華三通信為民生銀行打造高效穩定的信息化辦公系統

　　構建高可靠性和高安全性的信息化網(wǎng)絡(luò )系統是銀行、證券等金融企業(yè)業(yè)務(wù)運營(yíng)的前提保障。民生銀行作為首批上市的商業(yè)銀行之一，為保證其金融、信貸等業(yè)務(wù)的保密性和安全性，迫切需要一個(gè)安全、高效、穩定運行的信息化辦公系統，其中對客戶(hù)終端認證做集中統一控制，應用一致的用戶(hù)安全策略，保證用戶(hù)終端的健壯性、阻止病毒等威脅入侵網(wǎng)絡(luò )，是保證辦公網(wǎng)絡(luò )安全運行的前提。

　　案例規模

　　一期共4000點(diǎn)，二期共20000個(gè)信息點(diǎn)

　　管理需求

　　防止非法接入。限制非法筆記本電腦或非授權、外來(lái)用戶(hù)接入隨意使用網(wǎng)絡(luò )；
　　防止非法外聯(lián)。禁止任何方式（包括使用撥號、雙網(wǎng)卡等）使終端用戶(hù)可同時(shí)訪(fǎng)問(wèn)辦公、業(yè)務(wù)網(wǎng)和Internet；
　　身份唯一性。強制用戶(hù)使用系統分配的IP地址，不允許其隨意修改IP地址配置，對登錄內網(wǎng)的用戶(hù)進(jìn)行唯一性身份認證，杜絕帳戶(hù)盜用、PC機盜用等；
　　上網(wǎng)日志審計。提供終端訪(fǎng)問(wèn)網(wǎng)絡(luò )的詳細上網(wǎng)日志信息和強大的管理查詢(xún)功能，便于管理員定位問(wèn)題。

　　解決方案實(shí)施

　　針對上述終端接入控制需求，H3C公司憑借其擁有自主知識產(chǎn)權的EAD解決方案為民生銀行量身定制了特色化的實(shí)施策略，其網(wǎng)絡(luò )拓撲如下圖所示：

　　應用效果

• 用戶(hù)身份管理及安全控制策略

　　為了嚴格控制用戶(hù)的網(wǎng)絡(luò )接入，使用接入層設備啟用802.1X認證，并且采用綁定用戶(hù)名/密碼/MAC/網(wǎng)絡(luò )接入設備端口的身份驗證策略，有效限制了用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò )的區域，并堅決杜絕了外來(lái)和未授權用戶(hù)非法使用網(wǎng)絡(luò )；利用EAD的可自定義多種附加信息功能由用戶(hù)輸入單位、部門(mén)、姓名、密碼等信息，由管理員審核后方可開(kāi)通權限，外來(lái)用戶(hù)沒(méi)有經(jīng)過(guò)審批無(wú)法接入網(wǎng)絡(luò )。

　　用戶(hù)終端通過(guò)DHCP動(dòng)態(tài)獲取IP地址上網(wǎng)，使用H3C安全認證客戶(hù)端（H3C iNode智能客戶(hù)端，以下簡(jiǎn)稱(chēng)iNode客戶(hù)端）可以限制IP地址必須使用DHCP動(dòng)態(tài)獲取方式以及檢查MAC地址是否修改，有效地防止了MAC仿冒盜用帳號和私設IP導致IP地址沖突的情況發(fā)生；同時(shí)通過(guò)禁止接入終端使用多網(wǎng)卡來(lái)限制用戶(hù)無(wú)法同時(shí)訪(fǎng)問(wèn)業(yè)務(wù)網(wǎng)及Internet。iNode客戶(hù)端和接入設備H3C S3600系列交換機還可以在終端用戶(hù)正常接入后禁止用戶(hù)擅自修改IP地址，從根本上杜絕了用戶(hù)擅自修改IP的狀況。

　　EAD安全策略服務(wù)器與iNode客戶(hù)端配合可以對各種外聯(lián)或代理進(jìn)行禁止。無(wú)論用戶(hù)采用何種方式，包括IE代理、雙網(wǎng)卡以及內網(wǎng)用戶(hù)通過(guò)Modem上網(wǎng)等都可以進(jìn)行控制，上述禁止方式和策略可以靈活組合來(lái)滿(mǎn)足用戶(hù)各方面的安全控制需要。

• 豐富的問(wèn)題終端定位手段

　　利用EAD解決方案的強大用戶(hù)管理維護和數據審計等功能，民生銀行IT管理員的日常維護和管理工作量大大減少，他們還利用EAD生成的訪(fǎng)問(wèn)量、用戶(hù)訪(fǎng)問(wèn)時(shí)長(cháng)/流量等報表，對員工的工作量、網(wǎng)絡(luò )使用頻率和效率做分析，不斷優(yōu)化管理措施和網(wǎng)絡(luò )規劃。

　　針對用戶(hù)終端的上網(wǎng)行為，EAD提供的詳細上網(wǎng)明細（包括用戶(hù)帳號信息，用戶(hù)的IP/MAC地址，接入區域的設備IP/端口號/VLAN ID，上下線(xiàn)時(shí)間，上下行流量等）、安全日志（違規安全事件詳細內容/發(fā)生時(shí)間及相應處理結果等）和系統日志為民生銀行的IT管理員提供了豐富的定位問(wèn)題終端、解決終端網(wǎng)絡(luò )接入問(wèn)題以及系統維護的手段和方法。