中国民生银行于1996年1月12日在北京正式成立,是我国首家主要由非公有制企业入股的全国性股份制商业银行,同时又是严格按照《公司法》和《商业银行法》建立的规范的股份制金融企业。多种经济成份在中国金融业的涉足和实现规范的现代企业制度,使中国民生银行有别于国有银行和其他商业银行,而为国内外经济界、金融界所关注。中国民生银行成立10年来,业务不断拓展,规模不断扩大,效益逐年递增,并保持了良好的资产质量。
构建高可靠性和高安全性的信息化网络系统是银行、证券等金融企业业务运营的前提保障。民生银行作为首批上市的商业银行之一,为保证其全国各分行在金融、信贷等业务的保密性和安全性,迫切需要一个安全、高效、稳定运行的信息化办公系统,其中对客户终端认证做集中统一控制,应用一致的用户安全策略,保证用户终端的健壮性、阻止病毒等威胁入侵网络,是保证办公网络安全运行的首要前提。
l 对登录内网的用户进行唯一性身份认证,限制非法终端或非授权、外来用户接入随意使用网络,禁止任何方式(包括使用拨号、双网卡等)使终端一台计算机同时可访问办公、业务网和Internet;
l 实现对IP地址的管理,即强制用户使用系统分配的IP地址,不允许其随意修改IP地址配置;
l 保证正常接入网络的终端没有感染病毒,要求及时更新病毒库和操作系统补丁;
l 员工身份需要分工明确,各负其职,按所属单位、部门、角色划分工作范围,不同的角色有不同的权利和责任;
l 需要提供终端访问网络的详细上网日志信息和强大的管理查询功能,便于管理员定位问题。
针对民生银行对于终端的接入控制和实际组网规划需求,H3C公司在民生银行全国上万个信息点上部署了拥有自主知识产权的EAD端点准入解决方案,并为其量身定制了特色化的实施策略。
图1 民生银行网络拓扑示意图
n 用户身份管理及安全控制策略
接入层设备启用802.1x认证,并且采用用户名/密码/MAC/网络接入设备端口的身份验证策略,有效限制了用户访问网络的区域,并坚决杜绝了外来和未授权用户非法使用网络;利用EAD安全策略服务器的可自定义多种附加信息功能由用户输入单位、部门、姓名、密码等信息,外来用户没有经过审批无法接入网络;用户终端通过DHCP动态获取IP地址上网,使用安全认证客户端(H3C iNode)可有效地防止MAC仿冒盗用帐号和私设IP;iNode客户端和接入设备H3C S3600系列交换机还可以在终端用户正常接入后禁止擅自修改IP地址。
n 严格控制终端的访问权限
员工认证通过后,根据用户身份和所属部门,EAD方案将用户划分为不同的策略组,将其划分入不同的业务VLAN,授予相应的ACL访问权限,有效防止越权访问资源的发生。
n 终端安全管理
在网络中专门划分出隔离区域,防病毒软件服务器、软件补丁文件服务器、DHCP服务器等均放置在网络隔离区中。员工在终端身份验证通过后即可获得IP地址来访问此区域的服务器,并且根据安全控制要求升级操作系统软件补丁和病毒库版本
n 丰富的问题终端定位手段
利用EAD解决方案的强大用户管理维护和数据审计等功能,民生银行网络管理员的日常维护和管理工作量大大减少,他们还利用EAD生成的访问量、用户访问时长/流量等报表,对员工的工作量、网络使用频率和效率做分析,不断优化管理措施和网络规划。
针对用户终端的上网行为,EAD提供的详细上网明细(包括用户帐号信息,用户的IP/MAC地址,接入区域的设备IP/端口号/VLAN ID,上下线时间,上下行流量等)、安全日志(违规安全事件详细内容/发生时间及相应处理结果等)和系统日志为民生银行的网络管理员提供了丰富的定位问题终端、解决终端网络接入问题以及系统维护的手段和方法。
随着EAD解决方案在民生银行全国网上万信息点部署应用,大大提升了民生银行各级部门信息化办公的安全性。通过EAD能够实现民生银行内网安全的主动防御,有效避免因越权访问导致机密泄露等安全隐患的发生。
