作為國家關鍵基礎設施，金融機構核心業務系統,存儲了大量公民個人信息和敏感信息，一旦遭受攻擊，將嚴重危害國家安全、國民經濟、人民生活和社會公共利益。當前，網絡安全威脅日益加劇，關鍵基礎設施屢遭攻擊，數據泄漏事件時有發生。傳統觀點認為，將內聯網和互聯網物理性隔離是最安全的，但為了保持與客戶交流的便利性和友好性，近年來互聯網終端大量介入整個金融服務體系。雖然金融機構在網絡設施、信息系統管理方面不斷加強等級保護，但互聯網終端存在并積累的隱患逐漸成為了金融機構信息安全事件頻發的一個新區域?；ヂ摼W終端行為管理亟待加強。 

習近平總書記一再強調網絡安全的重要性，它關系到國家安全，關系到經濟社會的穩定運行，關系到廣大人民群眾的切身利益。2017年6月1日正式實施的《網絡安全法》為網絡安全提供了法律依據，對企業組織網絡安全提出了強制性要求。網絡安全不再局限于遵從性，而是對結果負責。近年來，金融機構以符合信息安全等級保護要求為標準，構建信息安全體系，采取多種技術手段增強安全防范能力，在保障互聯網應用系統安全方面，投入了大量人力、物力、財力。比如在互聯網區邊界部署了IPS入侵檢測系統、負載均衡設備和多層異構防火墻，來抵御非法入侵。比如部署應用防火墻WAF對應用系統的網絡的數據流量進行監測，防止入侵者的蓄意破壞和篡改。比如在每條互聯網公網鏈路部署防DDOS攻擊專業設備，有效防御從互聯網對應用系統發起的DDOS攻擊。還比如新增日志分析設備，專門用于分析IPS、WAF設備的告警日志，大幅度的提高了互聯網應用系統的安全性。這些措施的實施，切實保障了網絡和信息系統穩定、安全、高效運行。

但隨著新的網絡技術的飛速發展和應用的發展，在做好如上數據設備和系統管理方面工作基礎上，對數據信息的交互行為保護逐漸成為網絡安全的主戰場。2018年11月30日，公安部網絡安全保障局發布了《互聯網個人信息安全保護指南（征求意見稿）》，對如何從行為端規范個人信息數據的采集、使用作出了更為詳細和具體的規范。其所釋放的重要信號就是做好數據信息保護，不僅僅要做好互聯網應用系統安全保障，更要注重互聯網終端行為，應有效加強互聯網終端行為的安全性管理。

隨著移動支付、5G的發展，大數據時代以新的增速進入到我們的生活。大數據時代也是數據和隱私保護最為脆弱的時代，而作為大數據應用的前端，必然離不開互聯網終端的行為管理。目前金融機構互聯網網站的IP地址使用情況已在公安系統進行備案、管理、監控，但是互聯網終端的行為管理仍存在著很多隱患。之所以產生這些隱患，與互聯網終端管理的困難密不可分，總結起來，互聯網終端管理面臨著如下三方面問題。

1.互聯網上網行為管理費用高、投入大

為了營造良好的服務環境，部分金融機構營業網點為消費者提供免費的WIFI上網服務，使得外來人員和內部職工使用互聯網進行違法犯罪行為大大增加。但是，應對這些行為管理需要部署統一身份認證系統、具備防病毒等功能的防火墻、上網行為管理、日志管理系統等，并建立一支具備專業技術能力的管理隊伍負責日常運維管理，而這些投入需要一定的資金、人力、物力，費用高、投入巨大。

2.互聯網接入形式多樣化、點位分散

隨著互聯網應用的普及和發展，互聯網接入的形式也越來越多樣化。比如互聯網終端類型，臺式機、筆記本電腦、iPad、智能手機等等，形式多樣。另一方面，接入的地點也無處不在，企業場所、家庭居所，接入方式也有百兆光纖、3G、4G以及無處不在的WiFi等多種情況,在未來幾年，通訊網絡將會是以往形式與5G并存的時代，互聯網終端行為管理的環境將會越來越復雜。

3.信息泄露路徑多，主觀故意行為防不勝防

目前可知的泄露信息的途徑主要有以下幾種：終端中植入木馬；黑客的網絡釣魚WiFi或自己的WiFi被詐騙；移動電話云服務帳戶被盜(由弱密碼或碰撞庫或服務提供商漏洞等原因引起)；移動電話云服務帳戶被盜；具有隱私權的應用程序供應商服務器被黑客控制；網絡釣魚網站被通過偽基站短信和其他導致重要賬戶密碼泄漏的手段訪問；惡意黑客通過攻擊便攜式設備電池來控制設備；黑客監控GSM標準網絡的SMS等等。因為這些渠道的存在，若主觀故意行為是謀取私利，則必然會不斷突破技術控制，挑戰防守陣線的軟硬件實力。

盡管網終端行為管理存在眾多難點，但在現代經濟邁向互聯網、物聯網的大潮中，必須要面對這些難點突破技術和管理的瓶頸，創造良好的互聯網環境以滿足人們日益增長的對美好生活的需求。筆者認為，做好互聯網終端管理，要抓住三個重要環節。

1.以提升全員思想意識為前提

強化網絡安全制度建設與落實,關鍵在人、關鍵靠人。多項調研表明，內部人員的疏忽大意或刻意剽竊，是造成重要數據外泄的主要原因。因而，加強思想強化，落實《網絡安全法》增強法制觀念，提高全員的網絡安全意識，通過落實網絡安全責任增強違規成本，是全面落實安全生產責任制的前提。

在此基礎上，使得全員自覺掌握知識和技能，養成良好工作習慣。如確保密碼安全，謹防密碼被盜；勿上非法網站;安裝正版的防病毒軟件，并及時升級；安裝具有漏洞修復功能的軟件，定期修補漏洞；不接收來自QQ、MSN可疑文件等等。讓網絡安全防范和自我保護意識成為防止互聯網違規行為的第一道屏障。

2.采取技術措施是重要基礎

大數據源頭來自內部網絡，要加強技術和管制措施以確保數據的可用性、完整性和機密性。通過制定敏感數據保護標準，部署文檔安全管理等系統,綜合應用訪問控制、身份認證、數據脫敏、打印文件水印等技術手段，降低數據面臨的泄露、竊取、非授權使用等安全風險。通過對接入網絡的計算機終端設備進行準入控制管理，安裝防病毒軟件并定期更新病毒庫，建立統一的防病毒策略等方式，阻斷外部入侵的路徑。通過改變傳統數據中心建設的思路，比如采用超融合技術，把數據計算、網絡通訊、數據存儲和安全資源等分離開來，增強數據鏈層和獲取難度。

在另一方面，加強數據提供者和使用者的制度性分離。比如，由技術人員在數據分析平臺后臺數據庫中進行手工查詢，并將結果交付需求部門人員。在部分金融機構，一種“數據交付平臺”正在研發并投入使用。其原理為，為協助開展客戶營銷，業務部門需要大量的個性化數據需求。本著“將處理結果加密統一存放于信息科技部設置的數據交付平臺上進行交互”的原則，將數據需求者和數據提取者進行了分離，增強了數據流動中的保密性與安全性。數據交付平臺匯總了數據對外統一輸出接口，在數據工單處理后通過統一接口對外進行輸出，也減少了后續溝通成本。目前，該類平臺已經能夠做到通過增加用戶權限設置，提升了數據使用安全性；通過數據結果的緩沖數據庫，方便搜索、查看，提升使用便利性；通過默認數據結果的時間設定，到期自動清理，增強數據使用的嚴肅性。

3.落實管理制度是關鍵

為了實現真正安全的網絡環境，金融機構需要“內外兼修”，內部和外部的行為管理，缺一不可。加強內部管理，加強內部行為的技術監測與審計，規范員工上網行為，是彌補外部攻擊造成損失的一項重要補充。目前，互聯網行為管理產品已經在實踐中得到應用和檢驗，其通過要素跟蹤與設定，實現對員工互聯網行為的全面、靈活的策略設置，使得防范從被動響應轉變為主動預警。此類系統可以實現上網用戶的身份認證，以屏蔽員工對非法網站的訪問；通過電子郵件、即時通訊、論壇發布的內容監控和審核，阻止非法信息的瀏覽和發布；通過管理系統日志審計分析系統，對泄露信息行為進行追溯；通過應用層帶寬管理功能，有效地防止、限制P2P等嚴重消耗帶寬的應用。

未來的世界將是數據的世界，數據已經成為企業競爭乃至國家競爭的重要資源?？萍嫉陌l展日新月異，防守與進攻永遠是一個博弈的話題。需要清醒的認識到，數據安全技術是后發科技，其本身不能100％保護信息，數據安全技術需要不斷的在漏洞產生的基礎上進行增強。但有一點無法改變，那就是“人”始終是信息安全最重要的因素，不論是分散使用的筆記本電腦還是各種手機，使用者的自覺、自律，以及技能,才是有效保證終端數據安全的最關鍵所在。因而，即便互聯網終端的變數亦步亦趨復雜多變，只要內外兼修，抓住行為管理，很多風險都能夠得到最大程度的遏制。