金融机构借助上网行为管理控制IT风险

核心提示： 由于金融机构掌管着大量的敏感数据，不能仅仅依赖防毒软件、间谍软件和封锁广告软件产品来确保互联网的安全，金融机构借助上网行为管理控制IT风险(2)，相反，金融机构应该把安全的重点移动企业内部来，当员工有泄漏公司机密等不法的行为时，审计单位可以从摄录内容进行审计与记录回放，据统计，网络安全事件

由于金融机构掌管着大量的敏感数据，不能仅仅依赖防毒软件、间谍软件和封锁广告软件产品来确保互联网的安全。相反，金融机构应该把安全的重点移动企业内部来，据统计，网络安全事件有绝大部分的攻击、漏洞和威胁来自于企业内部。例如，员工上网留下电子邮件地址或因上网后中了间谍软件，可能会招致垃圾邮件，会造成邮件服务器宕机或网络堵塞，更有甚者因收到"不当内容广告"或"钓鱼信件"后，直接读取邮件中"链结网址"，可能会触犯相关法律因而危害到企业本身。"聊天工具"或"网页邮件"为不法泄漏公司机密的人开启了一个便利通道，这些人可轻易的将公司内部重要信息传送到企业外部，为企业与客户带来莫大的损失。

以上的问题都是来自于员工无意或有意的不当网络行为所产生，8e6科技公司大中国区总经理连邦俊说："国内金融行业的信息化日益成熟，网络安全也成了信息化后随之而来的保护工作。各大企业该如何把这些危险解决于'未然'之前，或在问题发生之际能倒查找到问题的根源即时解决问题并保护企业的安全？一旦开放员工使用互联网，金融机构的内控与IT风险管理一定要考虑员工上网行为的审计与管理，建立一套网络安全行为管理策略，监管员工上网行为并通过'正确引导'与'使用规范'协助员工安全使用网络，才能有让内控与IT风险管理更加全面。"

安全需要从控制着手

要有效地防范网络病毒，最有效的方式即是通过Web访问控制、间谍软件与恶意程序阻挡、IM与P2P使用控制等上网行为管理，起到防患于未然的作用。这样不仅可以防范问题的发生，并且可以大幅降低因病毒入侵IT 系统让关键企业活动受到严重故障或灾害的风险。完整记录员工的上网行为也行之有效，因为网络管理人员能够从上网行为与记录中的各类分析报告当中，获取目前企业内部网络潜在的网络安全风险，从而得以依据报告中显示风险系数的优先级别对症下药，进行安全相关产品的采购，确实达到防护的效果。对于金融机构而言，有时需要一些安全事件的历史记录。当员工有泄漏公司机密等不法的行为时，审计单位可以从摄录内容进行审计与记录回放，从而更有效地监控员工的非法行为。