構(gòu)建高可靠性和高安全性的信息化網(wǎng)絡(luò)系統(tǒng)是銀行、證券等金融企業(yè)業(yè)務(wù)運營的前提保障。民生銀行作為首批上市的商業(yè)銀行之一,為保證其金融、信貸等業(yè)務(wù)的保密性和安全性,迫切需要一個安全、高效、穩(wěn)定運行的信息化辦公系統(tǒng),其中對客戶終端認(rèn)證做集中統(tǒng)一控制,應(yīng)用一致的用戶安全策略,保證用戶終端的健壯性、阻止病毒等威脅入侵網(wǎng)絡(luò),是保證辦公網(wǎng)絡(luò)安全運行的前提。
案例規(guī)模
一期共4000點,二期共20000個信息點
管理需求
防止非法接入。限制非法筆記本電腦或非授權(quán)、外來用戶接入隨意使用網(wǎng)絡(luò);
防止非法外聯(lián)。禁止任何方式(包括使用撥號、雙網(wǎng)卡等)使終端用戶可同時訪問辦公、業(yè)務(wù)網(wǎng)和Internet;
身份唯一性。強制用戶使用系統(tǒng)分配的IP地址,不允許其隨意修改IP地址配置,對登錄內(nèi)網(wǎng)的用戶進行唯一性身份認(rèn)證,杜絕帳戶盜用、PC機盜用等;
上網(wǎng)日志審計。提供終端訪問網(wǎng)絡(luò)的詳細(xì)上網(wǎng)日志信息和強大的管理查詢功能,便于管理員定位問題。
解決方案實施
針對上述終端接入控制需求,H3C公司憑借其擁有自主知識產(chǎn)權(quán)的EAD解決方案為民生銀行量身定制了特色化的實施策略,其網(wǎng)絡(luò)拓?fù)淙缦聢D所示:
應(yīng)用效果
- 用戶身份管理及安全控制策略
為了嚴(yán)格控制用戶的網(wǎng)絡(luò)接入,使用接入層設(shè)備啟用802.1X認(rèn)證,并且采用綁定用戶名/密碼/MAC/網(wǎng)絡(luò)接入設(shè)備端口的身份驗證策略,有效限制了用戶訪問網(wǎng)絡(luò)的區(qū)域,并堅決杜絕了外來和未授權(quán)用戶非法使用網(wǎng)絡(luò);利用EAD的可自定義多種附加信息功能由用戶輸入單位、部門、姓名、密碼等信息,由管理員審核后方可開通權(quán)限,外來用戶沒有經(jīng)過審批無法接入網(wǎng)絡(luò)。
用戶終端通過DHCP動態(tài)獲取IP地址上網(wǎng),使用H3C安全認(rèn)證客戶端(H3C iNode智能客戶端,以下簡稱iNode客戶端)可以限制IP地址必須使用DHCP動態(tài)獲取方式以及檢查MAC地址是否修改,有效地防止了MAC仿冒盜用帳號和私設(shè)IP導(dǎo)致IP地址沖突的情況發(fā)生;同時通過禁止接入終端使用多網(wǎng)卡來限制用戶無法同時訪問業(yè)務(wù)網(wǎng)及Internet。iNode客戶端和接入設(shè)備H3C S3600系列交換機還可以在終端用戶正常接入后禁止用戶擅自修改IP地址,從根本上杜絕了用戶擅自修改IP的狀況。
EAD安全策略服務(wù)器與iNode客戶端配合可以對各種外聯(lián)或代理進行禁止。無論用戶采用何種方式,包括IE代理、雙網(wǎng)卡以及內(nèi)網(wǎng)用戶通過Modem上網(wǎng)等都可以進行控制,上述禁止方式和策略可以靈活組合來滿足用戶各方面的安全控制需要。
- 豐富的問題終端定位手段
利用EAD解決方案的強大用戶管理維護和數(shù)據(jù)審計等功能,民生銀行IT管理員的日常維護和管理工作量大大減少,他們還利用EAD生成的訪問量、用戶訪問時長/流量等報表,對員工的工作量、網(wǎng)絡(luò)使用頻率和效率做分析,不斷優(yōu)化管理措施和網(wǎng)絡(luò)規(guī)劃。
針對用戶終端的上網(wǎng)行為,EAD提供的詳細(xì)上網(wǎng)明細(xì)(包括用戶帳號信息,用戶的IP/MAC地址,接入?yún)^(qū)域的設(shè)備IP/端口號/VLAN ID,上下線時間,上下行流量等)、安全日志(違規(guī)安全事件詳細(xì)內(nèi)容/發(fā)生時間及相應(yīng)處理結(jié)果等)和系統(tǒng)日志為民生銀行的IT管理員提供了豐富的定位問題終端、解決終端網(wǎng)絡(luò)接入問題以及系統(tǒng)維護的手段和方法。
