- 最后登录
- 2018-6-29
- 注册时间
- 2011-7-1
- 阅读权限
- 20
- 积分
- 359
- 纳金币
- 335582
- 精华
- 0
|
近年来,中国银行坚持把强化网络安全控制建设作为固本强基,保证银行经营活动健康运行的一项基础性工作来做,大力构建安全控制体系,以有效防范和化解金融风险,消除安全隐患。2008年上半年,中国银行安全控制三道防线体系组织建设已落实到位,并进一步完善了安全检查、安全整改和安全考核等相关工作流程和机制,同时进一步完善了《中国银行操作风险管理政策框架》。
应用背景
作为内控体系的关键一环,中国银行网络部门非常重视终端用户准入控制和安全合规方面的建设。原有的桌面管理软件只能提供资产管理功能,无法解决网络现有问题。因此希望通过部署网络准入控制系统,与原有的cisco设备和新增的H3C设备配合,对客户终端认证做集中统一控制,应用一致的用户安全策略,保证用户终端的健壮性,阻止病毒等威胁入侵网络。以加强网络接入管理,严格控制非授权用户和不合规用户任意接入网络,确保网络安全。
建设目标
中国银行认为应该从内部管理问题、黑客入侵、病毒攻击等方面来解决安全问题。对IT管理提出了六大要求:
1. 用户接入控制需限制非授权用户对局域网特定资源的访问;
2. 系统支持统一的基于用户ID的认证和授权控制策略,同时支持用户名密码、证书等多种用户身份校验方式;
3. 支持用户分组机制,针对不同的用户组可实现不同的控制策略;
4. 能够对客户端上网行为进行事后审计,可查询用户的非法网络行为;
5. 可对客户端异常流量进行监控;
6. 系统满足双机冗余备份机制。
解决方案
为保证最高安全性,中国银行采用了接入层802.1x的部署方案,与Cisco2950、H3C S3600等系列交换机配合,提供准入控制,有效防病毒、补丁自动升级等,保证高安全。
同时,网络中心部署一套iMC网管平台、iMC UBA用户行为审计系统、iMC NTA网流流量分析系统,通过原C6509交换机提供的NetFlow流量数据,对网络设备进行统一管理,对非法用户的上网行为进行审计,对异常流量进行实时的流量分析。
网络一期部署iMC EAD终端准入控制解决方案用户2000点,奥运会后继续部署到4500点。
![]()
整个解决方案应用具备了以下特点:
l EAD与Cisco 2950交换机配合
H3C EAD可以与Cisco 2950以上系列的交换机配合,实现标准的终端准入控制功能。目前已经测试过的还有C3550、C3750、C4500等系列交换机。
l EAD双机备份
EAD不仅支持双机冷备,也支持双机热备(需要额外增加一台磁盘阵列柜)。中国银行采用了双机冷备方案,其中一台作为主服务器(安装iMC、EAD),另一台作为备份服务器(安装iMC、EAD),互为备份。此外还有一台服务器安装UBA/NTA。
l AD域统一认证
中国银行拥有多套应用系统,每个应用系统都需要用户名和密码进行登录。为了便于管理,中国银行采用Windows AD域来作为统一的用户帐号管理系统。在部署EAD时,中国银行采用了AD域统一认证方案。用户登录EAD时,使用自己的AD域帐号和密码进行登录,EAD系统会自动把AD域帐号和密码传给Windows AD服务器进行验证。认证通过后,用户可以正常接入网络,同时自动登录到所属的AD域。
l EAD与McAfee防病毒、WSUS补丁管理系统联动
中国银行采用了McAfee防病毒软件和WSUS补丁管理系统,通过该系统跟EAD联动配合,从而使过去的单点防御,变为完整的体系化安全防御。
l 基于Guest VLAN的隔离方式
EAD与Cisco交换机配合时,采用基于guest VLAN的隔离方式,即通过二层VLAN方式来隔离非安全用户。而EAD与H3C交换机配合时,采用基于ACL的隔离方式,即通过三层ACL方式来隔离非安全用户,该方式相比guest VLAN更安全。中国银行部署EAD时,在Cisco环境下采用guest LAN隔离方式,在H3C环境下采用ACL隔离方式。
l 与NetFlow配合
UBA和NTA都可以支持NetFlow日志,实现用户审计和流量分析。中国银行部署时,在核心交换机6509上开启NetFlow功能,将流量日志信息同时发给两个不同的IP地址,即UBA和NTA。
l 基于用户的行为审计与流量分析
中国银行同时部署了EAD、UBA、NTA,通过EAD与UBA/NTA的联动,实现了基于“人”的行为审计和流量分析。
实施效果
中国银行通过融合部署多业务管理系统,将iMC EAD、NTA、UBA进行灵活联动,实现了人、设备、业务统一管理、灵活扩展的IT管理方式,适应了办公环境的调整和变化。不仅能够灵活控制外来用户接入权限,而且有效解决了网络病毒传播问题,更提升了网络使用效率及维护管理效率。
|
|
发表于 2011-8-25 08:12:16
QQ好友和群
腾讯微博
腾讯朋友
微信
转播
淘帖
收藏
支持
反对
