国信证劵与深信服深入合作 实战部署上网行为管理

【.com 综合消息】近几年发生了多起证券经理私自挪用资金进行炒股造成巨额亏损的案件，这些案件给券商及业内造成的资金、信誉的双重损害，由此证券行业对总部至营业网点的资金操作有着严格的规定，但随着近几年网络炒股的逐渐兴起，网页炒股、炒股软件等多种方式层次不穷，基于应用的网络行为防范缺失现状给众多券商敲响了警钟，《关于加强对投资者网上交易安全保护的通知》、《证券营业部信息技术指引》等多个业内信息化指导意见的出台，而一批业内的领先者也已经悄然迈出了脚步。

高屋建瓴 规避业务风险

国信证券作为全国性大型综合类证券公司，在业内具有极高的影响力，在2009年，国信证券即着手开始思考如何提高在网络管控方面的安全级别，这主要出于两方面的考虑：

1、证券法规定，证券从业人员应禁止从事证券股票交易；

2、公安部92号令要求，需要对内部上网行为进行统一的认证、识别、管理与记录….以确保日后特殊事件出现时的数据支撑于追溯。

基于这两点需求，国信证券认为，此次网络改造建设必须实现两个基本目标：

1、为规避相应资金风险及公司法律责任，需要严格控制内部从业人员的股票交易行为，实现允许内部从业人员查看股票行情，但禁止所有股票交易行为；

2、对内部上网人员的上网行为进行统一的认证，识别、管理与记录，最终再将用户行为日志记录在案，以确保特殊事件出现时的数据支撑和追溯。

营业网点互联网资源管理难题

除了以上两方面信息安全建设问题外，国信证券还面临着证券行业的营业网点互联网资源管理难题：

由于近几年的理财、金融交易等产业的蓬勃发展，国信证券的业务也随之获得了快速的发展，现阶段，已经在全国38个城市部署了62家营业网点，其中8551名一线人员分布于各营业网点，总部人员则拥有人员1192名。由于前期业务发展较快，使得各城市的营业网点规模随之快速发展，营业网点的人员大多需要利用互联网信息开展业务，早期每个营业网点均自行申请了互联网出口，但随着人员不断增多，原有的互联网出口逐渐无法满足要求，营业网点往往会再多申请数条互联网线路为新增人员提供互联网访问服务，经过近几年的发展，各地网点逐渐形成了多条互联网出口服务不同人员的现状，虽然早期各网络出口已经规划部署了防火墙进行管控和安全防护，但是随着互联网应用的爆炸式增长，传统通过防火墙基于IP\端口的控制已经难以满足国信证券对安全的高要求。

同时一些网络日常应用中的一些问题也引起了国信证券的重视：一些营业网点的互联网出口时常被P2P等业务无关流量挤占，而其他工作人员的正常上网访问体验很差，这样的网络现状对国信下属各营业网点业务的开展造成了一定影响，特别是营业网点往往划分出客户自行上网操作的区域，客户在上网区的一些不正当行为也经常影响到营业网点的上网环境造成影响，但又不能对客户上网区进行不合理的限制，国信证券认为对客户上网区的区别化网络行为管理也势在必行。

泰然九路营业部实战  首选深信服

结合营业部的网络管理现状以及此次网络整改规划的整体要求，国信证券决定首先在业内久负盛名的泰然九路营业部部署相应产品进行试点。

在选择产品方面，国信证券选取了近几年应用广泛的上网行为管理产品。并综合考虑全国性的服务能力以及方案满足性，国信证券决定在泰然九路营业部部署深信服上网行为管理设备，具体部署模式见下图：

泰然九路营业部部署图

在泰然九路营业部，深信服上网行为管理设备以网关模式部署替代了原先部署的防火墙，通过其多线路复用技术，将营业部原有的3条8M线路均做统一接入，并且做到带宽的叠加,并且开启防火墙、网管杀毒双重安全防护措施，有效的提升了营业部网络对外网攻击和病毒的抵御能力。在部署该设备后，泰然九路营业部人员上网必须通过相应的WEB认证，实现上网身份的确认，并且细致的划分权限：所有营业部人员均只能通过大智慧等软件查看即时的股票行情而无法进行交易，既满足了业务需要，又防止了资金操作的风险。但是客户上网区的客户则不受此限制。

在达到身份认证的同时，上网行为管理设备还进行了细致的上网行为轨迹记录，其保存的行为日志量完全满足国信证券对于行为轨迹记录的要求。

此外，为了改善整个营业部的上网环境，部署的上网行为管理设备还实现了对P2P等业务无关应用的合理管控：将P2P下载等无关应用直接进行了拒绝，而对股票行情查看、网页访问等应用实现了至少60%的带宽保障，经过网络优化举措，泰然九路营业部内部客户及内部人员的行情访问效率获得很大程度的提高，而以前时常出现的与外网连接丢包率高的尴尬情况从未出现，有效改善了营业部人员的网络访问体验。

全国应用  全面管控

经过部署上网行为管理产品，泰然九路营业部的网络状况得到彻底的改善，在长达6个多月的考察中，深信服上网行为管理的功能完备性与稳定的品质也获得了国信证券的认可。最终，在2010年国信证券决定与深信服开展深入合作，在分布于全国38个城市的62个营业网点均部署深信服上网行为管理设备，以实现深圳总部及全国各营业网点的网络整改优化，根据全国各营业网点大小规模，深信服科技为国信证券分别选取了共计40台百兆设备、23台千兆设备。经过1个月的部署，现阶段全国各办事处的上网行为管理部署已经上线完毕，其中，利用深信服专门针对规模部署设计的集中管控AC-SC设备，国信证券信息中心实现了全国营业网点互联网出口统一管控，部署情况如下图：  

国信证券全国部署图

针对此次与深信服的合作，国信证券表示：深信服科技提供的上网行为管理整体解决方案有效的满足了国信证券在互联网管理方面的要求，并且考虑到下属营业部较多，所采用的集中管理平台的方式对营业部设备进行集中管理、策略下发、权限控制、状态监控等，有效的减少多设备部署带来的管理成本，另外，总部数据中心的部署，也解决了上网日志的集中存储和统一查询问题。