改去除银行内网安全管理隐患应从准入控制做起

去除银行内安全管理隐患应从准入控制做起

银行是我国金融体系中最重要主体，目前已有超过90%的银行业务依赖于络和信息系统，因此针对信息络的风险控制是所有银行风险内控的重中之重。虽然各银行已经在络与信息安全方面做了大量的投入，但涉及信息安全方面的事件仍时有发生。这些安全事件中，超过80%是来自银行内。

内安全管理的隐患到底在哪

深入分析后，我们发现：由于绝大多数银行用户，其内安全管理薄弱，内用户违规行为严重，从而导致内用户违规行为和安全问题频繁发生，也因为无法追查到违规行为和攻击的违规行为人、攻击源头，从而不能有效抵御和消除内安全威胁和风险。

之所以存在这样的困境，是因为内中的用户是虚拟的，缺乏有效的技术手段让在络中虚拟的用户与内中真实的用户一一对应起来，不能做到精确定位和追根溯源。以至于即使发生了安全事件，也无法找出隐藏在背后的真正人和真凶，安全管理制度和条例也就形同虚设。

如果能够建立内用户实名管理机制，所有的内外用户都必须实名上，则可以弥补现实与络虚拟世界之间的鸿沟，以便保证络中的安全问题都可以精确定位和追根溯源，这样就可以建立对内违规和非法行为的威慑力，确保用户在内的各项行为都严格按照内控管理的要求进行，最终消除内安全问题的隐患。

天珣准入控制如何构建银行实名制合规管理系统

银行络实名制合规管理，就是通过建立银行内部络中用户确定的身份标识，将络中的用户标识与现实生活中真实的用户建立起一一对应的关系，确保银行内部每一个员工都能依据自己在银行内部的真实角色，在络虚拟世界中从事与自己本职工作相关的行为。

天珣具备业界最完善的计算机终端准入控制机制，从终端层到络层，再到应用层和边界层，提供了客户端准入、络准入和应用准入等多种准入控制手段，帮助银行用户，不仅能够实现对所有接入和访问内的终端和用户进行身份认证和安全检测，而且能够借助准入控制提供的强制力，保证内用户必须按照自己的合法身份和络访问权限接入和访问络，实现内用户实名接入和访问络，为银行用户构建实名制合规管理系统。

图1为基于天珣多层准入控制基础上的银行实名制合规管理系统逻辑示意图：

图1天珣准入控制构建银行实名制合规管理系统

基于天珣多层准入构建的银行实名制合规管理系统，可以将络用户名、终端MAC地址、终端IP地址、VLAN信息、终端用户在授权的时间周期、终端自身的安全状态和管理状态一个或者多个条件绑定作为用户登录并访问络的身份条件，实现实名接入内、实名访问业务系统、服务器资源以及实名上邻居。

1) 实名制内接入

当终端试图通过交换机接入内时：天珣能够在内接入层，甚至内汇聚层，与接入层或汇聚层的络设备联动，对尝试联的终端实施络准入控制，执行身份验证和合规检查，保证只有使用专属于指定的用户名/密码、指定的终端、指定的IP地址，并在授权有效期限内，接入内。对于不合规的终端，系统将自动对其进行隔离或者自动划入修复区。

2) 实名制业务系统和服务资源访问

当接入络的终端试图访问内服务器或关键业务系统时：天珣在关键业务系统服务器之上，执行应用层准入控制，可以对来访的终端执行合规检查，保证使用专属于指定的用户名/密码、指定的终端、指定的IP地址，并在授权有效期限内，才能对内服务资源进行授权访问，如果来访终端非受控或不合规，将被拒绝访问该服务器或业务系统。天珣可以详细记录由终端发起的各种络行为，其中包括终端对业务系统服务器的络访问记录，如果业务系统或服务器发生了意外的非法访问或攻击，可以通过天珣所记录的络行为信息，定位非法方位或攻击是从那台终端发起，追查事件的人。

3) 实名制上邻居

当两个终端相互之间进行访问时：合规受控的终端可以对来访的终端实施客户端准入控制，对来访的终端执行合规检查，只接受合规安全的终端的访问，杜绝不安全的终端进行非法访问，也有效切断感染蠕虫病毒的非受控终端对合规终端的病毒感染和传播。

借助实名制管理系统，还可以帮助银行实施实名制终端行为审计和实名制移动存储管理，即便是内意外发生安全事件，借助实名管理系统，即可精确定位到发起络访问的而她展现的则是内柔外刚。最后终端和用户账号，并通过集中管理的用户系在资金管理方面具有丰富经验统，很容易就找出当时具体是哪个员工在访问络，从而为加强企业安全管理，将安全管理政策的执行，具体落实到每一个员工，并在企业突发安全事件，也能够快速定位源头，并找出该安全事件的人。

银行实名制合规管理系统案例赏析

中国建设银行广东省分行一直都很关注络实名制对内控管理的价值，而启明星辰的天珣多层准入控制的独特价值，正切中了实现企业实名制管理的关键，经过与启明星辰深入交流之后，中国建设银行广东省分行最终选择了启明星辰的天珣内安全风险管理与审计系统，为广东建行构建用户实名制合规管理系统。

图2 建设银行广东分行基于天珣的实名制管理系统示意

广东建行实名制管理合规系统是由安装在每一台终端的天珣客户端软件、接入层交换机和天珣后台认证和管理服务器组成的。其中天珣客户端不仅作为用户进行验证和登录络的起点，也是终端全程安全防御的起点;后台的天珣认证和管理服务器作为验证和管理终端与用户的系统，维护终端实名制管理列表，而接入交换机则作为终端和用户接入和访问络的唯一入口，实现内部合法用户使用实名接入和访问络。

系统上线后，收效显著，不仅再未发生过因个别不安全终端导致的内大面积堵塞和瘫痪，原先层出不穷的内部人员违规络行为也有效的杜绝了，这些均为广东建行核心业务的持续、稳定运行提供了可靠的支持和保证。

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。