近年来,中国银行坚持把强化网络安全控制建设作为固本强基,保证银行经营活动健康运行的一项基础性工作来做,大力构建安全控制体系,以有效防范和化解金融风险,消除安全隐患。2008年上半年,中国银行安全控制三道防线体系组织建设已落实到位,并进一步完善了安全检查、安全整改和安全考核等相关工作流程和机制,同时进一步完善了《中国银行操作风险管理政策框架》。
作为内控体系的关键一环,中国银行网络部门非常重视终端用户准入控制和安全合规方面的建设。而原有的桌面管理软件只能提供资产管理功能,无法解决用户准入及安全合规问题。经过一年多的选型和现场测试后,中国银行最终选定并部署了H3C公司的iMC EAD终端准入控制解决方案,与原有的Cisco设备和新增的H3C设备配合,对客户终端认证做集中统一控制、应用一致的用户安全策略,保证用户终端的健壮性,阻止病毒等威胁入侵网络。
EAD在中国银行的部署
H3C为保证客户的最高安全性,采用了接入层802.1X的部署方案,与Cisco2950、H3C S3600等系列交换机配合,提供准入控制,有效防病毒、补丁自动升级等,保证高安全。同时,网络中心部署一套iMC网管平台、iMC UBA用户行为审计系统、iMC NTA网流流量分析系统,通过原C6509交换机提供的NetFlow流量数据,对网络设备进行统一管理,对非法用户的上网行为进行审计,对异常流量进行实时的流量分析。目前,共计部署终端用户约4500点。
EAD与思科2950交换机配合
H3C EAD可与思科2950以上系列的交换机配合,实现标准的终端准入控制功能。目前已经测试过的还有C3550、C3750、C4500等系列交换机。
EAD双机备份
EAD不仅支持双机冷备,也支持双机热备(需要额外增加一台磁盘阵列柜),有效提升了系统可靠性。中国银行采用了双机冷备方案,其中一台作为主服务器(安装iMC、EAD),另一台作为备份服务器(安装iMC、EAD),互为备份。在第三台服务器上安装UBA/NTA。
AD域统一认证
中国银行拥有多套应用系统,每个应用系统都需要用户名和密码进行登录。为了便于管理,中国银行采用Windows AD域来作为统一的用户帐号管理系统。
在部署EAD时,中国银行采用了AD域统一认证方案。用户登录EAD时,使用自己的AD域帐号和密码进行登录,EAD系统会自动把AD域帐号和密码传给Windows AD服务器进行验证。认证通过后,用户可以正常接入网络,同时自动登录到所属的AD域。
EAD与McAfee防病毒、WSUS补丁管理系统联动
中国银行采用了McAfee防病毒软件和WSUS补丁管理系统,这些都可以跟EAD配合,从而使过去的单点防御,变为完整的体系化安全防御。
基于Guest VLAN的隔离方式
EAD与Cisco交换机配合时,采用基于Guest VLAN的隔离方式,即通过二层VLAN方式来隔离不安全用户。
而EAD与H3C交换机配合时,采用基于ACL的隔离方式,即通过三层ACL方式来隔离不安全用户,比Guest VLAN更安全。
中国银行部署EAD时,在Cisco环境下采用Guest LAN隔离方式,在H3C环境下采用ACL隔离方式。
与NetFlow配合
UBA和NTA都可以支持NetFlow日志,实现用户审计和流量分析。
中国银行部署时,在核心交换机C6509上开启NetFlow功能,将流量日志信息同时发给两个不同的IP地址,即UBA和NTA。
基于用户的行为审计与流量分析
中国银行同时部署了EAD、UBA、NTA,通过EAD与UBA/NTA的联动,实现了基于用户的行为审计和流量分析。
用户评价
通过切身的使用体验,中国银行给予了iMC EAD终端准入控制解决方案高度的评价:“iMC EAD系统的部署,满足了近期中国银行对于安全准入控制管理的要求,有效解决了网络病毒传播的情况,对外来用户能够灵活控制接入权限,大幅提升了网络的安全性,工作效率得到提升。”
