随着我国经济的不断进步，以及近年来股市行情的一路走高，“上市”成为一个非常热门的话题，尤其是处于经济发展前沿的金融企业，更是在上市的路上走在了前列。为了保障股民的利益，不论是我国还是其他国家都出台了很多相关的法规，来对上市企业进行控制，这其中较为出名的就是在“安然事件”之后美国出台的塞班斯法案，这个法案中对于上市公司的内部控制提出了很高的要求，不论从审计角度还是从管理角度，都必须满足相关的规定，公司才能够上市。而在我国，也有像《上海交易所上市公司内部控制指引》、《深圳交易所上市公司内部控制指引》这样的有关内部控制方面的法规和规范，为上市公司的内部控制指明了方向。

　　我们以银行的办公局域网为例，来简要的分析一下金融企业目前的内部控制情况：

　　a. 硬件投资大、安全设备多。

　　金融行业的网络建设起步非常早，而其业务的特殊性也使得金融行业对于安全性的重视非常之高。早期的银行业，业务单一，在办公局域网中也没有连接internet的需求，可以说在那个时候，办公局域网的安全性是非常高的。而随着业务的种类不断丰富，许多新的业务的引进也带来了互联网访问的需求，可以说现在的银行网络是一个越来越开放的网络。随之而来的问题，就是这个越来越开放的网络如何面对外界种类繁多的病毒和攻击了。一般来说，银行局域网在部署的时候，在安全方面都有着详细的规范，尤其是在互联网出口的位置，更是部署重兵，诸如防火墙、防水墙、防毒墙、IDS、IPS、代理服务器、流控设备等等安全设备一个都不能少。这一系列安全设备的罗列，的确带来了一定的安全性，但这种集中式的安全部署，将重兵全都部署在出口位置，给内网的安全带来了一些漏洞，例如在某省行办公局域网中，管理员就反映，ids总是报代理服务器在对外发起攻击，而代理服务器是局域网内每台PC访问互联网的必经之路，很明显这是由于某台局域网中的办公PC通过代理服务器发起的攻击，由于安全不够边缘化，又没有身份认证系统，所以这种攻击始终无据可查。

图1经典的银行局域网出口架构

　　另外，现在很多银行的办公局域网都存在私自拨号，私自架设代理的非法外联行为，员工为了满足自己不被监控的互联网访问行为，而私自外联，这无疑将互联网出口处的层层安全部署变成了马奇诺防线，病毒和攻击可以轻而易举的绕过安全设备，进入办公局域网。

　　b. 软件种类多，使用靠自觉

　　除了上面提到的种种安全设备的堆砌外，金融企业还会购买大量的防护软件来加强内网的安全，如资产管理软件、防病毒软件、防火墙软件等等。这些软件保障了办公PC的安全，但不得不面对的一个现实，就是这些软件的使用，完全是基于员工自觉的基础之上。有些员工安全意识淡薄，经常会觉得开着这些安全软件拖慢了机器的速度，于是全都关掉，甚至卸载掉，“裸奔”上网，还有的员工自己重新安装了操作系统之后，什么防护软件都没有安装就联入internet，这些情况在金融局域网中比比皆是。一个普通的省行大楼里，有几百台办公PC，而负责这些PC的网管人员或自动化管理人员不过十人，没有可能一台一台机器去检查，这就使得那些花重金购入的防护软件形同虚设，依据这些软件建立起来的内控系统也土崩瓦解了。

　　锐捷网络GSN全局安全解决方案：

　　锐捷网络GSN解决方案将身份认证、主机安全和网络安全三大部分联动起来，实现了真正的Global Security Network。

　　通过软件或硬件的联动，GSN实现了强制的用户身份认证，强制的用户主机安全检查，强制的用户安全事件处理等功能，将用户PC安全与网络准入结合在一起，保障了入网即安全，不安全不能入网。GSN的几大安全功能包括：

　　a. 网络安全方面

　　1) 完善的主机完整性检测

　　GSN通过获取接入网络的主机信息(软件安装情况、硬件配置、网络信息)来了解主机的情况，管理员通过对主机的安全状态进行判断后，即可制定出对应的主机完整性即HI规则，来保障主机必须/禁止安装哪些软件、必须/禁止开启哪些服务、必须/禁止运行哪些进程以及管理注册表中对应键值的数值，通过这些检测，对主机的安全情况有了一个细致的检测，同时，在检测失败后，给出用户如何修复不安全因素的解决方法，同时，对用户的上网行为进行限制，例如只允许访问修复服务器去下载补丁或这相关软件。

　　通过主机完整性检测的启用，保障了用户安装并开启必须的防范软件和服务，同时对病毒所引起的注册表修改等行为也可以有效的恢复，最重要的是，通过这些行为与网络控制的结合，使得用户必须通过主机完整性检测才能入网，否则就是无法上网办公，保障了安全手段的强制性，也将不安全因素排除在了网外。

　　2) 安全的联动防范网络攻击

　　在GSN的解决方案中，除了传统的入侵检测设备IDS的加入外，还加入了IDS跟安全管理平台SMP的联动，在发现安全事件之后，可以及时准确的定位到攻击的发起者，并通过下发安全策略、警告消息和修复程序来制止攻击者保护被攻击者，必要时可以通过定位攻击者采取行政手段。

　　在ARP病毒防范方面，GSN通过安全网关、安全智能交换机、SMP和SU之间的联动，实现了网关的绑定，ARP表的静态维护，客户端IP-MAC的绑定，通过多重工事的立体防御。

　　b. 网络管理方面

　　1) 入网身份验证

　　GSN利用RG-SAM安全认证系统，配合安全智能交换机RG-S2100系列，实现了入网用户的身份验证，通过IP、MAC交换机端口等多元素绑定，保证入网用户身份的合法性，拒绝非授权用户访问网络，加强了网络的安全性，在发生安全事件时也可以第一时间找到事件责任人。

　　而入网身份验证的多元素绑定，也有效的杜绝了IP地址冲突现象的发生，只有用自己的IP才能登陆上网，而通过BACL漫游功能，也实现了用户在不同地区认证上网的需求。

　　2) 防非法外联

　　通过RG-SAM的防非法外联功能，可以限制接入主机的拨号、架设代理的功能，防止不受控的上网行为发生，将危险置之网外。

　　3) 有效制止违禁软件

　　GSN的主机完整性检测功能可以对用户已安装软件进行检测，并可以通过设置规则来限制用户不能安装/运行某些软件，通过隔离策略来限制用户，如果安装了这些软件则不允许入网，实现了软件的有效限制。

GSN部署的典型拓扑

　　GSN解决方案是一套软硬件联动、网络和计算机联动的解决方案，它由五部分构成：

GSN的组成部分

　　缩略语

　　GSN ：全局安全网络解决方案(Global Security Network)的缩写。

　　SMP ：安全管理平台(Security Management Platform)的缩写。

　　HI ：主机完整性(Host Integrity)的缩写。

　　IDS ：入侵检测设备(Intrusion Detection System)的缩写。

　　安全策略：GSN中用于对接入用户进行处理的方法，实现原理为阻断和允许某些报文在安全交换机上进行转发。