构建高可靠性和高安全性的信息化网络系统是银行、证券等金融企业业务运营的前提保障。民生银行作为首批上市的商业银行之一,为保证其金融、信贷等业务的保密性和安全性,迫切需要一个安全、高效、稳定运行的信息化办公系统,其中对客户终端认证做集中统一控制,应用一致的用户安全策略,保证用户终端的健壮性、阻止病毒等威胁入侵网络,是保证办公网络安全运行的前提。
案例规模
一期共4000点,二期共20000个信息点
管理需求
防止非法接入。限制非法笔记本电脑或非授权、外来用户接入随意使用网络;
防止非法外联。禁止任何方式(包括使用拨号、双网卡等)使终端用户可同时访问办公、业务网和Internet;
身份唯一性。强制用户使用系统分配的IP地址,不允许其随意修改IP地址配置,对登录内网的用户进行唯一性身份认证,杜绝帐户盗用、PC机盗用等;
上网日志审计。提供终端访问网络的详细上网日志信息和强大的管理查询功能,便于管理员定位问题。
解决方案实施
针对上述终端接入控制需求,H3C公司凭借其拥有自主知识产权的EAD解决方案为民生银行量身定制了特色化的实施策略,其网络拓扑如下图所示:
应用效果
- 用户身份管理及安全控制策略
为了严格控制用户的网络接入,使用接入层设备启用802.1X认证,并且采用绑定用户名/密码/MAC/网络接入设备端口的身份验证策略,有效限制了用户访问网络的区域,并坚决杜绝了外来和未授权用户非法使用网络;利用EAD的可自定义多种附加信息功能由用户输入单位、部门、姓名、密码等信息,由管理员审核后方可开通权限,外来用户没有经过审批无法接入网络。
用户终端通过DHCP动态获取IP地址上网,使用H3C安全认证客户端(H3C iNode智能客户端,以下简称iNode客户端)可以限制IP地址必须使用DHCP动态获取方式以及检查MAC地址是否修改,有效地防止了MAC仿冒盗用帐号和私设IP导致IP地址冲突的情况发生;同时通过禁止接入终端使用多网卡来限制用户无法同时访问业务网及Internet。iNode客户端和接入设备H3C S3600系列交换机还可以在终端用户正常接入后禁止用户擅自修改IP地址,从根本上杜绝了用户擅自修改IP的状况。
EAD安全策略服务器与iNode客户端配合可以对各种外联或代理进行禁止。无论用户采用何种方式,包括IE代理、双网卡以及内网用户通过Modem上网等都可以进行控制,上述禁止方式和策略可以灵活组合来满足用户各方面的安全控制需要。
- 丰富的问题终端定位手段
利用EAD解决方案的强大用户管理维护和数据审计等功能,民生银行IT管理员的日常维护和管理工作量大大减少,他们还利用EAD生成的访问量、用户访问时长/流量等报表,对员工的工作量、网络使用频率和效率做分析,不断优化管理措施和网络规划。
针对用户终端的上网行为,EAD提供的详细上网明细(包括用户帐号信息,用户的IP/MAC地址,接入区域的设备IP/端口号/VLAN ID,上下线时间,上下行流量等)、安全日志(违规安全事件详细内容/发生时间及相应处理结果等)和系统日志为民生银行的IT管理员提供了丰富的定位问题终端、解决终端网络接入问题以及系统维护的手段和方法。
