【摘要】當(dāng)前，基層行員工上網(wǎng)方式發(fā)生了轉(zhuǎn)變，由計(jì)算機(jī)上網(wǎng)轉(zhuǎn)變?yōu)橐苿?dòng)終端上網(wǎng)，上網(wǎng)需求也不斷擴(kuò)大，如微信、支付寶等，從而出現(xiàn)了共享上網(wǎng)、無(wú)線路由私設(shè)WIFI等違規(guī)方式以及沉迷于網(wǎng)絡(luò)購(gòu)物、炒股等不良行為，加大了安全隱患，影響了正常履職。為更好的管控互聯(lián)網(wǎng)接入、規(guī)范上網(wǎng)行為、防范安全風(fēng)險(xiǎn)、落實(shí)總行規(guī)定、確保高效履職，常德市中支探索開(kāi)展了互聯(lián)網(wǎng)集中管控項(xiàng)目。采取了中支及各支行分別部署上網(wǎng)行為監(jiān)控，各單位通過(guò)互聯(lián)網(wǎng)經(jīng)VPN隧道將監(jiān)控?cái)?shù)據(jù)匯總到中支上網(wǎng)行為集中管控平臺(tái)的分散接入方案。項(xiàng)目推廣后，全轄的上網(wǎng)行為風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全漏洞都得到了有效防控，互聯(lián)網(wǎng)安全管理水平得到了全面提升。

【關(guān)鍵詞】一點(diǎn)接入 上網(wǎng)行為監(jiān)控 上網(wǎng)安全策略

按照總行對(duì)各分支機(jī)構(gòu)互聯(lián)網(wǎng)統(tǒng)一管控的要求，常德市中支從組織保障、加大投入、科學(xué)論證、分步實(shí)施、制度規(guī)范、全面監(jiān)控等方面著手，探索開(kāi)展了全轄互聯(lián)網(wǎng)集中管控工作，完成了中支及部分支行的互聯(lián)網(wǎng)一點(diǎn)接入改造及上網(wǎng)行為監(jiān)控的部署。項(xiàng)目推廣后，全轄的上網(wǎng)行為風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全漏洞都得到了有效防控，互聯(lián)網(wǎng)安全管理水平得到了全面提升。

一、項(xiàng)目背景

當(dāng)前，基層央行員工上網(wǎng)方式發(fā)生了轉(zhuǎn)變。全社會(huì)已步入了“互聯(lián)網(wǎng)+”時(shí)代，轄內(nèi)職工由計(jì)算機(jī)上網(wǎng)逐步轉(zhuǎn)變?yōu)橐苿?dòng)終端上網(wǎng)，以滿足社交、購(gòu)物、娛樂(lè)等需求，如微信、QQ、手機(jī)銀行等。但中支及支行僅有部分接口上網(wǎng)。為方便手機(jī)等其他設(shè)備的上網(wǎng)需要，個(gè)別部門出現(xiàn)了共享上網(wǎng)、無(wú)線路由私設(shè)WIFI等違規(guī)方式，個(gè)別員工工作時(shí)間沉迷于網(wǎng)絡(luò)購(gòu)物、炒股、娛樂(lè)等不良行為，使得用戶上網(wǎng)行為、接入方式和設(shè)備都難以監(jiān)控和管理，從而加大了安全隱患，影響了央行的正常履職。

然而，互聯(lián)網(wǎng)特別是移動(dòng)互聯(lián)網(wǎng)安全形勢(shì)嚴(yán)峻，各種安全威脅不容忽視，如各類釣魚(yú)網(wǎng)站、網(wǎng)銀超級(jí)木馬、拒絕服務(wù)攻擊、第三方支付漏洞等，線上和線下已經(jīng)形成了從賣方到買方完整的黑色產(chǎn)業(yè)鏈。此外，移動(dòng)終端自身存在開(kāi)發(fā)接口，使得它更容易被黑客利用，受到木馬、蠕蟲(chóng)等惡意代碼攻擊。因此，基層行的員工上網(wǎng)的接入方式和行為都存在較大的安全風(fēng)險(xiǎn)。為更好的管控互聯(lián)網(wǎng)接入方式、規(guī)范上網(wǎng)行為、防范安全風(fēng)險(xiǎn)、做好保密管理、確保基層行高效履職，常德市中支互聯(lián)網(wǎng)集中管控項(xiàng)目應(yīng)運(yùn)而生。

二、項(xiàng)目方案和措施

（一）科學(xué)安排，分步實(shí)施

由于中支及轄內(nèi)支行互聯(lián)網(wǎng)接入方式各異，用戶上網(wǎng)的安全意識(shí)參差不齊，有很多的不可控因素。為此，常德市中支將全轄互聯(lián)網(wǎng)的統(tǒng)一管控實(shí)施工作分三個(gè)階段進(jìn)行，由點(diǎn)到面、逐步鋪開(kāi)：第一階段完成中支機(jī)關(guān)互聯(lián)網(wǎng)一點(diǎn)接入改造和上網(wǎng)行為監(jiān)控部署；第二階段完成臨澧和津市兩個(gè)試點(diǎn)行的上網(wǎng)行為監(jiān)控部署和集中管控；第三階段將試點(diǎn)經(jīng)驗(yàn)推廣至其他支行，完成全轄互聯(lián)網(wǎng)的統(tǒng)一管控。成立了領(lǐng)導(dǎo)小組，和實(shí)施小組，并進(jìn)一步對(duì)工作進(jìn)行細(xì)化，將實(shí)施人員分為三個(gè)小組：協(xié)調(diào)組負(fù)責(zé)對(duì)外聯(lián)絡(luò)和協(xié)調(diào)，設(shè)備選型和采購(gòu)；網(wǎng)絡(luò)組負(fù)責(zé)方案制定、設(shè)備安裝調(diào)試、網(wǎng)絡(luò)配置與安全策略下發(fā)；主機(jī)組負(fù)責(zé)互聯(lián)網(wǎng)計(jì)算機(jī)的安全檢查和網(wǎng)絡(luò)測(cè)試。各小組間既有分工又有協(xié)作，共同完成項(xiàng)目建設(shè)。在項(xiàng)目實(shí)施過(guò)程中，制訂了詳細(xì)的工作計(jì)劃和項(xiàng)目進(jìn)度表，將任務(wù)分解到天、落實(shí)到人，做到了設(shè)備部署、網(wǎng)絡(luò)配置與調(diào)試、客戶端測(cè)試、上網(wǎng)日志采集和監(jiān)控、安全策略下發(fā)各環(huán)節(jié)環(huán)環(huán)相扣，保障了實(shí)施工作有條不紊進(jìn)行。

（二）充分論證，完善方案

從以下四方面入手，充分論證，制定周密、可行的實(shí)施方案：一是開(kāi)展摸底調(diào)研，確定改造目標(biāo)。對(duì)全轄互聯(lián)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、接入方式及管理情況進(jìn)行摸底調(diào)研。調(diào)研情況如下表：

從全轄互聯(lián)網(wǎng)接入狀況來(lái)看，各單位的接入方式不一致，網(wǎng)絡(luò)接入點(diǎn)分散，設(shè)備運(yùn)維效率不高，管理總體比較混亂。為解決上述問(wèn)題，確定此次改造目標(biāo)主要是改變網(wǎng)絡(luò)接入方式，部署上網(wǎng)行為監(jiān)控設(shè)備及系統(tǒng)。二是反復(fù)比較論證，敲定接入方式。經(jīng)分析，存在以下兩種接入方式：各單位各自部署上網(wǎng)行為監(jiān)控，直接接入互聯(lián)網(wǎng)，各支行監(jiān)控日志通過(guò)互聯(lián)網(wǎng)經(jīng)VPN隧道傳到中支上網(wǎng)行為集中管控平臺(tái)的分散接入方式以及中支部署上網(wǎng)行為監(jiān)控，各支行租用專線匯集到中支后，統(tǒng)一出口接入互聯(lián)網(wǎng)的集中接入方式。對(duì)于這兩種方式，我們向供應(yīng)商詢價(jià)，向外部專家請(qǐng)教，反復(fù)比較，多方論證，集中接入租用專線費(fèi)用較高，大大超過(guò)了后一方案的資金預(yù)算，最終選擇了分散接入方式。網(wǎng)絡(luò)接入拓?fù)鋱D如下：

三是列出設(shè)備清單，劃定費(fèi)用預(yù)算。經(jīng)反復(fù)測(cè)算，本次項(xiàng)目改造設(shè)備采購(gòu)清單及實(shí)施預(yù)算如下：

四是細(xì)化工作任務(wù)，明確各方職責(zé)。制定了《工程關(guān)鍵時(shí)間節(jié)點(diǎn)明細(xì)表》規(guī)定了各節(jié)點(diǎn)的起止時(shí)間、責(zé)任人，時(shí)間到天，任務(wù)到人，確保工程順利完成。

（三）溝通協(xié)作，形成合力

互聯(lián)網(wǎng)的集中管控是一項(xiàng)全行性的工作，涉及到17個(gè)科室、7個(gè)支行、300多名員工和60多臺(tái)互聯(lián)網(wǎng)計(jì)算機(jī)，工作量和難度可想而知。為協(xié)調(diào)各方面的人員和設(shè)備，建立了協(xié)調(diào)機(jī)制，各部門相互配合，形成推廣合力：一是加強(qiáng)橫向聯(lián)系。與辦公室積極溝通協(xié)調(diào)，明確了各自職責(zé)，科技部門負(fù)責(zé)網(wǎng)絡(luò)接入和上網(wǎng)行為的監(jiān)控及通報(bào)，辦公室負(fù)責(zé)互聯(lián)網(wǎng)接入審核和不當(dāng)上網(wǎng)行為的處置。與各部門信息安全員配合默契，相得益彰。部門信息安全員不僅承擔(dān)了本部門互聯(lián)網(wǎng)需求收集和接入手續(xù)辦理工作，還負(fù)責(zé)本部門互聯(lián)網(wǎng)計(jì)算機(jī)的管理以及科室其他人員的解釋和培訓(xùn)。作為科技人員的延伸，他們和我們積極配合，合力推進(jìn)。二是加強(qiáng)上下溝通。中支與兩家試點(diǎn)行科技人員組成項(xiàng)目團(tuán)隊(duì)，一起學(xué)習(xí)，相互配合，共同完成了設(shè)備安裝、參數(shù)設(shè)置等實(shí)施工作，確保了按期順利上線運(yùn)行。組織全轄科技人員全程觀摩了項(xiàng)目實(shí)施過(guò)程，切實(shí)提升支行科技人員的履職水平。三是加強(qiáng)對(duì)外協(xié)作。與公司技術(shù)人員分工協(xié)作，相輔相成。我們對(duì)上網(wǎng)行為監(jiān)控系統(tǒng)比較陌生，很多功能和措施需要不斷摸索和嘗試。為此，我們?cè)诠炯夹g(shù)人員的幫助下，一方面盡快全面熟悉掌握該系統(tǒng)的各種功能，另一方面做好系統(tǒng)運(yùn)行測(cè)試工作，根據(jù)發(fā)現(xiàn)的問(wèn)題提出改進(jìn)建議。

（四）檢查督導(dǎo)，制度規(guī)范

科技部門與保密部門強(qiáng)化協(xié)作機(jī)制，在互聯(lián)網(wǎng)管理上形成合力，加強(qiáng)檢查督導(dǎo)，落實(shí)各項(xiàng)制度，規(guī)范安全管理：一是規(guī)范中支互聯(lián)網(wǎng)接入。首先關(guān)閉全行所有的互聯(lián)網(wǎng)接口，然后要求各科室按上級(jí)行規(guī)定的最新表格樣式重新填報(bào)互聯(lián)網(wǎng)接入申請(qǐng)表和入網(wǎng)協(xié)議，并要求責(zé)任人簽訂保密承諾書(shū)。最后，經(jīng)中支保密委審核后，重新為各科室逐一的開(kāi)通互聯(lián)網(wǎng)，徹底堵塞安全漏洞。二是聯(lián)合開(kāi)展保密檢查，以查促改，確保網(wǎng)絡(luò)安全和保密制度落到實(shí)處。分別開(kāi)展了2次縣支行互聯(lián)網(wǎng)安全保密檢查。重點(diǎn)檢查互聯(lián)網(wǎng)接入手續(xù)是否規(guī)范，網(wǎng)絡(luò)接入、安全配置和涉密文檔存留是否符合要求。通過(guò)檢查，提升互聯(lián)網(wǎng)安全管理水平。

三、取得成效

（一）實(shí)現(xiàn)了全轄互聯(lián)網(wǎng)的集中管控

中支的互聯(lián)網(wǎng)接入方式由分散撥號(hào)接入改為一點(diǎn)接入，中支及各支行分別部署了上網(wǎng)行為監(jiān)控系統(tǒng)，對(duì)全轄所有互聯(lián)網(wǎng)用戶的上網(wǎng)操作和上網(wǎng)行為進(jìn)行全面、實(shí)時(shí)監(jiān)控。部署在各單位的上網(wǎng)行為監(jiān)控設(shè)備與中支的上網(wǎng)行為集中管理平臺(tái)通過(guò)互聯(lián)網(wǎng)Vpn隧道實(shí)現(xiàn)設(shè)備互聯(lián)和數(shù)據(jù)交換。各臺(tái)上網(wǎng)行為監(jiān)控設(shè)備每天定時(shí)將監(jiān)控日志上傳至中支集中管理平臺(tái)。從而，實(shí)現(xiàn)了中支集中管理平臺(tái)對(duì)各單位互聯(lián)網(wǎng)用戶上網(wǎng)行為實(shí)時(shí)監(jiān)控、隨時(shí)可查，實(shí)現(xiàn)了各單位上網(wǎng)行為數(shù)據(jù)的異地備份，確保數(shù)據(jù)完整性和可靠性，實(shí)現(xiàn)了實(shí)現(xiàn)全轄的互聯(lián)網(wǎng)運(yùn)行情況全掌握。

（二）實(shí)現(xiàn)了全轄互聯(lián)網(wǎng)的精細(xì)化管理

上網(wǎng)行為監(jiān)控分散接入，統(tǒng)一管控后，提供了多種精細(xì)化管理功能：一是可以細(xì)化設(shè)備管理權(quán)限，基于不同角色對(duì)設(shè)備進(jìn)行分級(jí)分權(quán)管理。不僅能做到中支對(duì)支行上網(wǎng)行為的點(diǎn)到點(diǎn)遠(yuǎn)程管理，也能將各自的管理權(quán)限下放到支行，減輕地市中支管理負(fù)擔(dān)。二是可以對(duì)網(wǎng)絡(luò)帶寬及流量進(jìn)行靈活控制和管理。針對(duì)不同用戶和應(yīng)用進(jìn)行合理的帶寬劃分，配置適當(dāng)?shù)某隹诹髁?，保障重點(diǎn)業(yè)務(wù)應(yīng)用的帶寬需求，提升了網(wǎng)絡(luò)帶寬利用效率。三是統(tǒng)一制定管理規(guī)范并下發(fā)安全策略。系統(tǒng)以安全策略的技術(shù)方式對(duì)用戶訪問(wèn)互聯(lián)網(wǎng)的協(xié)議、端口、時(shí)間進(jìn)行控制，實(shí)現(xiàn)了中支根據(jù)網(wǎng)絡(luò)安全要求對(duì)全轄互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)訪問(wèn)制定下發(fā)全局的或個(gè)性化的安全策略，全面提升了安全管理水平。

（三）實(shí)現(xiàn)了互聯(lián)網(wǎng)非法接入、非法上網(wǎng)行為的技術(shù)防范

上網(wǎng)行為監(jiān)控系統(tǒng)部署后，無(wú)線路由器等無(wú)線互聯(lián)設(shè)備以及360wifiU盤等無(wú)線網(wǎng)卡將會(huì)被系統(tǒng)隔離而禁止使用，并自動(dòng)斷開(kāi)用戶的互聯(lián)網(wǎng)連接。各用戶在工作時(shí)間不當(dāng)?shù)纳暇W(wǎng)行為如P2P下載，游戲，在線視頻等操作也將會(huì)被系統(tǒng)限制，從技術(shù)層面杜絕了WIFI無(wú)線上網(wǎng)、路由器共享上網(wǎng)等不當(dāng)上網(wǎng)行為，防范了互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)，有效提升互聯(lián)網(wǎng)安全防護(hù)能力。

作者簡(jiǎn)介：唐詮杰（1982-），男，漢族，湖南漢壽人，畢業(yè)于中南大學(xué)商學(xué)院，MBA，任職于中國(guó)人民銀行常德市中心支行，研究方向：金融、計(jì)算機(jī)。