• <strike id="fdgpu"><input id="fdgpu"></input></strike>
    <label id="fdgpu"></label>
    <s id="fdgpu"><code id="fdgpu"></code></s>

  • <label id="fdgpu"></label>
  • <span id="fdgpu"><u id="fdgpu"></u></span>

    <s id="fdgpu"><sub id="fdgpu"></sub></s>
     首頁 > 新聞 > 國內(nèi) >

    華三iMC EAD終端方案滿足中國銀行的安全控制

    2015-05-22 15:53:59   作者:   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:


      近年來,中國銀行堅(jiān)持把強(qiáng)化網(wǎng)絡(luò)安全控制建設(shè)作為固本強(qiáng)基,保證銀行經(jīng)營活動(dòng)健康運(yùn)行的一項(xiàng)基礎(chǔ)性工作來做,大力構(gòu)建安全控制體系,以有效防范和化解金融風(fēng)險(xiǎn),消除安全隱患。2008年上半年,中國銀行安全控制三道防線體系組織建設(shè)已落實(shí)到位,并進(jìn)一步完善了安全檢查、安全整改和安全考核等相關(guān)工作流程和機(jī)制,同時(shí)進(jìn)一步完善了《中國銀行操作風(fēng)險(xiǎn)管理政策框架》。

      作為內(nèi)控體系的關(guān)鍵一環(huán),中國銀行網(wǎng)絡(luò)部門非常重視終端用戶準(zhǔn)入控制和安全合規(guī)方面的建設(shè)。而原有的桌面管理軟件只能提供資產(chǎn)管理功能,無法解決用戶準(zhǔn)入及安全合規(guī)問題。經(jīng)過一年多的選型和現(xiàn)場(chǎng)測(cè)試后,中國銀行最終選定并部署了H3C公司的iMC EAD終端準(zhǔn)入控制解決方案,與原有的Cisco設(shè)備和新增的H3C設(shè)備配合,對(duì)客戶終端認(rèn)證做集中統(tǒng)一控制、應(yīng)用一致的用戶安全策略,保證用戶終端的健壯性,阻止病毒等威脅入侵網(wǎng)絡(luò)。

      EAD在中國銀行的部署

      H3C為保證客戶的最高安全性,采用了接入層802.1X的部署方案,與Cisco2950、H3C S3600等系列交換機(jī)配合,提供準(zhǔn)入控制,有效防病毒、補(bǔ)丁自動(dòng)升級(jí)等,保證高安全。同時(shí),網(wǎng)絡(luò)中心部署一套iMC網(wǎng)管平臺(tái)、iMC UBA用戶行為審計(jì)系統(tǒng)、iMC NTA網(wǎng)流流量分析系統(tǒng),通過原C6509交換機(jī)提供的NetFlow流量數(shù)據(jù),對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理,對(duì)非法用戶的上網(wǎng)行為進(jìn)行審計(jì),對(duì)異常流量進(jìn)行實(shí)時(shí)的流量分析。目前,共計(jì)部署終端用戶約4500點(diǎn)。

      EAD與思科2950交換機(jī)配合

      H3C EAD可與思科2950以上系列的交換機(jī)配合,實(shí)現(xiàn)標(biāo)準(zhǔn)的終端準(zhǔn)入控制功能。目前已經(jīng)測(cè)試過的還有C3550、C3750、C4500等系列交換機(jī)。

      EAD雙機(jī)備份

      EAD不僅支持雙機(jī)冷備,也支持雙機(jī)熱備(需要額外增加一臺(tái)磁盤陣列柜),有效提升了系統(tǒng)可靠性。中國銀行采用了雙機(jī)冷備方案,其中一臺(tái)作為主服務(wù)器(安裝iMC、EAD),另一臺(tái)作為備份服務(wù)器(安裝iMC、EAD),互為備份。在第三臺(tái)服務(wù)器上安裝UBA/NTA。

      AD域統(tǒng)一認(rèn)證

      中國銀行擁有多套應(yīng)用系統(tǒng),每個(gè)應(yīng)用系統(tǒng)都需要用戶名和密碼進(jìn)行登錄。為了便于管理,中國銀行采用Windows AD域來作為統(tǒng)一的用戶帳號(hào)管理系統(tǒng)。

      在部署EAD時(shí),中國銀行采用了AD域統(tǒng)一認(rèn)證方案。用戶登錄EAD時(shí),使用自己的AD域帳號(hào)和密碼進(jìn)行登錄,EAD系統(tǒng)會(huì)自動(dòng)把AD域帳號(hào)和密碼傳給Windows AD服務(wù)器進(jìn)行驗(yàn)證。認(rèn)證通過后,用戶可以正常接入網(wǎng)絡(luò),同時(shí)自動(dòng)登錄到所屬的AD域。

      EAD與McAfee防病毒、WSUS補(bǔ)丁管理系統(tǒng)聯(lián)動(dòng)

      中國銀行采用了McAfee防病毒軟件和WSUS補(bǔ)丁管理系統(tǒng),這些都可以跟EAD配合,從而使過去的單點(diǎn)防御,變?yōu)橥暾捏w系化安全防御。

      基于Guest VLAN的隔離方式

      EAD與Cisco交換機(jī)配合時(shí),采用基于Guest VLAN的隔離方式,即通過二層VLAN方式來隔離不安全用戶。

      而EAD與H3C交換機(jī)配合時(shí),采用基于ACL的隔離方式,即通過三層ACL方式來隔離不安全用戶,比Guest VLAN更安全。

      中國銀行部署EAD時(shí),在Cisco環(huán)境下采用Guest LAN隔離方式,在H3C環(huán)境下采用ACL隔離方式。

      與NetFlow配合

      UBA和NTA都可以支持NetFlow日志,實(shí)現(xiàn)用戶審計(jì)和流量分析。

      中國銀行部署時(shí),在核心交換機(jī)C6509上開啟NetFlow功能,將流量日志信息同時(shí)發(fā)給兩個(gè)不同的IP地址,即UBA和NTA。

      基于用戶的行為審計(jì)與流量分析

      中國銀行同時(shí)部署了EAD、UBA、NTA,通過EAD與UBA/NTA的聯(lián)動(dòng),實(shí)現(xiàn)了基于用戶的行為審計(jì)和流量分析。

      用戶評(píng)價(jià)

      通過切身的使用體驗(yàn),中國銀行給予了iMC EAD終端準(zhǔn)入控制解決方案高度的評(píng)價(jià):“iMC EAD系統(tǒng)的部署,滿足了近期中國銀行對(duì)于安全準(zhǔn)入控制管理的要求,有效解決了網(wǎng)絡(luò)病毒傳播的情況,對(duì)外來用戶能夠靈活控制接入權(quán)限,大幅提升了網(wǎng)絡(luò)的安全性,工作效率得到提升。”

    分享到: 收藏

    專題

    亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 邮箱| 永登县| 永靖县| 子洲县| 新兴县| 西华县| 铁岭县| 垫江县| 海淀区| 塔城市| 峡江县| 嘉义县| 甘南县| 徐汇区| 湖州市| 海伦市| 辽宁省| 中超| 吉木萨尔县| 余江县| 侯马市| 凤山市| 康定县| 大方县| 滕州市| 洪泽县| 洛川县| 武隆县| 噶尔县| 辽宁省| 嵊州市| 泰安市| 永昌县| 永新县| 新乡市| 阿合奇县| 成武县| 奉节县| 彝良县| 墨玉县| 沁源县| http://444 http://444 http://444 http://444 http://444 http://444