胁插件,具有恶意脚本过滤技术,能够过滤挂马网站的访问、封堵不良网站,从源头上切断病毒、木马的潜入,同时结合客户端安全强度检查与网络准入,确保安全上网。充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,保护信息资产安全,降低网络风险。
(三)优化网络风险管理模式。一点接入后,通过上网行为分析系统,自动生成丰富的网络可视化报表,提供详细报告让管理者清晰掌握互联网流量的使用情况,找到造成网络故障的原因和网络瓶颈所在,从而对精细化管理网络并持续加以优化提供有效依据。将网络风险防范的关口前移,实时监督、集中管控,实现对员工上网行为从结果管理向过程管理的转变,提高案件防范工作的效率,建立起科学的风险防范控制机制,切实提高案件的防控水平。
作者简介:申文杰(1981-),男,工程师,硕士。
(责任编辑:陈岑)