成功案例
Solution

终端安全控制解决案例

发布时间:2020年01月13日

“银行的核心价值就是商业数据,我们要保证这些数据的安全,”某银行的一位相关人员向我们描述到,“我们需要防止那些非授权的用户进入我们公司的我网络,即使是合法员工也不能随意跨部门访问数据资源服务器,他们的行为要被严格控制”。

好网络平滑部署好安全

该银行深圳分行在深圳市设有一个分行营业厅和10个支行,在与其合作之后,全国网络已经采用了结构化设计的先进理念,并未该银行后续的整体安全架构规划与部署打下了坚实的基础。

由于防火墙、IDS和IPS等传统的设备级保障仅能将病毒和恶意攻击拒于银行内网之外,而对于那些人机交互界面则是安全领域最难以解决的问题――即合法终端的系统漏洞以及中毒后无意识传播等状况或者是合法用户的越权访问则是当前该银行最亟需解决的安全问题。为此该银行与本公司成立了网络咨询小组,并共同研究如何基于业务应用、基于现有基础设施平台,共同构建该银行的人机交互界面信息系统安全架构。

根据咨询团队分析出的人机界面管理和网络安全需求,H3C为该银行在全国骨干网项目之后又拟定了基于网络的EAD端点准入解决方案。由于网络的部署方案只是本公司安全渗透网络的一个子集解决方案,因此在本次的EAD解决方案的部署过程中,该银行具备了良好的操作界面,从而只需要完成CAMS安全策略服务器、防病毒与补丁服务器、客户端的部署即实现了该银行的总部大楼、深圳等市分行营业厅和各支行的EAD 解决方案。

好安全确保好内控

在完成EAD的解决方案部署后,该银行轻松的实现了内外网所有用户的身份确认、安全登陆、访问控制、行为监督与统一管理。方便了该银行的统一安全内控管理。

终端接入管理

针对该银行提出的需求,通过绑定IP地址和MAC地址,基于802.1x进行身份认证,禁止不合法终端的接入;身份认证通过以后,根据指定的安全策略对终端进行安全检测,对于符合安全策略要求的终端允许认证通过,可以上网;对于不符合安全策略要求的终端用户,则将其放入隔离区,进行系统修补。

针对分支行工作需要,按实际要求把用户帐号和多个客户端的IP、MAC地址绑定,以满足工作人员固定使用一台或可以使用多台终端;将某些用户帐号和一台终端IP、MAC绑定,满足部分终端可供多个人使用的需求,从而实现用户帐号的权限分级管理,在保证网络安全的前提下增加工作人员方便性。

通过设置接入时段策略管理,可以防止其非工作时间帐号的使用,避免帐号盗用。

终端访问权限管理

EAD解决方案中的CAMS系统通过将用户帐号和服务绑定的策略,实现用户网络访问权限的分组管理,可以保证相关员工只能访问其相对应的部门资源,如果用户因岗位变动等原因发生了身份变化,管理员只需更改用户帐号与网络服务的对应关系,即可方便的变更该用户的网络访问权限。该策略是根据用户帐号绑定的服务动态下发不同的ACL,控制用户的网络访问权限,从而完全满足该银行的需求。

终端安全管理

该银行深圳支行使用的Symantec的Norton防病毒软件,由中心服务器负责防病毒客户端的版本升级和病毒库定义的定期更新。EAD解决方案的EAD安全客户端在用户每次登录时,都强制检查防病毒软件的版本和病毒库版本,确保所有版本均为策略服务器规定的版本。同时通过与微软WSUS的配合,检测并自动升级系统的补丁。

根据实时监控策略,当检测到防病毒客户端运行异常时,客户端便会被隔离到隔离区,避免有潜在安全隐患客户端在内网中感染和传播病毒。隔离区中部署了补丁服务器,防毒软件服务器,员工根据安全认证客户端给出的提示可进行系统修复。

通过EAD解决方案提供的计算机安全检查和可控软件管理功能,系统管理员查看到客户端系统信息、已经安装的软件,正在运行的进程等信息,配合公司管理规定强制禁止客户端运行指定的程序或强制客户端安装指定的程序,提高客户端安全管理性。

CAMS服务器的安全保障

CAMS服务器上安装防火墙软件,由系统操作员设定允许访问CAMS服务器的访问控制列表ACL,使CAMS服务器避免受到攻击和感染病毒。并且Cams安全策略服务器的部署可以方便该银行管理员对网络、系统用户的一站式部署,并未网络管理提供了有利的依据与方法。

好内控管理好银行

通过部署H3C的EAD解决方案,提高了该银行终端接入的安全管理能力,实现了接入用户身份管理,限制非法笔记本电脑或非授权用户接入网络;对登陆网络用户进行唯一性身份认证,实现一个用户帐号对应一台计算机,且与接入网络端口绑定,避免外来计算机随意接入研发网络,杜绝帐户盗用、PC机盗用;终端安全管理,在该银行办公和生产网络中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全。需要保证接入网络的用户终端没有感染病毒,且病毒库得到及时更新。用户终端的操作系统,必须及时更新系统补丁。规范接入网络的终端必须安装、运行或禁止安装、运行其中某些软件。员工访问权限控制,员工需要分工明确,各负其职,按角色划分工作范围,不同的角色有不同的权利和责任。对于已经接入网络的用户,需要规范用户的网络行为,不同岗位的员工,其网络访问权限必须明确区分,严格控制。

上一篇:没有了

下一篇:思科-智慧网络客户案例

其他成功案例
  • 某集团高速发展,随着人员、设备与数据量的激增,急需让整个集团共享一张大网, 让全球化资源部署和调配变得更加智慧。思科全智慧的网络,可支持海银感知网络环境, 并能灵活...
    2020-01-13
  • 1、背景与需求 某省电信用户应用虚拟化技术,对现有IT资源进行了整合,建成了内部私有云,供上层各电信业务系统使用。私有云的建成,将硬件资源共享成资源池,可按需分配资源,...
    2020-01-13
  • 银行的核心价值就是商业数据,我们要保证这些数据的安全,某银行的一位相关人员向我们描述到,我们需要防止那些非授权的用户进入我们公司的我网络,即使是合法员工也不能随意...
    2020-01-13
友情链接

公司业务咨询电话:020-8758-3840
公司名称广州德肯科技有限公司
公司地址广东省广州市天河区五山路267号
Copyright © 2016- 广州德肯科技有限公司 版权所有 粤ICP备18133012号

友情链接

Copyright © 2016- 广州德肯科技有限公司 版权所有
全国免费咨询电话:020-8758-3840  公司地址广东省广州市天河区五山路267号  粤ICP备18133012号