互聯(lián)網(wǎng)集中管控的探索與實踐

【摘要】當(dāng)前，基層行員工上網(wǎng)方式發(fā)生了轉(zhuǎn)變，由計算機上網(wǎng)轉(zhuǎn)變?yōu)橐苿咏K端上網(wǎng)，上網(wǎng)需求也不斷擴大，如微信、支付寶等，從而出現(xiàn)了共享上網(wǎng)、無線路由私設(shè)WIFI等違規(guī)方式以及沉迷于網(wǎng)絡(luò)購物、炒股等不良行為，加大了安全隱患，影響了正常履職。為更好的管控互聯(lián)網(wǎng)接入、規(guī)范上網(wǎng)行為、防范安全風(fēng)險、落實總行規(guī)定、確保高效履職，常德市中支探索開展了互聯(lián)網(wǎng)集中管控項目。采取了中支及各支行分別部署上網(wǎng)行為監(jiān)控，各單位通過互聯(lián)網(wǎng)經(jīng)VPN隧道將監(jiān)控數(shù)據(jù)匯總到中支上網(wǎng)行為集中管控平臺的分散接入方案。項目推廣后，全轄的上網(wǎng)行為風(fēng)險和網(wǎng)絡(luò)安全漏洞都得到了有效防控，互聯(lián)網(wǎng)安全管理水平得到了全面提升。

【關(guān)鍵詞】一點接入 上網(wǎng)行為監(jiān)控 上網(wǎng)安全策略

按照總行對各分支機構(gòu)互聯(lián)網(wǎng)統(tǒng)一管控的要求，常德市中支從組織保障、加大投入、科學(xué)論證、分步實施、制度規(guī)范、全面監(jiān)控等方面著手，探索開展了全轄互聯(lián)網(wǎng)集中管控工作，完成了中支及部分支行的互聯(lián)網(wǎng)一點接入改造及上網(wǎng)行為監(jiān)控的部署。項目推廣后，全轄的上網(wǎng)行為風(fēng)險和網(wǎng)絡(luò)安全漏洞都得到了有效防控，互聯(lián)網(wǎng)安全管理水平得到了全面提升。

一、項目背景

當(dāng)前，基層央行員工上網(wǎng)方式發(fā)生了轉(zhuǎn)變。全社會已步入了“互聯(lián)網(wǎng)+”時代，轄內(nèi)職工由計算機上網(wǎng)逐步轉(zhuǎn)變?yōu)橐苿咏K端上網(wǎng)，以滿足社交、購物、娛樂等需求，如微信、QQ、手機銀行等。但中支及支行僅有部分接口上網(wǎng)。為方便手機等其他設(shè)備的上網(wǎng)需要，個別部門出現(xiàn)了共享上網(wǎng)、無線路由私設(shè)WIFI等違規(guī)方式，個別員工工作時間沉迷于網(wǎng)絡(luò)購物、炒股、娛樂等不良行為，使得用戶上網(wǎng)行為、接入方式和設(shè)備都難以監(jiān)控和管理，從而加大了安全隱患，影響了央行的正常履職。

然而，互聯(lián)網(wǎng)特別是移動互聯(lián)網(wǎng)安全形勢嚴(yán)峻，各種安全威脅不容忽視，如各類釣魚網(wǎng)站、網(wǎng)銀超級木馬、拒絕服務(wù)攻擊、第三方支付漏洞等，線上和線下已經(jīng)形成了從賣方到買方完整的黑色產(chǎn)業(yè)鏈。此外，移動終端自身存在開發(fā)接口，使得它更容易被黑客利用，受到木馬、蠕蟲等惡意代碼攻擊。因此，基層行的員工上網(wǎng)的接入方式和行為都存在較大的安全風(fēng)險。為更好的管控互聯(lián)網(wǎng)接入方式、規(guī)范上網(wǎng)行為、防范安全風(fēng)險、做好保密管理、確保基層行高效履職，常德市中支互聯(lián)網(wǎng)集中管控項目應(yīng)運而生。

二、項目方案和措施

（一）科學(xué)安排，分步實施

由于中支及轄內(nèi)支行互聯(lián)網(wǎng)接入方式各異，用戶上網(wǎng)的安全意識參差不齊，有很多的不可控因素。為此，常德市中支將全轄互聯(lián)網(wǎng)的統(tǒng)一管控實施工作分三個階段進行，由點到面、逐步鋪開：第一階段完成中支機關(guān)互聯(lián)網(wǎng)一點接入改造和上網(wǎng)行為監(jiān)控部署；第二階段完成臨澧和津市兩個試點行的上網(wǎng)行為監(jiān)控部署和集中管控；第三階段將試點經(jīng)驗推廣至其他支行，完成全轄互聯(lián)網(wǎng)的統(tǒng)一管控。成立了領(lǐng)導(dǎo)小組，和實施小組，并進一步對工作進行細(xì)化，將實施人員分為三個小組：協(xié)調(diào)組負(fù)責(zé)對外聯(lián)絡(luò)和協(xié)調(diào)，設(shè)備選型和采購；網(wǎng)絡(luò)組負(fù)責(zé)方案制定、設(shè)備安裝調(diào)試、網(wǎng)絡(luò)配置與安全策略下發(fā)；主機組負(fù)責(zé)互聯(lián)網(wǎng)計算機的安全檢查和網(wǎng)絡(luò)測試。各小組間既有分工又有協(xié)作，共同完成項目建設(shè)。在項目實施過程中，制訂了詳細(xì)的工作計劃和項目進度表，將任務(wù)分解到天、落實到人，做到了設(shè)備部署、網(wǎng)絡(luò)配置與調(diào)試、客戶端測試、上網(wǎng)日志采集和監(jiān)控、安全策略下發(fā)各環(huán)節(jié)環(huán)環(huán)相扣，保障了實施工作有條不紊進行。

（二）充分論證，完善方案

從以下四方面入手，充分論證，制定周密、可行的實施方案：一是開展摸底調(diào)研，確定改造目標(biāo)。對全轄互聯(lián)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、接入方式及管理情況進行摸底調(diào)研。調(diào)研情況如下表：

從全轄互聯(lián)網(wǎng)接入狀況來看，各單位的接入方式不一致，網(wǎng)絡(luò)接入點分散，設(shè)備運維效率不高，管理總體比較混亂。為解決上述問題，確定此次改造目標(biāo)主要是改變網(wǎng)絡(luò)接入方式，部署上網(wǎng)行為監(jiān)控設(shè)備及系統(tǒng)。二是反復(fù)比較論證，敲定接入方式。經(jīng)分析，存在以下兩種接入方式：各單位各自部署上網(wǎng)行為監(jiān)控，直接接入互聯(lián)網(wǎng)，各支行監(jiān)控日志通過互聯(lián)網(wǎng)經(jīng)VPN隧道傳到中支上網(wǎng)行為集中管控平臺的分散接入方式以及中支部署上網(wǎng)行為監(jiān)控，各支行租用專線匯集到中支后，統(tǒng)一出口接入互聯(lián)網(wǎng)的集中接入方式。對于這兩種方式，我們向供應(yīng)商詢價，向外部專家請教，反復(fù)比較，多方論證，集中接入租用專線費用較高，大大超過了后一方案的資金預(yù)算，最終選擇了分散接入方式。網(wǎng)絡(luò)接入拓?fù)鋱D如下：

三是列出設(shè)備清單，劃定費用預(yù)算。經(jīng)反復(fù)測算，本次項目改造設(shè)備采購清單及實施預(yù)算如下：

四是細(xì)化工作任務(wù)，明確各方職責(zé)。制定了《工程關(guān)鍵時間節(jié)點明細(xì)表》規(guī)定了各節(jié)點的起止時間、責(zé)任人，時間到天，任務(wù)到人，確保工程順利完成。

（三）溝通協(xié)作，形成合力

互聯(lián)網(wǎng)的集中管控是一項全行性的工作，涉及到17個科室、7個支行、300多名員工和60多臺互聯(lián)網(wǎng)計算機，工作量和難度可想而知。為協(xié)調(diào)各方面的人員和設(shè)備，建立了協(xié)調(diào)機制，各部門相互配合，形成推廣合力：一是加強橫向聯(lián)系。與辦公室積極溝通協(xié)調(diào)，明確了各自職責(zé)，科技部門負(fù)責(zé)網(wǎng)絡(luò)接入和上網(wǎng)行為的監(jiān)控及通報，辦公室負(fù)責(zé)互聯(lián)網(wǎng)接入審核和不當(dāng)上網(wǎng)行為的處置。與各部門信息安全員配合默契，相得益彰。部門信息安全員不僅承擔(dān)了本部門互聯(lián)網(wǎng)需求收集和接入手續(xù)辦理工作，還負(fù)責(zé)本部門互聯(lián)網(wǎng)計算機的管理以及科室其他人員的解釋和培訓(xùn)。作為科技人員的延伸，他們和我們積極配合，合力推進。二是加強上下溝通。中支與兩家試點行科技人員組成項目團隊，一起學(xué)習(xí)，相互配合，共同完成了設(shè)備安裝、參數(shù)設(shè)置等實施工作，確保了按期順利上線運行。組織全轄科技人員全程觀摩了項目實施過程，切實提升支行科技人員的履職水平。三是加強對外協(xié)作。與公司技術(shù)人員分工協(xié)作，相輔相成。我們對上網(wǎng)行為監(jiān)控系統(tǒng)比較陌生，很多功能和措施需要不斷摸索和嘗試。為此，我們在公司技術(shù)人員的幫助下，一方面盡快全面熟悉掌握該系統(tǒng)的各種功能，另一方面做好系統(tǒng)運行測試工作，根據(jù)發(fā)現(xiàn)的問題提出改進建議。

（四）檢查督導(dǎo)，制度規(guī)范

科技部門與保密部門強化協(xié)作機制，在互聯(lián)網(wǎng)管理上形成合力，加強檢查督導(dǎo)，落實各項制度，規(guī)范安全管理：一是規(guī)范中支互聯(lián)網(wǎng)接入。首先關(guān)閉全行所有的互聯(lián)網(wǎng)接口，然后要求各科室按上級行規(guī)定的最新表格樣式重新填報互聯(lián)網(wǎng)接入申請表和入網(wǎng)協(xié)議，并要求責(zé)任人簽訂保密承諾書。最后，經(jīng)中支保密委審核后，重新為各科室逐一的開通互聯(lián)網(wǎng)，徹底堵塞安全漏洞。二是聯(lián)合開展保密檢查，以查促改，確保網(wǎng)絡(luò)安全和保密制度落到實處。分別開展了2次縣支行互聯(lián)網(wǎng)安全保密檢查。重點檢查互聯(lián)網(wǎng)接入手續(xù)是否規(guī)范，網(wǎng)絡(luò)接入、安全配置和涉密文檔存留是否符合要求。通過檢查，提升互聯(lián)網(wǎng)安全管理水平。

三、取得成效

（一）實現(xiàn)了全轄互聯(lián)網(wǎng)的集中管控

中支的互聯(lián)網(wǎng)接入方式由分散撥號接入改為一點接入，中支及各支行分別部署了上網(wǎng)行為監(jiān)控系統(tǒng)，對全轄所有互聯(lián)網(wǎng)用戶的上網(wǎng)操作和上網(wǎng)行為進行全面、實時監(jiān)控。部署在各單位的上網(wǎng)行為監(jiān)控設(shè)備與中支的上網(wǎng)行為集中管理平臺通過互聯(lián)網(wǎng)Vpn隧道實現(xiàn)設(shè)備互聯(lián)和數(shù)據(jù)交換。各臺上網(wǎng)行為監(jiān)控設(shè)備每天定時將監(jiān)控日志上傳至中支集中管理平臺。從而，實現(xiàn)了中支集中管理平臺對各單位互聯(lián)網(wǎng)用戶上網(wǎng)行為實時監(jiān)控、隨時可查，實現(xiàn)了各單位上網(wǎng)行為數(shù)據(jù)的異地備份，確保數(shù)據(jù)完整性和可靠性，實現(xiàn)了實現(xiàn)全轄的互聯(lián)網(wǎng)運行情況全掌握。

（二）實現(xiàn)了全轄互聯(lián)網(wǎng)的精細(xì)化管理

上網(wǎng)行為監(jiān)控分散接入，統(tǒng)一管控后，提供了多種精細(xì)化管理功能：一是可以細(xì)化設(shè)備管理權(quán)限，基于不同角色對設(shè)備進行分級分權(quán)管理。不僅能做到中支對支行上網(wǎng)行為的點到點遠(yuǎn)程管理，也能將各自的管理權(quán)限下放到支行，減輕地市中支管理負(fù)擔(dān)。二是可以對網(wǎng)絡(luò)帶寬及流量進行靈活控制和管理。針對不同用戶和應(yīng)用進行合理的帶寬劃分，配置適當(dāng)?shù)某隹诹髁?，保障重點業(yè)務(wù)應(yīng)用的帶寬需求，提升了網(wǎng)絡(luò)帶寬利用效率。三是統(tǒng)一制定管理規(guī)范并下發(fā)安全策略。系統(tǒng)以安全策略的技術(shù)方式對用戶訪問互聯(lián)網(wǎng)的協(xié)議、端口、時間進行控制，實現(xiàn)了中支根據(jù)網(wǎng)絡(luò)安全要求對全轄互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)訪問制定下發(fā)全局的或個性化的安全策略，全面提升了安全管理水平。

（三）實現(xiàn)了互聯(lián)網(wǎng)非法接入、非法上網(wǎng)行為的技術(shù)防范

上網(wǎng)行為監(jiān)控系統(tǒng)部署后，無線路由器等無線互聯(lián)設(shè)備以及360wifiU盤等無線網(wǎng)卡將會被系統(tǒng)隔離而禁止使用，并自動斷開用戶的互聯(lián)網(wǎng)連接。各用戶在工作時間不當(dāng)?shù)纳暇W(wǎng)行為如P2P下載，游戲，在線視頻等操作也將會被系統(tǒng)限制，從技術(shù)層面杜絕了WIFI無線上網(wǎng)、路由器共享上網(wǎng)等不當(dāng)上網(wǎng)行為，防范了互聯(lián)網(wǎng)安全風(fēng)險，有效提升互聯(lián)網(wǎng)安全防護能力。

作者簡介：唐詮杰（1982-），男，漢族，湖南漢壽人，畢業(yè)于中南大學(xué)商學(xué)院，MBA，任職于中國人民銀行常德市中心支行，研究方向：金融、計算機。