近年來,中國銀行堅(jiān)持把強(qiáng)化網(wǎng)絡(luò)安全控制建設(shè)作為固本強(qiáng)基,保證銀行經(jīng)營活動(dòng)健康運(yùn)行的一項(xiàng)基礎(chǔ)性工作來做,大力構(gòu)建安全控制體系,以有效防范和化解金融風(fēng)險(xiǎn),消除安全隱患。2008年上半年,中國銀行安全控制三道防線體系組織建設(shè)已落實(shí)到位,并進(jìn)一步完善了安全檢查、安全整改和安全考核等相關(guān)工作流程和機(jī)制,同時(shí)進(jìn)一步完善了《中國銀行操作風(fēng)險(xiǎn)管理政策框架》。
作為內(nèi)控體系的關(guān)鍵一環(huán),中國銀行網(wǎng)絡(luò)部門非常重視終端用戶準(zhǔn)入控制和安全合規(guī)方面的建設(shè)。而原有的桌面管理軟件只能提供資產(chǎn)管理功能,無法解決用戶準(zhǔn)入及安全合規(guī)問題。經(jīng)過一年多的選型和現(xiàn)場(chǎng)測(cè)試后,中國銀行最終選定并部署了H3C公司的iMC EAD終端準(zhǔn)入控制解決方案,與原有的Cisco設(shè)備和新增的H3C設(shè)備配合,對(duì)客戶終端認(rèn)證做集中統(tǒng)一控制、應(yīng)用一致的用戶安全策略,保證用戶終端的健壯性,阻止病毒等威脅入侵網(wǎng)絡(luò)。
EAD在中國銀行的部署
H3C為保證客戶的最高安全性,采用了接入層802.1X的部署方案,與Cisco2950、H3C S3600等系列交換機(jī)配合,提供準(zhǔn)入控制,有效防病毒、補(bǔ)丁自動(dòng)升級(jí)等,保證高安全。同時(shí),網(wǎng)絡(luò)中心部署一套iMC網(wǎng)管平臺(tái)、iMC UBA用戶行為審計(jì)系統(tǒng)、iMC NTA網(wǎng)流流量分析系統(tǒng),通過原C6509交換機(jī)提供的NetFlow流量數(shù)據(jù),對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理,對(duì)非法用戶的上網(wǎng)行為進(jìn)行審計(jì),對(duì)異常流量進(jìn)行實(shí)時(shí)的流量分析。目前,共計(jì)部署終端用戶約4500點(diǎn)。
EAD與思科2950交換機(jī)配合
H3C EAD可與思科2950以上系列的交換機(jī)配合,實(shí)現(xiàn)標(biāo)準(zhǔn)的終端準(zhǔn)入控制功能。目前已經(jīng)測(cè)試過的還有C3550、C3750、C4500等系列交換機(jī)。
EAD雙機(jī)備份
EAD不僅支持雙機(jī)冷備,也支持雙機(jī)熱備(需要額外增加一臺(tái)磁盤陣列柜),有效提升了系統(tǒng)可靠性。中國銀行采用了雙機(jī)冷備方案,其中一臺(tái)作為主服務(wù)器(安裝iMC、EAD),另一臺(tái)作為備份服務(wù)器(安裝iMC、EAD),互為備份。在第三臺(tái)服務(wù)器上安裝UBA/NTA。
AD域統(tǒng)一認(rèn)證
中國銀行擁有多套應(yīng)用系統(tǒng),每個(gè)應(yīng)用系統(tǒng)都需要用戶名和密碼進(jìn)行登錄。為了便于管理,中國銀行采用Windows AD域來作為統(tǒng)一的用戶帳號(hào)管理系統(tǒng)。
在部署EAD時(shí),中國銀行采用了AD域統(tǒng)一認(rèn)證方案。用戶登錄EAD時(shí),使用自己的AD域帳號(hào)和密碼進(jìn)行登錄,EAD系統(tǒng)會(huì)自動(dòng)把AD域帳號(hào)和密碼傳給Windows AD服務(wù)器進(jìn)行驗(yàn)證。認(rèn)證通過后,用戶可以正常接入網(wǎng)絡(luò),同時(shí)自動(dòng)登錄到所屬的AD域。
EAD與McAfee防病毒、WSUS補(bǔ)丁管理系統(tǒng)聯(lián)動(dòng)
中國銀行采用了McAfee防病毒軟件和WSUS補(bǔ)丁管理系統(tǒng),這些都可以跟EAD配合,從而使過去的單點(diǎn)防御,變?yōu)橥暾捏w系化安全防御。
基于Guest VLAN的隔離方式
EAD與Cisco交換機(jī)配合時(shí),采用基于Guest VLAN的隔離方式,即通過二層VLAN方式來隔離不安全用戶。
而EAD與H3C交換機(jī)配合時(shí),采用基于ACL的隔離方式,即通過三層ACL方式來隔離不安全用戶,比Guest VLAN更安全。
中國銀行部署EAD時(shí),在Cisco環(huán)境下采用Guest LAN隔離方式,在H3C環(huán)境下采用ACL隔離方式。
與NetFlow配合
UBA和NTA都可以支持NetFlow日志,實(shí)現(xiàn)用戶審計(jì)和流量分析。
中國銀行部署時(shí),在核心交換機(jī)C6509上開啟NetFlow功能,將流量日志信息同時(shí)發(fā)給兩個(gè)不同的IP地址,即UBA和NTA。
基于用戶的行為審計(jì)與流量分析
中國銀行同時(shí)部署了EAD、UBA、NTA,通過EAD與UBA/NTA的聯(lián)動(dòng),實(shí)現(xiàn)了基于用戶的行為審計(jì)和流量分析。
用戶評(píng)價(jià)
通過切身的使用體驗(yàn),中國銀行給予了iMC EAD終端準(zhǔn)入控制解決方案高度的評(píng)價(jià):“iMC EAD系統(tǒng)的部署,滿足了近期中國銀行對(duì)于安全準(zhǔn)入控制管理的要求,有效解決了網(wǎng)絡(luò)病毒傳播的情況,對(duì)外來用戶能夠靈活控制接入權(quán)限,大幅提升了網(wǎng)絡(luò)的安全性,工作效率得到提升。”
