加强终端安全建设，助力银行数字化转型

中国工商银行软件开发中心  赵春

近年来，随着5G、大数据、云计算等新兴技术的快速发展，信息泄露、网络安全等问题日益凸显，信息安全已成为国家安全的重要组成部分。终端作为企业外部与内部系统连接的切入点，面临着巨大的挑战，特别是在当下全球疫情肆虐，许多人需居家办公的情况下，终端变成了安全攻击的薄弱点。如何建设一套全方位、多层次、高效能的终端安全防护体系已成为迫切需求。作为金融行业的引领者，中国工商银行经过近年的研究实践，已在终端安全领域摸索出一套成熟的管理体系。该体系通过全方位的安全管控、智能化的策略管理实现对工商银行境内外所有终端的服务，有力地保障终端的安全，高效助力银行数字化转型。

全方位的安全管控，筑牢终端安全防线

工商银行终端安全体系包括边界安全、系统安全、数据安全和行为安全四大方面，内容涵盖网络准入、外联及移动存储管控、防火墙、漏洞防护、病毒查杀、敏感信息扫描、文档加密、数据外发管控、非授权软件管理、互联网访问控制、行为监控与处置等，通过全方位的安全管控与加固，构建了工商银行终端安全防线。如图1所示。

图1  中国工商银行终端安全体系

工商银行终端安全体系以保障整体业务安全为导向，按照安全基线的模式做好业务内网安全建设，同时按照安全最小化的基本原则，为业务运行提供必要、安全的外部业务信息交互机制。

工商银行终端安全体系有以下特点。

一是强化终端安全功能整合。以全行业务系统安全运行为总体目标，建设起一个真正整合型的终端安全管理平台和配套终端安全管理机制。实现统一的业务架构和技术架构，将各种类型的终端纳入到统一的管理平台进行集中管控，架构层面的统一保障了所有功能都整合到同一平台，管理界面和系统数据均采用统一机制实现，保障了操作方式的统一性和数据统计的一致性。

二是实现安全策略统一管理。针对工商银行大规模的用户，总分管理权限细分的账户体系保障了全行的统一集中管控效果，定义什么样的用户或终端，在什么样的应用场景下，可以做哪些事、不可以做哪些事，将不同的策略组合以标签形式在管控台提前预置，而后按需推送至终端。按照这种方式使安全管理进入到预定义的状态，再结合平台的智能化机制，在集团网络环境中高效的落实，最终确保安全管理达到预期效果。

三是打造高性能的管理平台。工商银行终端数量庞大，对安全风险需更高效的应对，平台性能是保障业务安全管理效果的重要基础。通过采用成熟的高性能服务器通讯模型，网络通讯和任务执行的分离，保障了通讯处理的高性能；通过采用异步机制和高性能任务处理线程池技术，保障了任务调度及执行的高性能。工行银行终端安全管理平台在各项指标上都处于业内领先水平，比如1万台终端上线在2分钟以内完成，1万台终端的安全策略下发仅在40秒内完成。

智能化的管理模式，让安全与便利兼得

智能化是系统高效、可靠运转的必要保障。工商银行终端安全体系立足于智能化管理，注重用户体验与业务系统环境使用的便利性，为全行员工提供既安全可靠，又方便快捷的服务。

一是工作环境的智能识别。根据定义的不同业务工作环境及对应的安全管控要求，管理者可将不同网络识别的条件预设好。系统平台提供多种配置条件，条件可支持叠加、与或等关系的定义，可支持上百种不同的网络环境识别策略，完整覆盖工商银行终端所有工作环境。终端接入网络时，将自动根据网络条件识别当前的工作环境，并根据识别结果获得相应工作环境的安全管理策略。当终端切换到不同的工作环境时，从发现网络切换，识别当前环境，到更新获得的策略用时小于30秒，如果同时满足多个工作环境，系统可根据管理员预设的等级，执行优先级较高的工作环境策略。通过系统的智能工作环境识别，在保障高效让终端获得相应的安全管理策略时，也大幅降低了运维成本。如图2所示。

图1  中国工商银行终端安全体系

二是终端设备、用户类型的智能识别。在实际管理过程中，经常会遇到需要针对特定人群或终端（不同的职务级别、不同的部门、不同的终端类型），进行专门的管控或授权。终端安全系统平台提供终端设备和终端用户属性的自动识别能力，管理者可以通过系统的收集机制，采集终端设备和用户的真实信息，并且可以自定义个性化信息。系统将这些属性信息存储并建立信息库，管理者可定义终端设备、终端用户或混合型属性标签，在需要针对特定对象进行管理时，以使用预设的标签，符合条件的终端或用户，将自动获得相应的标签管理策略。当终端属性发生了变化，或者有新入网终端符合标签条件，终端将自动识别并取消或获得相应的标签策略。高度智能化的识别机制，较大减轻了管理员的压力，让终端的管理变得更加灵活。

注重成效，助力银行业务快速发展

工商银行终端安全体系通过安全管控功能整合建立了统一的终端安全管理平台，针对全行终端精准定义了保障工商银行业务安全的安全管控策略，并且结合智能化管理模式，使终端安全管理高效的进入到预定义的安全管理状态，在大幅提升了终端用户体验和管理体验的同时，有效实现了面向业务安全的终端安全管理效果。

一是构建了全行统一的安全管理平台，建立了实现终端安全标准化、实时化的管理体系，从权限、数据和交互三个角度有效管控终端安全风险。通过安全功能整合，服务器资源得到较大节约，客户端的CPU、内存资源消耗也大幅下降，终端开机速度提升2~4倍，文档内容识别准确率提高至99%，改善了终端用户的体验，为工商银行业务的安全稳定运行提供了有力保障。

二是通过制定并施加安全管理策略，使得工商银行终端管理规范化、安全配置统一化和安全控制实时化。在全行复杂的业务环境中，非常便利地做到了对每一个业务人员、每一台终端设备、每一个管理场景的精准化安全管理。彻底改变了以往在复杂、庞大的集团业务环境中投入大量管理人力也无法达到的精细化安全管理的水平，减少管理员重复操作，以便集中精力在监控安全状态和安全趋势分析上。

三是运用多种安全技术，包括网络身份认证技术、网络准入技术、外部设备使用控制技术、移动存储介质读写记录技术，提高终端使用的安全性。同时优化内部安全管理体系，从客户端途径、外发邮件、电子文件传输、网络接入途径等实施多维度管理，全面提升终端安全管理水平，确保了业务数据的安全存储与流转，助力银行业务的快速发展。

下一步，工商银行将进一步巩固在终端安全领域的领先优势，与时俱进，实时跟踪终端安全、数据安全等方向的新技术，了解业界发展新动态，加强与头部企业的联合创新，不断完善终端安全体系，持续提升终端安全管理水平和用户体验。工商银行始终以安全为重，追求卓越，为银行数字化转型提供有力保障。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。