互聯網集中管控的探索與實踐

【摘要】當前，基層行員工上網方式發生了轉變，由計算機上網轉變為移動終端上網，上網需求也不斷擴大，如微信、支付寶等，從而出現了共享上網、無線路由私設WIFI等違規方式以及沉迷于網絡購物、炒股等不良行為，加大了安全隱患，影響了正常履職。為更好的管控互聯網接入、規范上網行為、防范安全風險、落實總行規定、確保高效履職，常德市中支探索開展了互聯網集中管控項目。采取了中支及各支行分別部署上網行為監控，各單位通過互聯網經VPN隧道將監控數據匯總到中支上網行為集中管控平臺的分散接入方案。項目推廣后，全轄的上網行為風險和網絡安全漏洞都得到了有效防控，互聯網安全管理水平得到了全面提升。

【關鍵詞】一點接入 上網行為監控 上網安全策略

按照總行對各分支機構互聯網統一管控的要求，常德市中支從組織保障、加大投入、科學論證、分步實施、制度規范、全面監控等方面著手，探索開展了全轄互聯網集中管控工作，完成了中支及部分支行的互聯網一點接入改造及上網行為監控的部署。項目推廣后，全轄的上網行為風險和網絡安全漏洞都得到了有效防控，互聯網安全管理水平得到了全面提升。

一、項目背景

當前，基層央行員工上網方式發生了轉變。全社會已步入了“互聯網+”時代，轄內職工由計算機上網逐步轉變為移動終端上網，以滿足社交、購物、娛樂等需求，如微信、QQ、手機銀行等。但中支及支行僅有部分接口上網。為方便手機等其他設備的上網需要，個別部門出現了共享上網、無線路由私設WIFI等違規方式，個別員工工作時間沉迷于網絡購物、炒股、娛樂等不良行為，使得用戶上網行為、接入方式和設備都難以監控和管理，從而加大了安全隱患，影響了央行的正常履職。

然而，互聯網特別是移動互聯網安全形勢嚴峻，各種安全威脅不容忽視，如各類釣魚網站、網銀超級木馬、拒絕服務攻擊、第三方支付漏洞等，線上和線下已經形成了從賣方到買方完整的黑色產業鏈。此外，移動終端自身存在開發接口，使得它更容易被黑客利用，受到木馬、蠕蟲等惡意代碼攻擊。因此，基層行的員工上網的接入方式和行為都存在較大的安全風險。為更好的管控互聯網接入方式、規范上網行為、防范安全風險、做好保密管理、確保基層行高效履職，常德市中支互聯網集中管控項目應運而生。

二、項目方案和措施

（一）科學安排，分步實施

由于中支及轄內支行互聯網接入方式各異，用戶上網的安全意識參差不齊，有很多的不可控因素。為此，常德市中支將全轄互聯網的統一管控實施工作分三個階段進行，由點到面、逐步鋪開：第一階段完成中支機關互聯網一點接入改造和上網行為監控部署；第二階段完成臨澧和津市兩個試點行的上網行為監控部署和集中管控；第三階段將試點經驗推廣至其他支行，完成全轄互聯網的統一管控。成立了領導小組，和實施小組，并進一步對工作進行細化，將實施人員分為三個小組：協調組負責對外聯絡和協調，設備選型和采購；網絡組負責方案制定、設備安裝調試、網絡配置與安全策略下發；主機組負責互聯網計算機的安全檢查和網絡測試。各小組間既有分工又有協作，共同完成項目建設。在項目實施過程中，制訂了詳細的工作計劃和項目進度表，將任務分解到天、落實到人，做到了設備部署、網絡配置與調試、客戶端測試、上網日志采集和監控、安全策略下發各環節環環相扣，保障了實施工作有條不紊進行。

（二）充分論證，完善方案

從以下四方面入手，充分論證，制定周密、可行的實施方案：一是開展摸底調研，確定改造目標。對全轄互聯網的網絡結構、接入方式及管理情況進行摸底調研。調研情況如下表：

從全轄互聯網接入狀況來看，各單位的接入方式不一致，網絡接入點分散，設備運維效率不高，管理總體比較混亂。為解決上述問題，確定此次改造目標主要是改變網絡接入方式，部署上網行為監控設備及系統。二是反復比較論證，敲定接入方式。經分析，存在以下兩種接入方式：各單位各自部署上網行為監控，直接接入互聯網，各支行監控日志通過互聯網經VPN隧道傳到中支上網行為集中管控平臺的分散接入方式以及中支部署上網行為監控，各支行租用專線匯集到中支后，統一出口接入互聯網的集中接入方式。對于這兩種方式，我們向供應商詢價，向外部專家請教，反復比較，多方論證，集中接入租用專線費用較高，大大超過了后一方案的資金預算，最終選擇了分散接入方式。網絡接入拓撲圖如下：

三是列出設備清單，劃定費用預算。經反復測算，本次項目改造設備采購清單及實施預算如下：

四是細化工作任務，明確各方職責。制定了《工程關鍵時間節點明細表》規定了各節點的起止時間、責任人，時間到天，任務到人，確保工程順利完成。

（三）溝通協作，形成合力

互聯網的集中管控是一項全行性的工作，涉及到17個科室、7個支行、300多名員工和60多臺互聯網計算機，工作量和難度可想而知。為協調各方面的人員和設備，建立了協調機制，各部門相互配合，形成推廣合力：一是加強橫向聯系。與辦公室積極溝通協調，明確了各自職責，科技部門負責網絡接入和上網行為的監控及通報，辦公室負責互聯網接入審核和不當上網行為的處置。與各部門信息安全員配合默契，相得益彰。部門信息安全員不僅承擔了本部門互聯網需求收集和接入手續辦理工作，還負責本部門互聯網計算機的管理以及科室其他人員的解釋和培訓。作為科技人員的延伸，他們和我們積極配合，合力推進。二是加強上下溝通。中支與兩家試點行科技人員組成項目團隊，一起學習，相互配合，共同完成了設備安裝、參數設置等實施工作，確保了按期順利上線運行。組織全轄科技人員全程觀摩了項目實施過程，切實提升支行科技人員的履職水平。三是加強對外協作。與公司技術人員分工協作，相輔相成。我們對上網行為監控系統比較陌生，很多功能和措施需要不斷摸索和嘗試。為此，我們在公司技術人員的幫助下，一方面盡快全面熟悉掌握該系統的各種功能，另一方面做好系統運行測試工作，根據發現的問題提出改進建議。

（四）檢查督導，制度規范

科技部門與保密部門強化協作機制，在互聯網管理上形成合力，加強檢查督導，落實各項制度，規范安全管理：一是規范中支互聯網接入。首先關閉全行所有的互聯網接口，然后要求各科室按上級行規定的最新表格樣式重新填報互聯網接入申請表和入網協議，并要求責任人簽訂保密承諾書。最后，經中支保密委審核后，重新為各科室逐一的開通互聯網，徹底堵塞安全漏洞。二是聯合開展保密檢查，以查促改，確保網絡安全和保密制度落到實處。分別開展了2次縣支行互聯網安全保密檢查。重點檢查互聯網接入手續是否規范，網絡接入、安全配置和涉密文檔存留是否符合要求。通過檢查，提升互聯網安全管理水平。

三、取得成效

（一）實現了全轄互聯網的集中管控

中支的互聯網接入方式由分散撥號接入改為一點接入，中支及各支行分別部署了上網行為監控系統，對全轄所有互聯網用戶的上網操作和上網行為進行全面、實時監控。部署在各單位的上網行為監控設備與中支的上網行為集中管理平臺通過互聯網Vpn隧道實現設備互聯和數據交換。各臺上網行為監控設備每天定時將監控日志上傳至中支集中管理平臺。從而，實現了中支集中管理平臺對各單位互聯網用戶上網行為實時監控、隨時可查，實現了各單位上網行為數據的異地備份，確保數據完整性和可靠性，實現了實現全轄的互聯網運行情況全掌握。

（二）實現了全轄互聯網的精細化管理

上網行為監控分散接入，統一管控后，提供了多種精細化管理功能：一是可以細化設備管理權限，基于不同角色對設備進行分級分權管理。不僅能做到中支對支行上網行為的點到點遠程管理，也能將各自的管理權限下放到支行，減輕地市中支管理負擔。二是可以對網絡帶寬及流量進行靈活控制和管理。針對不同用戶和應用進行合理的帶寬劃分，配置適當的出口流量，保障重點業務應用的帶寬需求，提升了網絡帶寬利用效率。三是統一制定管理規范并下發安全策略。系統以安全策略的技術方式對用戶訪問互聯網的協議、端口、時間進行控制，實現了中支根據網絡安全要求對全轄互聯網用戶的網絡訪問制定下發全局的或個性化的安全策略，全面提升了安全管理水平。

（三）實現了互聯網非法接入、非法上網行為的技術防范

上網行為監控系統部署后，無線路由器等無線互聯設備以及360wifiU盤等無線網卡將會被系統隔離而禁止使用，并自動斷開用戶的互聯網連接。各用戶在工作時間不當的上網行為如P2P下載，游戲，在線視頻等操作也將會被系統限制，從技術層面杜絕了WIFI無線上網、路由器共享上網等不當上網行為，防范了互聯網安全風險，有效提升互聯網安全防護能力。

作者簡介：唐詮杰（1982-），男，漢族，湖南漢壽人，畢業于中南大學商學院，MBA，任職于中國人民銀行常德市中心支行，研究方向：金融、計算機。