H3C助銀行網(wǎng)絡(luò)實(shí)現(xiàn)精細(xì)化管理

    為積極應(yīng)對(duì)來(lái)自國(guó)外對(duì)手的挑戰(zhàn)，作為首批上市的商業(yè)銀行之一，民生銀行在不斷推出新的金融產(chǎn)品和業(yè)務(wù)以滿足客戶需求的同時(shí)，進(jìn)一步努力提升信息化應(yīng)用水平，應(yīng)對(duì)未來(lái)發(fā)展。杭州華三通信技術(shù)有限公司（簡(jiǎn)稱：H3C）的EAD終端準(zhǔn)入解決方案憑借成功部署40多萬(wàn)終端的市場(chǎng)業(yè)績(jī)和實(shí)際效果，切實(shí)幫助民生銀行青島分行實(shí)現(xiàn)網(wǎng)絡(luò)的精細(xì)化管理，提升用戶IT系統(tǒng)的管理和應(yīng)用水平，這也成為民生銀行在同行競(jìng)爭(zhēng)中取得成功的關(guān)鍵因素之一。

網(wǎng)絡(luò)準(zhǔn)入成為管理重點(diǎn)

    為了保障業(yè)務(wù)的正常運(yùn)行，民生銀行青島分行迫切需要一個(gè)安全、高效、穩(wěn)定運(yùn)行的信息化辦公系統(tǒng)，而保證用戶終端的健壯性、阻止病毒等威脅入侵網(wǎng)絡(luò)，是保證辦公網(wǎng)絡(luò)安全運(yùn)行的前提。具體來(lái)說(shuō)，就是需要實(shí)現(xiàn)幾方面需求。

    首先是對(duì)登錄內(nèi)網(wǎng)的用戶進(jìn)行唯一性身份認(rèn)證，限制非法終端或非授權(quán)、外來(lái)用戶接入隨意使用網(wǎng)絡(luò)，同時(shí)禁止任何方式（包括使用撥號(hào)、雙網(wǎng)卡等）使終端一臺(tái)計(jì)算機(jī)同時(shí)可訪問(wèn)辦公、業(yè)務(wù)網(wǎng)和Internet。

    其次是實(shí)現(xiàn)對(duì)IP地址的管理，即強(qiáng)制用戶使用系統(tǒng)分配的IP地址，不允許其隨意修改IP地址配置，同時(shí)避免外來(lái)計(jì)算機(jī)隨意接入涉密內(nèi)部辦公網(wǎng)絡(luò)，杜絕帳戶盜用、PC機(jī)盜用等現(xiàn)象的發(fā)生。

    再則是保證正常接入網(wǎng)絡(luò)的終端沒(méi)有感染病毒，并根據(jù)要求及時(shí)更新病毒庫(kù)和操作系統(tǒng)補(bǔ)丁，有效保證終端桌面乃至系統(tǒng)的安全性。

    第四是員工身份需要分工明確，各負(fù)其職，按所屬單位、部門、角色劃分工作范圍，不同的角色有不同的權(quán)利和責(zé)任。對(duì)于已經(jīng)接入網(wǎng)絡(luò)的用戶，需要規(guī)范用戶的所屬的接入權(quán)限，不同崗位的員工，其網(wǎng)絡(luò)訪問(wèn)權(quán)限必須明確區(qū)分，嚴(yán)格控制。

    此外，系統(tǒng)還需要提供終端訪問(wèn)網(wǎng)絡(luò)的詳細(xì)上網(wǎng)日志信息和強(qiáng)大的管理查詢功能，便于管理員定位問(wèn)題。

    綜合自身需求，民生銀行青島分行最終選擇了成功部署40萬(wàn)終端的H3C EAD終端準(zhǔn)入防御解決方案，來(lái)構(gòu)筑自身的終端準(zhǔn)入防線。

構(gòu)建全面的精細(xì)化管理

    針對(duì)民生銀行青島分行的終端接入控制和實(shí)際組網(wǎng)規(guī)劃需求需求，H3C公司憑借其擁有自主知識(shí)產(chǎn)權(quán)的接入設(shè)備及業(yè)務(wù)軟件系列產(chǎn)品為其量身定制了特色化的網(wǎng)絡(luò)接入控制解決方案，整個(gè)方案涵蓋24000個(gè)接入終端，其中一期共部署4000個(gè)信息點(diǎn)。

    通過(guò)H3C EAD終端準(zhǔn)入防御解決方案的應(yīng)用，民生銀行青島分行迅速地在所有的網(wǎng)絡(luò)終端部署出一套標(biāo)準(zhǔn)的準(zhǔn)入“門禁”，大大地提升了系統(tǒng)的整體安全性。從系統(tǒng)需求上來(lái)說(shuō)，民生銀行青島分行主要實(shí)現(xiàn)了以下功能。

1．用戶身份管理及安全控制策略

    民生銀行青島分行接入層設(shè)備啟用了802.1x認(rèn)證，并且采用用戶名/密碼/MAC/網(wǎng)絡(luò)接入設(shè)備端口的身份驗(yàn)證策略，有效限制了用戶訪問(wèn)網(wǎng)絡(luò)的區(qū)域，并堅(jiān)決杜絕了外來(lái)和未授權(quán)用戶非法使用網(wǎng)絡(luò)；用戶終端通過(guò)DHCP動(dòng)態(tài)獲取IP地址上網(wǎng)，有效地防止MAC仿冒盜用帳號(hào)和私設(shè)IP；iNode客戶端和接入設(shè)備H3C S3600系列交換機(jī)還可以在終端用戶正常接入后禁止擅自修改IP地址。

2．嚴(yán)格控制終端的訪問(wèn)權(quán)限

    民生銀行青島分行的員工認(rèn)證通過(guò)后，根據(jù)用戶身份和所屬部門，EAD方案將用戶劃分為不同的策略組，將其劃分入不同的業(yè)務(wù)VLAN，授予相應(yīng)的ACL訪問(wèn)權(quán)限，有效防止越權(quán)訪問(wèn)資源的發(fā)生。

3．終端安全管理

    系統(tǒng)在民生銀行青島分行網(wǎng)絡(luò)中專門劃分出隔離區(qū)域，防病毒軟件服務(wù)器、軟件補(bǔ)丁文件服務(wù)器、DHCP服務(wù)器等均放置在網(wǎng)絡(luò)隔離區(qū)中。員工在終端身份驗(yàn)證通過(guò)后即可獲得IP地址來(lái)訪問(wèn)此區(qū)域的服務(wù)器，并且根據(jù)安全控制要求升級(jí)操作系統(tǒng)軟件補(bǔ)丁和病毒庫(kù)版本。

4．管理員權(quán)限管理和豐富的問(wèn)題終端定位手段

    民生銀行青島分行利用EAD解決方案中CAMS服務(wù)器提供的豐富詳盡的操作日志，可以追蹤到所有的操作員的管理行為。他們還利用EAD生成的訪問(wèn)量、用戶訪問(wèn)時(shí)長(zhǎng)/流量等報(bào)表，對(duì)員工的工作量、網(wǎng)絡(luò)使用頻率和效率做分析，不斷優(yōu)化管理措施和網(wǎng)絡(luò)規(guī)劃。

突出特性贏得銀行贊譽(yù)

    作為一種新興的精細(xì)化管理安全防御體系，H3C EAD終端準(zhǔn)入解決方案從終端準(zhǔn)入控制入手，整合了防病毒軟件等單點(diǎn)安全產(chǎn)品，可以大幅度幫助民生銀行青島分行提高網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。

    H3C EAD解決方案整合了防病毒與網(wǎng)絡(luò)接入控制功能，可以確保所有正常接入網(wǎng)絡(luò)的用戶終端符合民生銀行的防病毒標(biāo)準(zhǔn)和系統(tǒng)補(bǔ)丁安裝策略，保證用戶終端與企業(yè)安全策略的一致。同時(shí)，方案可以對(duì)不符合企業(yè)安全策略的用戶終端進(jìn)行全面隔離。系統(tǒng)還具備詳細(xì)的安全事件日志與審計(jì)功能，方便管理員全面掌握民生銀行青島分行網(wǎng)絡(luò)用戶終端的安全防御能力和病毒入侵情況。

    在準(zhǔn)入認(rèn)證方面，EAD解決方案具有廣泛的適應(yīng)性，不僅支持802.1x、L2TP、Portal等多種認(rèn)證方式，而且系統(tǒng)認(rèn)證模式也十分靈活，可以按照網(wǎng)絡(luò)管理員的要求區(qū)別對(duì)待不同身份的用戶，定制不同的安全檢查和隔離級(jí)別。

    民生銀行青島分行實(shí)施與部署EAD解決方案的過(guò)程也十分方便靈活。由于系統(tǒng)支持快速的部署模式，管理員無(wú)需對(duì)每臺(tái)終端進(jìn)行客戶端安裝，提高了EAD的易部署能力。同時(shí)系統(tǒng)具有策略實(shí)施功能，可以幫助管理員設(shè)置終端的安全策略，以達(dá)到企業(yè)級(jí)安全策略統(tǒng)一實(shí)施的目的。

    另外，民生銀行青島分行在現(xiàn)有網(wǎng)絡(luò)中，只需對(duì)網(wǎng)絡(luò)設(shè)備和防病毒軟件進(jìn)行簡(jiǎn)單升級(jí)，即可實(shí)現(xiàn)接入控制和防病毒的聯(lián)動(dòng)，有效保護(hù)投資。而且通過(guò)EAD的聯(lián)動(dòng)，民生銀行以往部署的防病毒軟件價(jià)值得到提升，幫助他們從單點(diǎn)防御迅速轉(zhuǎn)化為整體防御。

    對(duì)于民生銀行青島分行而言，H3C EAD終端準(zhǔn)入解決方案具備的眾多優(yōu)點(diǎn)解決了一直以來(lái)讓他們困擾不已的安全問(wèn)題，給民生銀行的企業(yè)運(yùn)營(yíng)與未來(lái)發(fā)展打下了堅(jiān)固的基礎(chǔ)，讓他們由衷的覺(jué)得“物有所值”。