锐捷网络GSN金融行业解决方案

　　随着我国经济的不断进步，以及近年来股市行情的一路走高，“上市”成为一个非常热门的话题，尤其是处于经济发展前沿的金融企业，更是在上市的路上走在了前列。为了保障股民的利益，不论是我国还是其他国家都出台了很多相关的法规，来对上市企业进行控制，这其中较为出名的就是在“安然事件”之后美国出台的塞班斯法案，这个法案中对于上市公司的内部控制提出了很高的要求，不论从审计角度还是从管理角度，都必须满足相关的规定，公司才能够上市。而在我国，也有像《上海交易所上市公司内部控制指引》、《深圳交易所上市公司内部控制指引》这样的有关内部控制方面的法规和规范，为上市公司的内部控制指明了方向。

　　我们以银行的办公局域网为例，来简要的分析一下金融企业目前的内部控制情况：

　　a. 硬件投资大、安全设备多。

　　金融行业的网络建设起步非常早，而其业务的特殊性也使得金融行业对于安全性的重视非常之高。早期的银行业，业务单一，在办公局域网中也没有连接internet的需求，可以说在那个时候，办公局域网的安全性是非常高的。而随着业务的种类不断丰富，许多新的业务的引进也带来了互联网访问的需求，可以说现在的银行网络是一个越来越开放的网络。随之而来的问题，就是这个越来越开放的网络如何面对外界种类繁多的病毒和攻击了。一般来说，银行局域网在部署的时候，在安全方面都有着详细的规范，尤其是在互联网出口的位置，更是部署重兵，诸如防火墙、防水墙、防毒墙、IDS、IPS、代理服务器、流控设备等等安全设备一个都不能少。这一系列安全设备的罗列，的确带来了一定的安全性，但这种集中式的安全部署，将重兵全都部署在出口位置，给内网的安全带来了一些漏洞，例如在某省行办公局域网中，管理员就反映，ids总是报代理服务器在对外发起攻击，而代理服务器是局域网内每台PC访问互联网的必经之路，很明显这是由于某台局域网中的办公PC通过代理服务器发起的攻击，由于安全不够边缘化，又没有身份认证系统，所以这种攻击始终无据可查。

图1经典的银行局域网出口架构

　　另外，现在很多银行的办公局域网都存在私自拨号，私自架设代理的非法外联行为，员工为了满足自己不被监控的互联网访问行为，而私自外联，这无疑将互联网出口处的层层安全部署变成了马奇诺防线，病毒和攻击可以轻而易举的绕过安全设备，进入办公局域网。

　　b. 软件种类多，使用靠自觉

　　除了上面提到的种种安全设备的堆砌外，金融企业还会购买大量的防护软件来加强内网的安全，如资产管理软件、防病毒软件、防火墙软件等等。这些软件保障了办公PC的安全，但不得不面对的一个现实，就是这些软件的使用，完全是基于员工自觉的基础之上。有些员工安全意识淡薄，经常会觉得开着这些安全软件拖慢了机器的速度，于是全都关掉，甚至卸载掉，“裸奔”上网，还有的员工自己重新安装了操作系统之后，什么防护软件都没有安装就联入internet，这些情况在金融局域网中比比皆是。一个普通的省行大楼里，有几百台办公PC，而负责这些PC的网管人员或自动化管理人员不过十人，没有可能一台一台机器去检查，这就使得那些花重金购入的防护软件形同虚设，依据这些软件建立起来的内控系统也土崩瓦解了。

　　锐捷网络GSN全局安全解决方案：

　　锐捷网络GSN解决方案将身份认证、主机安全和网络安全三大部分联动起来，实现了真正的Global Security Network。