国内某大型电器集团A，已经在香港成功上市，是已经具有国际竞争力的民族连锁零售企业。作为知名家电连锁零售品牌，该集团在全国近300个大中型城市拥有直营门店1300多家，旗下拥有众多全国性和区域性家电零售品牌，年销售能力达1000亿元，是我国以家电及消费电子产品零售为主的全国性连锁企业。
目前，在国内已经出现了越来越多这样的大型零售业集团，随着各地业务平台的迅速扩张和现代化水平显著提高，零售业除了需要现代流通方式的支撑，更重要的是先进流通经营与管理技术的推广应用。据网上一个统计显示，北京、上海、广东等地推广先进流通经营与管理技术，发展现代流通，大中型零售商场90%以上都建立了销售时点管理系统（POS），50%以上大中型商场应用了条形码技术，一大批零售企业建立了管理信息系统（MIS），积极应用电子数据交换系统（EDI）和互联网（INTERNET）等现代信息技术，这使得企业信息化建设水平大大提高，加上电子商务的普及，极大地提高了管理水平，降低了流通费用。

      在采访中，我们了解到，文章开头提到的国内某大型家电零售集团A非常重视IT管理对业务的支持，搭建遍及全国的生产网和办公网，不仅部署了防火墙等安全设备来保障访问外网的安全，还开始在总部部署PKI认证体系，通过内部应用实名访问来保障内部信息安全。在谈到信息安全的时候，很多人都会首先想到不受外部的攻击，近些年，大部分企业认识到了内网安全的重要性并不亚于外网，而加强这两个方面的安全性是不是就能满足大型零售业在信息管理方面的所有要求呢？显然不是。

      从世界零售百强的情况来看，大多已经实现商业管理自动化。零售企业广泛使用电子商务系统，如商业电子数据处理系统、客户关系管理系统、管理信息系统、决策支持系统，形成以信息处理为手段的商业自动化管理模式。商业管理自动化渗透到企业的购销、存储业务的各个环节，有些大型的零售集团分支较多，而且关键业务系统（如：ERP等）都属于网络上应用，这样就对网络安全的管理提出了更高的要求。这其中，以信息技术为代表的科学管理技术指明了现代零售业发展的方向。一旦大型零售业集团/公司希望采用全信息系统的管理流程对各个环节进行管理以提高效率、降低成本，就将带来另外一个问题——在保证信息安全的基础上如何进行更为有效的管理。

    安全问题复杂，管理需求突出

      整体而言，大型网络的风险主要来源于四个方面，一是边界安全风险，主要包括黑客攻击、垃圾邮件等；二是内网安全风险，主要包括主机系统漏洞、服务配置不当等；三是应用风险，主要包括Web服务器、文件服务器安全风险等；四是管理安全风险，主要包括安全策略不完善、人员安全意识淡薄等。在以往对重点行业信息安全状况进行分析的时候，我们也注意到每个行业都有自己非常鲜明的需求和特点，比如说教育行业，应用比较丰富而且复杂，那么信息安全的管理主要侧重带宽使用、异常流量防护、不健康类网站访问、网游沉迷及非法言论的阻止等方面；对于能源行业，主要关注带宽的有效使用和上网人员身份的管理和确认，即实名制审计管理。而对于零售行业而言，成功部署过零售集团安全解决方案的科技行业销售部售前工程师张锋表示：零售行业最为重要的安全问题在于管理，而管理内容基本上介于教育行业和能源行业之间，需求主要是在保障关键业务、控制无关应用和内容审计。

      张峰介绍，大型零售行业的网络类型有一个共同点：专网是互联互通的，网络的搭建主要是由集团总部的IT部门搭建完成和管理，分支单位一般无专职IT人员管理。但是互联网络的情况主要有两种：一种是每个分支单位有独立互联网出口，互联网的使用由当地人员和总部专业IT人员共同负责（如国美集团）；另外一种是所有分支单位通过专网连到总部，通过总部统一的互联网出口访问互联网，互联网的管理由总部统一管理，总部管理压力较大（如苏宁集团）。而无论哪一种，其共同的问题是互联网业务流量无法保障：员工在上班时间进行P2P下载占用了大量带宽，导致关键业务无法稳定运行；除此以外，互联网的安全防护压力也很大，原因是各地分支管理条件有限，缺乏网络故障诊断能力，网络病毒泛滥、黑客工具的滥用，这些来自内部用户的异常流量都可能侵害广域网出口带宽，抢占网络接入设备的系统资源，最终造成广域网出口的阻塞和瘫痪，互联网非法内容的收发带来的安全、法律风险：内部员工有意无意的浏览含有恶意代码的页面，会给企业局域网带来很大的安全风险；BBS、博客的访问可能导致敏感言论外泄和非法言论的传播。

    所以，他认为针对这些大型零售企业，安全的需求主要是三个方面：
    1． 关键业务带宽保障：电子商务及报税系统等；
    2． 对无关应用进行控制：炒股、网络视频、P2P、IM等；
    3． 内容审计和过滤：发帖、文件审计，在于法律风险规避和防止信息外泄

      而大型零售业集团“分散式的网络分布”，尤其是互联网出口的相对独立给大型企业的网络安全管理增加了很多难度，比如说：分散在各地的分支单位无专业IT人员进行互联网管理；面对各种应用层的网络应用，传统的网络设备、安全设备束手无策；互联网基本无有效审计管理手段，且审计管理策略不能统一，有些乱；企业办公对互联网的需求和员工对互联网资源的无序使用是一对矛盾体，引发了安全管理的很多问题，诸如企业带宽被恶意占用、虚拟娱乐降低了员工的工作效率，此外，员工无意识的访问高危类网站（如病毒、色情、钓鱼式，木马类网站），包含中了木马病毒对外发包造成网络中断的情况时有发生。非法言论也会给企业带来法律风险，同时，敏感信息通过互联网外泄也会给企业带来一定的损失。这些都要求安全企业在为大型零售业的信息系统进行安全防护的同时要注意对员工行为的管理。

    集中管理与分散部署

      以往，在记者接触的重要行业中，只有教育行业显示出明显的“管控”需求，其实上网行为管理这个概念在记者的眼中不仅仅是一种产品，更是一种理念，是从源头上对可能造成复杂网络问题的根源进行杜绝，这种思想应该算作是我们以前听到的一种落在实处的“主动防御”。

      据张峰介绍，就上网行为管理设备部署的情况来看，包括文中提到的家电零售业巨头A集团在内，上网行为管理系统的价值就在于帮助企业把互联网的管理和技术进行融合，落到实处，从而帮助企业实现“上好网，用好网”。对上网行为的管理不仅有助于提升企业形象，而且通过对电子商务系统关键带宽的保障，使得网上电子购物变得快捷通畅。另外企业互联网带宽的合理使用，有效保护了企业的投入，避免无节制的财务重复投入。通过规范员工工作时间的互联网行为，有效提高了员工的工作效率。

      在部署中，采取了分布式部署，就拿电器零售集团A来说，张峰说，在A集团的北京总部、7个大区、45个分公司，各互联网出口部署都安装了上网行为管理，提供完整的互联网行为管理解决方案，首先以A集团北京总部的网络拓扑结构为例，将上网行为管理设备部署在出口路由器与核心交换机之间；其次，由于北京总部有两个互联网出口，因此分别部署了两台设备来分别管理每个出口的流量；再次，其他各大区与分部的设备部署位置也采用透明网桥模式，串接在防火墙与交换机之间；总部可通过集中管理平台向下分发管理策略，对各分支上网行为进行统计分析，达到网络管理的统一性。这样一来，基本上可以屏蔽与工作无关的网站访问，提升员工的工作效率，过滤非法网站，避免法律风险，阻塞了如P2P协议等占用带宽巨大的非工作协议，禁止如QQ等聊天工具减少带宽浪费，优化网络。对所有外发信息进行记录，包括电子邮件、BBS论坛言论和即时通讯软件。实现用户行为控制和审计。评估出口带宽状况，分析评估用户上网行为管理情况，规范员工上网行为。减少病毒、内部攻击等网络异常隐患，提升出口链路的可用性。

    张峰表示：之所以这么做，出于四个方面的考虑，而这四个方面也是所有零售业所共有的要求：
    1. 大型零售企业需要统一的上网行为审计和管理规范，以满足企业和国家的相关法规；
    2. 需要保障关键业务的带宽
    3. 需要提升员工的工作效率
    4. 要实现上网行为的分级分权管理

      在采访中，我们发现，其实零售行业信息安全的需求，相比其它大型行业，确实有特殊性，因为它不仅有着众多的分支机构，而且存在着专业人员极度欠缺的状况，跟以前做过的教育行业、电信、石油等大型行业相比，使员工专注于本职，减少非业务性的网络应用，合理优化总部及各分支机构出口带宽，保障核心业务流的顺畅，杜绝网络资源滥用减少各地网络的病毒的入口点，控制来自互联网的病毒在局域网的流行显得更加重要。另外，一些企业原本采用的一些服务，要求任何新增系统必须能够与原有应用进行整合，因为要实现集中管理，网络设备必须能够承受住流量和负载的考验。针对目前越来越多的采用了网络销售的零售企业来说任何安全产品还必须有稳定的软硬体系作为基础：通过流量负载测试等一系列检测工序的硬件设备和久经考验的软件系统才能保证持续稳定的运行效果，保证用户日常使用中的零故障，这就对信息安全企业的资质和服务提出了更高的要求。

     目前，国内零售业呈现规模扩张的特点，零售企业门店数量日益庞大，零售企业已开逐步向追求效率、寻求差异化竞争的阶段过渡。如何对分散的大量门店网络信息系统进行有效安全管理，已成为零售企业面临的主要问题，这正是这一行业带给信息安全产业的重大机遇。另外，国家对互联网上网行为也提出明确合规管理要求。公安部82号令《互联网安全保护技术措施规定》中明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件，并对网络中的违法信息进行管理。根据调查数据显示，以上事件呈逐年上升趋势。如何打造安全高效的上网环境、规范网络行为，保证网络系统正常运行，满足企业内部控制需要，已经日益成为零售企业重点关注的问题。

      互联网作为一个拥有完全社会特征的虚拟环境与现代企业办公环境，其管理与企业管理密不可分，然而互联网的管理复杂度远超过企业网的管理。国家《互联网安全保护技术措施规定》、《信息安全等级保护》、《企业信息系统风险管理》等安全指导，均对企业互联网访问的控制、审计提出要求。

      对于上市企业，随着美国SOX法案的生效，由国务院批准、财政部牵头发起，证监会、国资委共同参与成立的“企业内部控制标准委员会”在北京成立，并即将全面开始推行《企业内部控制基本规范》，这意味着我国企业在内部控制方面迎来了一部标准体系法案，这对于A集团的内部管理提出挑战，也为信息安全厂商创造了更大的机遇。