某上市证券公司：管控文件交换行为保护核心数据资产-编程知识

客户简介

某上市证券公司成立于2001年，经营范围包括：证券经纪、证券投资咨询、证券承销与保荐、证券自营等。经过多年发展，在北京、上海、深圳、重庆、杭州、厦门等国内主要中心城市及甘肃省内各地市设立了15家分公司和80余家证券营业部。2009年成功保荐首批创业板上市企业发行上市，成为首批保荐企业在创业板上市的全国17家证券公司之一。未来，公司将以经纪、投行等传统业务为主体，以资本型中介业务和资本投资业务为两翼，以创新业务为驱动，以机制改革、业务创新、规模扩张、品牌建设为抓手，把公司打造成为治理健全、风控有效、专业精湛、收益良好的现代金融控股集团。

建设背景

为了确保其内部核心资产的安全性，该证券公司内部用防火墙做了网络隔离，划分了生产网和办公网等网络区域。网络隔离之后在日常工作中存在用户需要把文件数据从生产网的工作站终端发到办公网PC终端换的业务需求。早期采用双网卡FTP方式进行数据交换，不符合国家等保合规的要求。后采用堡垒机方式进行数据交换。

在实际业务过程中遇到各种问题和挑战：

· 用FTP方式从生产网向办公网进行数据交换时，没有任何的审批流程，缺乏相应的安全机制，比如内容检查、病毒查杀等，整体合规性较差，难以实现安全管控，存在一定的数据泄露风险

· 使用堡垒机方式从生产网向办公网进行数据交换时，堡垒机虽然可以监控用户的操作，但在进行数据交换时，没有数据交换的审批流程，也缺乏相应的安全机制，比如内容检查、病毒查杀等，难以实现安全管控，存在一定的数据泄露风险

· 使用堡垒机方式从生产网向办公网进行数据交换时，面对复杂的传输场景，尤其是传输大体量文件时，传输中断、错误时有发生，整体可靠性较差，全程需要人工介入，随时处理传输异常操作，人力成本较高，业务时效性得不到保障

· 使用堡垒机方式从生产网向办公网进行数据交换时，缺乏数据交换全流程的日志记录，难以实现审计和事后溯源的要求

因此，原有的文件数据交换方式已无法满足该证券公司的业务需求了，该证券公司需要建立一套稳定可靠、简单便捷、可管可控的数据交换通道，满足交易员合规跨网数据的交换需求，同时对跨网交换行为可管、可控、可审计。

▪解决方案

该证券公司在生产网和办公网中分别部署了Ftrans跨网文件安全交换系统，建立了统一、安全、可控的跨网数据交换通道。

系统内置了灵活的审批流程，为不同部门用户定义不同审批策略，实现精细化安全策略管理，确保文件合规的进行交换，满足大文件和海量小文件便捷的文件跨网交换。可对文件交换过程进行全面的日志记录，包括文件上传/下载/收发和审批动作，可以追溯交换的原始文件。可对文件设置有效期，到期后自动清理归档，优化空间资源占用。

建设亮点

丰富灵活的审批流程，满足不同部门各种合规需求

可以根据收发件人所在的部门、用户组、标签、管理角色、IP地址等20余种条件进行设置，自动触发不同的审批流程，并且支持逐级审批的方式，比如以部门主管逐级审批、以汇报人指定级别逐级审批等，满足不同部门的各种业务需求。

完整的日志留痕，数据流向清晰可控

系统提供业内最全面完整的日志记录，从文件包创建、发送、审批，到访问、下载等均有记录以备审计，不仅可以审计操作记录，还能审计原始文件，从而降低各个层面的安全风险。并且预制多维度统计图表，便于管理员下载查询。

各工作空间独立管理，实现差异化的协作模式

独有的”工作空间”体系结构，各工作空间逻辑隔离，可独立定义成员范围、角色权限、应用功能、管控策略，轻松实现差异化的协作模式和管理策略。

多重安全保护策略，全方位保障信息安全

系统内置多重安全策略，包括前置机部署架构，满足等保及行业规范要求；传输过程全加密，确保交换过程数据完整与安全；内置防病毒引擎，自动防病毒检查，防止病毒扩散。另外还有内容检查、在线预览等，全方位保障信息安全。

大规模文件可靠传输，保障关键业务高效运行

内置独有的CUTP高性能传输协议，通过大文件虚拟分块（TB级）、智能增量传输、多级并行传输技术、断点续传、错误重传、一致性校验等多重手段，实现稳定可靠的文件传输，充分保障关键业务持续、高效、可靠运行。

过期文件自动清理，降低IT运维工作量