深信服上網(wǎng)行為管理助力平安集團(tuán)打造安全網(wǎng)絡(luò)
(聯(lián)合電訊社/廣東)--中國平安旗下有保險系列的平安人壽、平安財險、平安養(yǎng)老保險和平安健康險,銀行系列的平安銀行,投資系列的平安信托、平安證券、平安證券(香港)、平安資產(chǎn)管理、平安資產(chǎn)管理(香港)和平安期貨等多家專業(yè)子公司和事業(yè)部。平安集團(tuán)通過多渠道分銷網(wǎng)絡(luò),以統(tǒng)一的品牌向超過5100萬名個人客戶和200萬名公司客戶提供保險、銀行、投資等全方位、個性化的金融產(chǎn)品和服務(wù)。2009年,在英國《金融時報》公布的 “全球500強(qiáng)”企業(yè)榜單中,中國平安列全球壽險公司第二名,中國非國有企業(yè)第一名,并在《福布斯》雜志2009年度“全球上市公司2000強(qiáng)”排名第141名。
應(yīng)用背景
平安集團(tuán)擁有完善的治理架構(gòu),國際化、專業(yè)化的管理團(tuán)隊。在深圳總部,平安集團(tuán)下屬分公司平安保險、平安銀行等多家分公司網(wǎng)絡(luò)都通過集團(tuán)總部出口,目前僅有平安證券在全國各個營業(yè)部有獨(dú)立互聯(lián)網(wǎng)出口,保險、銀行、基金均共享集團(tuán)的互聯(lián)網(wǎng)出口。由于平安集團(tuán)目前有近十萬人,而互聯(lián)網(wǎng)同時在線人數(shù)也達(dá)到一萬多人。網(wǎng)絡(luò)出口總帶寬為200M左右。為了保障整個集團(tuán)網(wǎng)絡(luò)的暢通和穩(wěn)定,平安集團(tuán)的網(wǎng)絡(luò)管理尤為重要。
問題與挑戰(zhàn)
平安集團(tuán)有嚴(yán)格的信息安全制度要求。前期已經(jīng)部署的安全設(shè)備在IM(即時通訊)識別、網(wǎng)頁關(guān)鍵字搜索過濾、金融交易控制等方面存在識別不全、記錄不詳、在數(shù)據(jù)量情況下無法搜索等問題,并且在數(shù)據(jù)量大時會出現(xiàn)丟包的現(xiàn)象,給集團(tuán)的網(wǎng)絡(luò)管理和維護(hù)造成了諸多不便。
專家分析,金融信息化的本質(zhì)就是依托信息技術(shù)對傳統(tǒng)金融服務(wù)與產(chǎn)品進(jìn)行更新、調(diào)整與創(chuàng)新。經(jīng)過多年的建設(shè),信息技術(shù)已經(jīng)覆蓋了金融行業(yè)幾乎所有的業(yè)務(wù)及其相關(guān)流程,這也使得金融行業(yè)成為在網(wǎng)絡(luò)信息技術(shù)的發(fā)展中受益最多的行業(yè)之一。但是伴隨著金融服務(wù)多樣化和金融業(yè)務(wù)規(guī)模不斷擴(kuò)大,尤其是金融行業(yè)網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜,其中所蘊(yùn)含的信息安全風(fēng)險也日益暴露出來,包括邊界安全風(fēng)險、內(nèi)網(wǎng)安全風(fēng)險、應(yīng)用安全風(fēng)險和管理安全風(fēng)險在內(nèi)的四類信息安全風(fēng)險嚴(yán)重威脅著金融行業(yè)的網(wǎng)絡(luò)系統(tǒng)架構(gòu)。如何保障金融行業(yè)的網(wǎng)絡(luò)安全問題,已成為影響和制約金融行業(yè)發(fā)展的主要因素之一。
平安集團(tuán)作為國內(nèi)具有非常影響力的金融服務(wù)提供商,在網(wǎng)絡(luò)安全方面一向保持高度的敏感和警惕性,通過幾十年的網(wǎng)絡(luò)建設(shè),平安集團(tuán)已經(jīng)具有完備的網(wǎng)絡(luò)架構(gòu)和安全體系,給集團(tuán)的業(yè)務(wù)提供高效穩(wěn)定的網(wǎng)絡(luò)服務(wù)。
為了做好信息安全保護(hù)工作,平安集團(tuán)在網(wǎng)絡(luò)出口處部署了網(wǎng)絡(luò)審計設(shè)備,對所有外發(fā)信息進(jìn)行識別和記錄。設(shè)備在使用初能夠滿足平安集團(tuán)的需求,但從目前使用情況來看存在著一些問題,影響到了網(wǎng)絡(luò)的管理。隨著即時通訊(IM)工具的盛行,IM的類型五花八門,并且被普遍使用,如QQ、web QQ、MSN、Gtalk、飛信等。由于IM已成為人們生活和工作中最常用的聊天工具,而且擁有傳輸加密、版本更新快的特點(diǎn),所以一般的網(wǎng)絡(luò)審計設(shè)備無法識別,也無法防止和記錄通過IM 聊天這種方式外泄集團(tuán)機(jī)密的情況。
另外由于集團(tuán)內(nèi)有1萬多上網(wǎng)人數(shù),需要記錄的日志量大,而之前的安全設(shè)備在數(shù)據(jù)量過大時出現(xiàn)明顯丟包、數(shù)據(jù)記錄不完全、無法根據(jù)關(guān)鍵字搜索的情況,導(dǎo)致了集團(tuán)內(nèi)部審計不嚴(yán)格,設(shè)備生成的報表也無法滿足網(wǎng)絡(luò)管理的需求。由于集團(tuán)中已有防火墻和流量管理類的設(shè)備,所以為了避免增加網(wǎng)絡(luò)單點(diǎn)故障的風(fēng)險,該設(shè)備采用旁路模式部署最佳,但是要在旁路部署下實現(xiàn)對IM信息的識別難度較大,能實現(xiàn)的情況也需要在內(nèi)網(wǎng)用戶的PC上安裝插件,不利于網(wǎng)絡(luò)的簡便管理。同時鑒于金融行業(yè)從業(yè)人員身份敏感,員工在內(nèi)網(wǎng)的互聯(lián)網(wǎng)訪問行為也必須滿足相關(guān)監(jiān)管部門與合規(guī)部門的要求。
中國平安的選擇
面對互聯(lián)網(wǎng)的管理壓力,經(jīng)過前期的市場調(diào)研,平安集團(tuán)邀請了國內(nèi)3家相關(guān)廠商進(jìn)行商討,經(jīng)過1個多月的對比與測試,最終選擇了深信服。原因如下:
一、產(chǎn)品的穩(wěn)定性。由于上網(wǎng)行為管理設(shè)備需要部署在集團(tuán)的互聯(lián)網(wǎng)的2大總出口處,所以對設(shè)備的穩(wěn)定性和應(yīng)急性要求嚴(yán)格,在測試過程中,通過對設(shè)備的模擬抗壓力測試、斷電硬件測試等,深信服的產(chǎn)品在穩(wěn)定性上都有更好的表現(xiàn)。在高壓情況下,設(shè)備CPU、內(nèi)存狀態(tài)都維持在10%以下,也未造成網(wǎng)絡(luò)癱瘓或變慢的狀況,其他兩家產(chǎn)品均在高壓情況下CPU占用率高居不下。
二、產(chǎn)品功能的細(xì)致性。通過對產(chǎn)品的行為管理功能、審計、流量控制等三個主要功能的測試,發(fā)現(xiàn)深信服在管控方面更細(xì)致更準(zhǔn)確。對于新增的層出不窮的網(wǎng)頁,能夠即時識別并封堵,極少出現(xiàn)漏審和漏管。對于迅雷這樣的頑固軟件,也能做到很好的管控,而其他廠商產(chǎn)品在不同版本的迅雷封堵測試過程中,均有策略失效的情況。
三、廠商的實力。由于平安集團(tuán)曾經(jīng)也使用過其他廠商的類似的產(chǎn)品,也深知廠商實力的重要性,因為廠商的發(fā)展也直接影響著產(chǎn)品后續(xù)的升級和售后服務(wù)。而在整個項目測試的過程中,深信服測試工程師的專業(yè)性和以客戶為導(dǎo)向的態(tài)度得到了認(rèn)可,同時深信服持續(xù)的發(fā)展也給平安集團(tuán)帶來了很大的信心。
后期在采訪平安集團(tuán)該項目負(fù)責(zé)人郭毅時,郭毅介紹到,深信服的上網(wǎng)行為管理是最貼切、最能滿足我們需求的產(chǎn)品。在我們的一系列測試過程中,該設(shè)備能夠精準(zhǔn)識別應(yīng)用類型并詳細(xì)記錄,在數(shù)據(jù)量大時性能表現(xiàn)穩(wěn)定,而且能生成幫助我們管理網(wǎng)絡(luò)的報表。其次,深信服廠商能夠站在我們的角度處理問題,根據(jù)我們的需求做及時的溝通和反饋,他們的技術(shù)可靠,技術(shù)支持和服務(wù)響應(yīng)速度快,這個是我們集團(tuán)非??粗氐摹W詈?,深信服在金融行業(yè)覆蓋面廣,有很多成功的客戶案例,這個也是我們考查的主要標(biāo)準(zhǔn)之一。我們看到深信服上網(wǎng)行為管理系統(tǒng)在招商銀行全國成功部署,以及在其他銀行、證券、保險等金融機(jī)構(gòu)的良好使用情況,所以我們一致通過決定,選擇了深信服上網(wǎng)行為管理。
應(yīng)用規(guī)模
分布式部署中高端上網(wǎng)行為管理系統(tǒng)30余套、集中管理平臺1套,應(yīng)用于中國平安集團(tuán)深圳總部,平安證券、平安銀行、平安保險、平安科技等分公司的網(wǎng)絡(luò)總出口處,內(nèi)網(wǎng)用戶數(shù)量大于10000人,網(wǎng)絡(luò)出口將近200M,實現(xiàn)全員網(wǎng)絡(luò)管理。
應(yīng)用效果
1、滿足了集團(tuán)對IM聊天工具全面的管控、數(shù)據(jù)搜索準(zhǔn)確且快捷的需求;
2、實現(xiàn)集團(tuán)內(nèi)部信息安全的保障和網(wǎng)絡(luò)的輕松管理維護(hù);
3、實現(xiàn)了對內(nèi)部從業(yè)人員金融交易行為的精準(zhǔn)控制與管理,規(guī)避了相應(yīng)的安全風(fēng)險;
4、實現(xiàn)了內(nèi)部人員的上網(wǎng)日志留痕與記錄,滿足了相關(guān)監(jiān)管/合規(guī)部門的監(jiān)管要求。