深信服上网行为管理助力平安集团打造安全网络

中国平安旗下有保险系列的平安人寿、平安财险、平安养老保险和平安健康险，银行系列的平安银行，投资系列的平安信托、平安证券、平安证券(香港)、平安资产管理、平安资产管理(香港)和平安期货等多家专业子公司和事业部。平安集团通过多渠道分销网络，以统一的品牌向超过5100万名个人客户和200万名公司客户提供保险、银行、投资等全方位、个性化的金融产品和服务。2009年，在英国《金融时报》公布的“全球500强”企业榜单中，中国平安列全球寿险公司第二名，中国非国有企业第一名，并在《福布斯》杂志2009年度“全球上市公司2000强”排名第141名。 　　应用背景　　平安集团拥有完善的治理架构，国际化、专业化的管理团队。在深圳总部，平安集团下属分公司平安保险、平安银行等多家分公司网络都通过集团总部出口，目前仅有平安证券在全国各个营业部有独立互联网出口，保险、银行、基金均共享集团的互联网出口。由于平安集团目前有近十万人，而互联网同时在线人数也达到一万多人。网络出口总带宽为200M左右。为了保障整个集团网络的畅通和稳定，平安集团的网络管理尤为重要。　　问题与挑战　　平安集团有严格的信息安全制度要求。前期已经部署的安全设备在IM(即时通讯)识别、网页关键字搜索过滤、金融交易控制等方面存在识别不全、记录不详、在数据量情况下无法搜索等问题，并且在数据量大时会出现丢包的现象，给集团的网络管理和维护造成了诸多不便。　　专家分析，金融信息化的本质就是依托信息技术对传统金融服务与产品进行更新、调整与创新。经过多年的建设，信息技术已经覆盖了金融行业几乎所有的业务及其相关流程，这也使得金融行业成为在网络信息技术的发展中受益最多的行业之一。但是伴随着金融服务多样化和金融业务规模不断扩大，尤其是金融行业网络结构和网络应用日趋复杂，其中所蕴含的信息安全风险也日益暴露出来，包括边界安全风险、内网安全风险、应用安全风险和管理安全风险在内的四类信息安全风险严重威胁着金融行业的网络系统架构。如何保障金融行业的网络安全问题，已成为影响和制约金融行业发展的主要因素之一。　　平安集团作为国内具有非常影响力的金融服务提供商，在网络安全方面一向保持高度的敏感和警惕性，通过几十年的网络建设，平安集团已经具有完备的网络架构和安全体系，给集团的业务提供高效稳定的网络服务。　　为了做好信息安全保护工作，平安集团在网络出口处部署了网络审计设备，对所有外发信息进行识别和记录。设备在使用初能够满足平安集团的需求，但从目前使用情况来看存在着一些问题，影响到了网络的管理。随着即时通讯(IM)工具的盛行，IM的类型五花八门，并且被普遍使用，如QQ、webQQ、MSN、Gtalk、飞信等。由于IM已成为人们生活和工作中最常用的聊天工具，而且拥有传输加密、版本更新快的特点，所以一般的网络审计设备无法识别，也无法防止和记录通过IM聊天这种方式外泄集团机密的情况。　　另外由于集团内有1万多上网人数，需要记录的日志量大，而之前的安全设备在数据量过大时出现明显丢包、数据记录不完全、无法根据关键字搜索的情况，导致了集团内部审计不严格，设备生成的报表也无法满足网络管理的需求。由于集团中已有防火墙和流量管理类的设备，所以为了避免增加网络单点故障的风险，该设备采用旁路模式部署最佳，但是要在旁路部署下实现对IM信息的识别难度较大，能实现的情况也需要在内网用户的PC上安装插件，不利于网络的简便管理。同时鉴于金融行业从业人员身份敏感，员工在内网的互联网访问行为也必须满足相关监管部门与合规部门的要求。　　中国平安的选择　　面对互联网的管理压力，经过前期的市场调研，平安集团邀请了国内3家相关厂商进行商讨，经过1个多月的对比与测试，最终选择了深信服。原因如下：　　一、产品的稳定性。由于上网行为管理设备需要部署在集团的互联网的2大总出口处，所以对设备的稳定性和应急性要求严格，在测试过程中，通过对设备的模拟抗压力测试、断电硬件测试等，深信服的产品在稳定性上都有更好的表现。在高压情况下，设备CPU、内存状态都维持在10%以下，也未造成网络瘫痪或变慢的状况，其他两家产品均在高压情况下CPU占用率高居不下。　　二、产品功能的细致性。通过对产品的行为管理功能、审计、流量控制等三个主要功能的测试，发现深信服在管控方面更细致更准确。对于新增的层出不穷的网页，能够即时识别并封堵，极少出现漏审和漏管。对于迅雷这样的顽固软件，也能做到很好的管控，而其他厂商产品在不同版本的迅雷封堵测试过程中，均有策略失效的情况。　　三、厂商的实力。由于平安集团曾经也使用过其他厂商的类似的产品，也深知厂商实力的重要性，因为厂商的发展也直接影响着产品后续的升级和售后服务。而在整个项目测试的过程中，深信服测试工程师的专业性和以客户为导向的态度得到了认可，同时深信服持续的发展也给平安集团带来了很大的信心。　　后期在采访平安集团该项目负责人郭毅时，郭毅介绍到，深信服的上网行为管理是最贴切、最能满足我们需求的产品。在我们的一系列测试过程中，该设备能够精准识别应用类型并详细记录，在数据量大时性能表现稳定，而且能生成帮助我们管理网络的报表。其次，深信服厂商能够站在我们的角度处理问题，根据我们的需求做及时的沟通和反馈，他们的技术可靠，技术支持和服务响应速度快，这个是我们集团非常看重的。最后，深信服在金融行业覆盖面广，有很多成功的客户案例，这个也是我们考查的主要标准之一。我们看到深信服上网行为管理系统在招商银行全国成功部署，以及在其他银行、证券、保险等金融机构的良好使用情况，所以我们一致通过决定，选择了深信服上网行为管理。　　应用规模　　分布式部署中高端上网行为管理系统30余套、集中管理平台1套，应用于中国平安集团深圳总部，平安证券、平安银行、平安保险、平安科技等分公司的网络总出口处，内网用户数量大于10000人，网络出口将近200M，实现全员网络管理。　　应用效果　　1、满足了集团对IM聊天工具全面的管控、数据搜索准确且快捷的需求;　　2、实现集团内部信息安全的保障和网络的轻松管理维护;　　3、实现了对内部从业人员金融交易行为的精准控制与管理，规避了相应的安全风险;　　4、实现了内部人员的上网日志留痕与记录，满足了相关监管/合规部门的监管要求。