近年來(lái)，中國(guó)銀行堅(jiān)持把強(qiáng)化網(wǎng)絡(luò)安全控制建設(shè)作為固本強(qiáng)基，保證銀行經(jīng)營(yíng)活動(dòng)健康運(yùn)行的一項(xiàng)基礎(chǔ)性工作來(lái)做，大力構(gòu)建安全控制體系，以有效防范和化解金融風(fēng)險(xiǎn)，消除安全隱患。2008年上半年，中國(guó)銀行安全控制三道防線體系組織建設(shè)已落實(shí)到位，并進(jìn)一步完善了安全檢查、安全整改和安全考核等相關(guān)工作流程和機(jī)制，同時(shí)進(jìn)一步完善了《中國(guó)銀行操作風(fēng)險(xiǎn)管理政策框架》。

　　作為內(nèi)控體系的關(guān)鍵一環(huán)，中國(guó)銀行網(wǎng)絡(luò)部門非常重視終端用戶準(zhǔn)入控制和安全合規(guī)方面的建設(shè)。而原有的桌面管理軟件只能提供資產(chǎn)管理功能，無(wú)法解決用戶準(zhǔn)入及安全合規(guī)問(wèn)題。經(jīng)過(guò)一年多的選型和現(xiàn)場(chǎng)測(cè)試后，中國(guó)銀行最終選定并部署了H3C公司的iMC EAD終端準(zhǔn)入控制解決方案，與原有的Cisco設(shè)備和新增的H3C設(shè)備配合，對(duì)客戶終端認(rèn)證做集中統(tǒng)一控制、應(yīng)用一致的用戶安全策略，保證用戶終端的健壯性，阻止病毒等威脅入侵網(wǎng)絡(luò)。

　　EAD在中國(guó)銀行的部署

　　H3C為保證客戶的最高安全性，采用了接入層802.1X的部署方案，與Cisco2950、H3C S3600等系列交換機(jī)配合，提供準(zhǔn)入控制，有效防病毒、補(bǔ)丁自動(dòng)升級(jí)等，保證高安全。同時(shí)，網(wǎng)絡(luò)中心部署一套iMC網(wǎng)管平臺(tái)、iMC UBA用戶行為審計(jì)系統(tǒng)、iMC NTA網(wǎng)流流量分析系統(tǒng)，通過(guò)原C6509交換機(jī)提供的NetFlow流量數(shù)據(jù)，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理，對(duì)非法用戶的上網(wǎng)行為進(jìn)行審計(jì)，對(duì)異常流量進(jìn)行實(shí)時(shí)的流量分析。目前，共計(jì)部署終端用戶約4500點(diǎn)。

　　EAD與思科2950交換機(jī)配合

　　H3C EAD可與思科2950以上系列的交換機(jī)配合，實(shí)現(xiàn)標(biāo)準(zhǔn)的終端準(zhǔn)入控制功能。目前已經(jīng)測(cè)試過(guò)的還有C3550、C3750、C4500等系列交換機(jī)。

　　EAD雙機(jī)備份

　　EAD不僅支持雙機(jī)冷備，也支持雙機(jī)熱備（需要額外增加一臺(tái)磁盤陣列柜），有效提升了系統(tǒng)可靠性。中國(guó)銀行采用了雙機(jī)冷備方案，其中一臺(tái)作為主服務(wù)器（安裝iMC、EAD），另一臺(tái)作為備份服務(wù)器（安裝iMC、EAD），互為備份。在第三臺(tái)服務(wù)器上安裝UBA/NTA。

　　AD域統(tǒng)一認(rèn)證

　　中國(guó)銀行擁有多套應(yīng)用系統(tǒng)，每個(gè)應(yīng)用系統(tǒng)都需要用戶名和密碼進(jìn)行登錄。為了便于管理，中國(guó)銀行采用Windows AD域來(lái)作為統(tǒng)一的用戶帳號(hào)管理系統(tǒng)。

　　在部署EAD時(shí)，中國(guó)銀行采用了AD域統(tǒng)一認(rèn)證方案。用戶登錄EAD時(shí)，使用自己的AD域帳號(hào)和密碼進(jìn)行登錄，EAD系統(tǒng)會(huì)自動(dòng)把AD域帳號(hào)和密碼傳給Windows AD服務(wù)器進(jìn)行驗(yàn)證。認(rèn)證通過(guò)后，用戶可以正常接入網(wǎng)絡(luò)，同時(shí)自動(dòng)登錄到所屬的AD域。

　　EAD與McAfee防病毒、WSUS補(bǔ)丁管理系統(tǒng)聯(lián)動(dòng)

　　中國(guó)銀行采用了McAfee防病毒軟件和WSUS補(bǔ)丁管理系統(tǒng)，這些都可以跟EAD配合，從而使過(guò)去的單點(diǎn)防御，變?yōu)橥暾�的體系化安全防御。

　　基于Guest VLAN的隔離方式

　　EAD與Cisco交換機(jī)配合時(shí)，采用基于Guest VLAN的隔離方式，即通過(guò)二層VLAN方式來(lái)隔離不安全用戶。

　　而EAD與H3C交換機(jī)配合時(shí)，采用基于ACL的隔離方式，即通過(guò)三層ACL方式來(lái)隔離不安全用戶，比Guest VLAN更安全。

　　中國(guó)銀行部署EAD時(shí)，在Cisco環(huán)境下采用Guest LAN隔離方式，在H3C環(huán)境下采用ACL隔離方式。

　　與NetFlow配合

　　UBA和NTA都可以支持NetFlow日志，實(shí)現(xiàn)用戶審計(jì)和流量分析。

　　中國(guó)銀行部署時(shí)，在核心交換機(jī)C6509上開(kāi)啟NetFlow功能，將流量日志信息同時(shí)發(fā)給兩個(gè)不同的IP地址，即UBA和NTA。

　　基于用戶的行為審計(jì)與流量分析

　　中國(guó)銀行同時(shí)部署了EAD、UBA、NTA，通過(guò)EAD與UBA/NTA的聯(lián)動(dòng)，實(shí)現(xiàn)了基于用戶的行為審計(jì)和流量分析。

　　用戶評(píng)價(jià)

　　通過(guò)切身的使用體驗(yàn)，中國(guó)銀行給予了iMC EAD終端準(zhǔn)入控制解決方案高度的評(píng)價(jià)：“iMC EAD系統(tǒng)的部署，滿足了近期中國(guó)銀行對(duì)于安全準(zhǔn)入控制管理的要求，有效解決了網(wǎng)絡(luò)病毒傳播的情況，對(duì)外來(lái)用戶能夠靈活控制接入權(quán)限，大幅提升了網(wǎng)絡(luò)的安全性，工作效率得到提升。”