金融机构借助上网行为管理控制IT风险

金融机构借助上网行为管理控制IT风险

在信息时代，如果金融机构要想有效地利用互联网，就需要对它进行实质有效地管理，就像管理其它企业资源一样。要解决网络资源管理的诸多问题，除了建立一项有效的网络使用政策来约束员工之外，利用上网行为管理解决方案解决网络应用问题是再好不过的选择。上网行为管理为金融机构带来了全新的安全视点，让金融机构的安全战略从外部转向内部，把以前曾经忽略的内部安全问题，重新放到安全战略的议程上来。金融机构可以根据自己的实际情况，采用上网行为管理系统，进行互联网的接入控制、访问管理和员上网行为管理，使得员工能够远离恶意站点，杜绝恶意代码流入企业内网，真正发挥互联网的价值。
员工引发内部安全危机
当银行把安全的注意力集中于防火墙、入侵控制以及风险管理等外部威胁的时候，由于银行内部原因所引起的安全问题往往容易被忽视。据银行内部的消息，大部分的银行安全问题是由于内部监控和风险管理欠缺所引起的。许多银行可能认为员工是最不需要担心的一部分，但是，有许多网络安全问题却是由于内部员工所引起的。因此，在信息化高度发展的金融领域，应该转变安全的观点，逐渐把安全的战略从防外转向防内，拥有一个真正安全的网络环境。
根据8e6公司调查显示：在金融机构中，37.5%的受访者担心间谍软件、恶意程序、黑客与蠕虫攻击。如果遭遇攻击，势必造成网络阻塞和数据损坏及丢失，若无法事先预防遭受攻击，并且发作时又不能迅速采取因应措施，势必给金融IT系统的正常业务造成灾难性的后果；25%的受访者担心行为监控不够会造成员工非法外联、越权访问、滥用网络、资源等有意或无意的行为，这些行为都有可能为信息泄漏和金融犯罪者提供可乘之机，给系统带来致命的打击。另外，根据Yankelovich的最新调查报告显示，超过60%的企业互联网访问包括了与业务无关的、不恰当的、甚至危险的站点。另外，超过82%的员工承认在每个工作日都会使用互联网处理个人的事务，包括娱乐。员工进行互联网冲浪，产生的浪费和后果让IT主管理十分吃惊。它们主要在以下三个方面产生危害:生产力流失、网络带宽浪费、法律后果、安全隐患。
由于金融机构掌管着大量的敏感数据，不能仅仅依赖防毒软件、间谍软件和封锁广告软件产品来确保互联网的安全。相反，金融机构应该把安全的重点移动企业内部来，据统计，网络安全事件有绝大部分的攻击、漏洞和威胁来自于企业内部。例如，员工上网留下电子邮件地址或因上网后中了间谍软件，可能会招致垃圾邮件，会造成邮件服务器宕机或网络堵塞，更有甚者因收到"不当内容广告"或"钓鱼信件"后，直接读取邮件中"链结网址"，可能会触犯相关法律因而危害到企业本身。"聊天工具"或"网页邮件"为不法泄漏公司机密的人开启了一个便利通道，这些人可轻易的将公司内部重要信息传送到企业外部，为企业与客户带来莫大的损失。
以上的问题都是来自于员工无意或有意的不当网络行为所产生，8e6科技公司大中国区总经理连邦俊说："国内金融行业的信息化日益成熟，网络安全也成了信息化后随之而来的保护工作。各大企业该如何把这些危险解决于'未然'之前，或在问题发生之际能倒查找到问题的根源即时解决问题并保护企业的安全？一旦开放员工使用互联网，金融机构的内控与IT风险管理一定要考虑员工上网行为的审计与管理，建立一套网络安全行为管理策略，监管员工上网行为并通过'正确引导'与'使用规范'协助员工安全使用网络，才能有让内控与IT风险管理更加全面。"
安全需要从控制着手
要有效地防范网络病毒，最有效的方式即是通过Web访问控制、间谍软件与恶意程序阻挡、IM与P2P使用控制等上网行为管理，起到防患于未然的作用。这样不仅可以防范问题的发生，并且可以大幅降低因病毒入侵IT 系统让关键企业活动受到严重故障或灾害的风险。完整记录员工的上网行为也行之有效，因为网络管理人员能够从上网行为与记录中的各类分析报告当中，获取目前企业内部网络潜在的网络安全风险，从而得以依据报告中显示风险系数的优先级别对症下药，进行安全相关产品的采购，确实达到防护的效果。对于金融机构而言，有时需要一些安全事件的历史记录。当员工有泄漏公司机密等不法的行为时，审计单位可以从摄录内容进行审计与记录回放，从而更有效地监控员工的非法行为。
Websense大中华区技术经理谭伟基表示:"金融服务业已经成为最普遍的仿冒诈骗目标，涉及的陷阱数量和受害公司数量都位居各行业之冠。目前84%的品牌劫持案例均瞄准金融服务界，其中包括以社区银行、小型信贷财务公司及著名大型机构为目标的仿冒诈骗攻击。员工的随意上网行为使得这种情况更加严重。"
针对企业用户面临的这些困扰，各安全软件厂商积极应对，推出各种可以解决Internet"无效率"上网问题的解决方案。如SiteView EIM、Websense、Surfcontrol、8e6、Bluecoat和Astaro等产品，主要提供上网控制、即时通讯管理、端口控制、网站访问限制、网页内容过滤、IP地址绑定、IP访问控制、IP流量管理、黑白名单设置、系统管理、网络管理、日志监控等功能。
不管员工是否愿意接受具有上网行为监控和统计功能的IT管理软件，企业对此的需求还是非常庞大的，而且市场潜力也非常可观。应该说，企业管理人员还是很需要有这样的行为管理工具。比如，SiteView EIM可以对数据包协议进行分析，对QQ游戏、联众游戏、魔兽世界等网络游戏进行控制，如同过滤QQ、P2P等通信工具一样，发现是网络游戏的包就控制、封堵，这样可以保证公司的网络带宽、网络资源得到很合理的利用。SiteView EIM产品经理Delink说："应该澄清的是，软件厂商推出上网行为管理软件，并不是大家想象的那样为了监控员工上网，它只是为了给大家提供一个更加清静、纯净的网络工作环境，同时帮助企业IT运维人员提高工作效率。比如，SiteView EIM还提供了诸如系统管理、网络管理、网络流量监测、日志分析、图表报告等功能，这些都可以为网络管理人员提供很大的工作便利。"
但实际情况是，上网行为管理软件主要应用于企业IT部门，由IT运维部门来运行和维护，而真正有需求的是部门管理人员。如何保证对于IT软硬件不是很擅长的部门管理人员上手呢？SiteView EIM产品经理Delink认为，最好提供直观丰富的图表统计报告，它可以通过美观的图示一目了然地展示上网状况。
8e6科技的员工上网行为审计管理解决方案就提供了即时监控与记录回放功能，以便在发生问题时，审计人员能即时倒查记录，追查问题的来源以解决问题或查看员工的上网内容是否合法。而完整记录员工的上网行为功能，使网络管理人员能够从上网行为与记录中的各类分析报告当中，获取目前企业内部网络潜在的网络安全风险，从而得以依据报告中显示风险系数的优先级别对症下药，进行安全相关产品的采购，确实达到防护的效果。
Websense EIMS过滤解决方案可以通过让IT管理员设置自定义策略来管理员工因特网、网络和应用程序的使用，平衡与工作有关的上网与个人上网之间的关系。利用易于使用的管理模块中央管理控制台）制定和实施员工计算机管理政策，将行政管理开销降至最低。其实时分析模块可以分析当前与近期的网络流量，洞悉网络活动的情况，以及迅速解答与网络相关的重要问题。而浏览模块可以被用来取证及报告工具，IT、人力资源、法律及业务经理均可轻松快捷地获取员工活动统计资料。报告模块则可以从八十多个预定义报告模板中进行选择。