为积极应对来自国外对手的挑战,作为首批上市的商业银行之一,民生银行在不断推出新的金融产品和业务以满足客户需求的同时,进一步努力提升信息化应用水平,应对未来发展。杭州华三通信技术有限公司(简称:H3C)的EAD终端准入解决方案凭借成功部署40多万终端的市场业绩和实际效果,切实帮助民生银行青岛分行实现网络的精细化管理,提升用户IT系统的管理和应用水平,这也成为民生银行在同行竞争中取得成功的关键因素之一。
网络准入成为管理重点
为了保障业务的正常运行,民生银行青岛分行迫切需要一个安全、高效、稳定运行的信息化办公系统,而保证用户终端的健壮性、阻止病毒等威胁入侵网络,是保证办公网络安全运行的前提。具体来说,就是需要实现几方面需求。
首先是对登录内网的用户进行唯一性身份认证,限制非法终端或非授权、外来用户接入随意使用网络,同时禁止任何方式(包括使用拨号、双网卡等)使终端一台计算机同时可访问办公、业务网和Internet。
其次是实现对IP地址的管理,即强制用户使用系统分配的IP地址,不允许其随意修改IP地址配置,同时避免外来计算机随意接入涉密内部办公网络,杜绝帐户盗用、PC机盗用等现象的发生。
再则是保证正常接入网络的终端没有感染病毒,并根据要求及时更新病毒库和操作系统补丁,有效保证终端桌面乃至系统的安全性。
第四是员工身份需要分工明确,各负其职,按所属单位、部门、角色划分工作范围,不同的角色有不同的权利和责任。对于已经接入网络的用户,需要规范用户的所属的接入权限,不同岗位的员工,其网络访问权限必须明确区分,严格控制。
此外,系统还需要提供终端访问网络的详细上网日志信息和强大的管理查询功能,便于管理员定位问题。
综合自身需求,民生银行青岛分行最终选择了成功部署40万终端的H3C EAD终端准入防御解决方案,来构筑自身的终端准入防线。
构建全面的精细化管理
针对民生银行青岛分行的终端接入控制和实际组网规划需求需求,H3C公司凭借其拥有自主知识产权的接入设备及业务软件系列产品为其量身定制了特色化的网络接入控制解决方案,整个方案涵盖24000个接入终端,其中一期共部署4000个信息点。
通过H3C EAD终端准入防御解决方案的应用,民生银行青岛分行迅速地在所有的网络终端部署出一套标准的准入“门禁”,大大地提升了系统的整体安全性。从系统需求上来说,民生银行青岛分行主要实现了以下功能。
1.用户身份管理及安全控制策略
民生银行青岛分行接入层设备启用了802.1x认证,并且采用用户名/密码/MAC/网络接入设备端口的身份验证策略,有效限制了用户访问网络的区域,并坚决杜绝了外来和未授权用户非法使用网络;用户终端通过DHCP动态获取IP地址上网,有效地防止MAC仿冒盗用帐号和私设IP;iNode客户端和接入设备H3C S3600系列交换机还可以在终端用户正常接入后禁止擅自修改IP地址。
2.严格控制终端的访问权限
民生银行青岛分行的员工认证通过后,根据用户身份和所属部门,EAD方案将用户划分为不同的策略组,将其划分入不同的业务VLAN,授予相应的ACL访问权限,有效防止越权访问资源的发生。
3.终端安全管理
系统在民生银行青岛分行网络中专门划分出隔离区域,防病毒软件服务器、软件补丁文件服务器、DHCP服务器等均放置在网络隔离区中。员工在终端身份验证通过后即可获得IP地址来访问此区域的服务器,并且根据安全控制要求升级操作系统软件补丁和病毒库版本。
4.管理员权限管理和丰富的问题终端定位手段
民生银行青岛分行利用EAD解决方案中CAMS服务器提供的丰富详尽的操作日志,可以追踪到所有的操作员的管理行为。他们还利用EAD生成的访问量、用户访问时长/流量等报表,对员工的工作量、网络使用频率和效率做分析,不断优化管理措施和网络规划。
H3C EAD终端准入解决方案特点
作为一种新兴的精细化管理安全防御体系,H3C EAD终端准入解决方案从终端准入控制入手,整合了防病毒软件等单点安全产品,可以大幅度帮助民生银行青岛分行提高网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
H3C EAD解决方案整合了防病毒与网络接入控制功能,可以确保所有正常接入网络的用户终端符合民生银行的防病毒标准和系统补丁安装策略,保证用户终端与企业安全策略的一致。同时,方案可以对不符合企业安全策略的用户终端进行全面隔离。系统还具备详细的安全事件日志与审计功能,方便管理员全面掌握民生银行青岛分行网络用户终端的安全防御能力和病毒入侵情况。
在准入认证方面,EAD解决方案具有广泛的适应性,不仅支持802.1x、L2TP、Portal等多种认证方式,而且系统认证模式也十分灵活,可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。
民生银行青岛分行实施与部署EAD解决方案的过程也十分方便灵活。由于系统支持快速的部署模式,管理员无需对每台终端进行客户端安装,提高了EAD的易部署能力。同时系统具有策略实施功能,可以帮助管理员设置终端的安全策略,以达到企业级安全策略统一实施的目的。
另外,民生银行青岛分行在现有网络中,只需对网络设备和防病毒软件进行简单升级,即可实现接入控制和防病毒的联动,有效保护投资。而且通过EAD的联动,民生银行以往部署的防病毒软件价值得到提升,帮助他们从单点防御迅速转化为整体防御。
对于民生银行青岛分行而言,H3C EAD终端准入解决方案具备的众多优点解决了一直以来让他们困扰不已的安全问题,给民生银行的企业运营与未来发展打下了坚固的基础,让他们由衷的觉得“物有所值”。