了解股票行情的软件:中國銀行江蘇省分行大規模終端準入控制平臺項目

發布時間:2015-03-31 15:54 作者/來源:聯軟科技 瀏覽量:11386

項目背景

阿里巴巴股票行情今天 www.819145.live 終端安全管控,需要將管理范圍擴大至全省各分支機構。

中國銀行江蘇分行目前有11個二級分行,辦公終端設備數約為17000多臺。由于營業網點分散,分行的技術維護力量參差不齊,各地的桌面安全管控水準差異極大,普遍難以達到監管部門的要求及符合銀行業務安全穩定運行的需要。

再加上銀行行業自身經營的特點,在辦公終端和服務器環境中既存在合規需求,又存在安全管理的巨大壓力。面對數量眾多,位置分散的網絡,需要在保證省行終端用戶上網辦公基本不受影響的前提下,準入控制和終端安全管控覆蓋到全省各個分行的辦公終端桌面。


項目需求

根據與中國銀行江蘇分行用戶的交流情況,中國銀行江蘇分行在網絡準入控制和終端安全方面的需求如下:


準入控制

(1)各地級分行本部使用基于聯軟NACC策略路由的準入控制方式,實現基于網關的準入控制。

(2)各地級分行區域的支行終端使用802.1x的方式實現基于端口的準入控制。

(3)根據帳號權限和安全標準檢查結果,對接入交換機和NACC準入控制器下發策略,判定該終端是否能夠訪問內網。

(4)各分行本部通過NACC準入控制器準入的終端可以通過在提醒的WEB頁面中輸入預先申請的用戶名和密碼訪問訪客區和特定的業務服務器。

(5)設置訪客用戶權限。

(6)可以按設備的IP地址或MAC地址設置例外,允許一些不需要認證的設備訪問網絡,如網絡打印機。


終端安全

(1)各地級分行(聯軟二級服務器)接受來自省行一級服務器的策略并對終端應用。

(2)各地級分行可以自定義策略。

(3)省行可以通過一級服務器查看分行各地級分行二級服務器的所有終端信息、策略配置信息,策略的審計信息。

(4)禁止并審計辦公終端使用雙網卡。

(5)禁止同網段未安裝聯軟準入控制助手的終端與安裝聯軟準入助手的終端通信。

(6)檢查MCAFEE殺毒軟件的安裝和病毒庫的更新情況。


可靠性

(1)不改變網絡結構,不影響網絡性能。

(2)緊急情況,提供逃生功能,允許電腦設備直接接入網絡。

(3)支持冗余和HA。

(4)占用資源少,對現有應用系統影響少。


安全性

防止通過偽造MAC、盜用用戶名密碼或其它方式繞開準入控制系統,直接接入網絡的訪客有審計紀錄。


管理性

(1)設置審計員角色,只允許查看違規報表。

(2)支持WEB管理。

(3)支持SYSLOG日志輸出。

(4)支持分級/分權限管理員。


兼容性

(1)能夠與Cisco、H3C、Huawei、邁普等品牌的交換機設備兼容。

(2)支持32位及64位WindowsXP/2003/Vista/2008/win8, 支持中、英文及其他語言的操作系統。

(3)兼容常用辦公軟件和業務應用。


項目目標及效果

聯軟科技通過準入控制、辦公終端集中運維、辦公終端安全策略、文件操作行為等功能設計,結合行業規范,制定了一整套功能完備的終端安全解決方案,可充分滿足中國銀行江蘇分行終端環境的風險控制、監管合規和日常運維需要。通過實施本方案,可以達到以下效果:

安全保障

(1)確保中國銀行江蘇分行終端安全管理滿足相關監管機構的相關要求。

(2)每臺終端都能夠被管理,且都必須接受管理。

(3)通過準入控制、桌面安全的集中管理,確保中國銀行江蘇分行網絡安全相關的管理要求做到“可落地、可執行、可檢查、可優化”。

(4)使中國銀行江蘇分行辦公網電腦實現安全加固,減少安全漏洞,有效降低辦公網各類安全風險,提高辦公網絡業務持續能力。

(5)禁止在服務器上安裝和運行與辦公及技術維護無關的軟件,保障服務器和業務安全。

運維效率提高

(1)實現終端集中管理,使得中國銀行江蘇分行終端安全做到實時的可管、可控、可審;讓管理員對所有資產的配置及變動情況隨時“了若指掌”,各分行管理員也可通過平臺及時了解分行終端運行狀況。

(2)系統自動執行相關運維管理任務,特別是遠程協助等功能,可以幫助管理員大幅減少維護成本,提高運維效率。

(3)主機進程控制策略有效地減少了用戶工會技能考試使用作弊軟件的發生。

(4)資產報表功能幫助前端用戶采集一些PC的信息,及定位用戶和機器的信息。

(5)上網審計策略和軟件分發策略,有效地控制外呼的員工訪問一些工作無關的網絡,大大的提高了工作效率。

(6)軟件分發策略可以幫助用戶大大地改善了安裝軟件、修改注冊表等一些終端維護的工作效率。


系統架構

在保證網絡系統的安全性基礎上,為了更好地提高管理的靈活性和便捷性,我們對全省11個地級分支機構采取分級架構來實現:

(1)省行為一級服務器。

(2)分行為二級服務器。

(3)省行管理分支機構并控制分支機構策略。

(4)分行無法修改總行規定策略,但是分行可以定制自己的策略。

(5)在分行與省行網絡中斷的情況下,策略使用和準入控制認證正常。每一個區域都有獨立的兩臺聯軟服務器做管理及熱備,確保系統的正常、安全、高效運行。

辦公網采用分級架構,且啟用準入控制,分行本部采用基于NACC的網絡準入控制,支行需要在接入層交換機啟用802.1x準入控制配置,架構圖如下:


部分設計思路

身份驗證設計

鑒于中行所有員工都有HR賬號,因此聯軟準入控制后臺將HR賬號和密碼同步到后臺,對于需要進入中行內部網絡進行辦公的行外人員,需要手動在后臺建立專用賬號。所有員工都需要安裝客戶端,且進行賬戶認證和機器碼識別,三項均符合要求才可以正常接入網絡。

同時我們對中行內部員工和外部員工做了不同的身份認證體制,統一適用場景的安全性和便捷性。同時,終端機器碼的驗證保證了,即使是外部中斷盜用內部員工用戶名和密碼等,也無法接入網絡。

安全合規性檢查設計


保證接入網絡的終端是合法可信任的之外,我們還需要確保該終端是安全的。為了保證接入網絡中的終端是安全的,我們對終端做了基本的安全基線(指定的AD域、殺毒軟件,符合要求的病毒碼升級期限等等)檢查。只有滿足安全基線,才允許正常接入網絡,否則終端被切入到修復區進行安全修復,直至安全為止。

訪客區資源規劃

各分行本部的終端通過NACC實現訪客的管理,包括訪客的放行,提醒,以及臨時開放一些服務器給外來人員使用。

修復區資源規劃


修復區主要提供給不滿足安全合規項檢查的內部不安全終端自行修復使用。

(1)基于802.1x準入控制,當網絡準入過程中檢測到終端不滿足安全合規項,聯軟服務器會根據后臺配置通知該終端所連接的交換機,將該終端連接的交換機端口切換到修復VLAN。修復VLAN默認只提供對LeagView后臺服務器IP、AD服務器IP、MCAFEE服務器IP、文件共享服務器IP(存放安全軟件安裝包)進行訪問。

(2)基于NACC的準入控制,當網絡準入過程中檢測到終端不滿足安全合規項,則radius服務器會根據后臺配置通知NACC,給該終端下發指定的ACL,用以實現修復指引和幫助。

工作區資源規劃

工作區:各終端準入網絡成功后, 直接沿用現有的網絡配置和訪問權限劃分,不做修改。

可靠性設計:雙radius設計

采取雙radius服務器的部署模式,在網絡內添加兩臺radius服務器做身份驗證。當一臺radius服務器無法提供準入的認證服務時,交換機會自動切換到另外一臺radius服務器進行驗證,無須人工干預,實現準入的認證和授權功能的高可用性。

此外,聯軟的radius服務器在設置的時候,本身也考慮了可用性問題。聯軟的radius服務器會將數據庫中的準入配置信息,以及終端的身份信息,緩存到radius服務器的內存中,這樣即使連不上數據庫,radius服務器仍然能夠正常進行準入的驗證和授權。

可靠性設計:應急設計

不僅如此,聯軟還精心準備了應急設計,以便于在服務器或數據庫等出現故障時候,能夠進入逃生模式,自動放行終端接入網絡。

(1)AAA DOWN

通過此功能,當認證過程中交換機發現兩臺radius服務器均無法工作時,會自動將認證的終端放行。

(2)聯軟NACC逃生模式


NACC有專門的逃生模式,在使用NACC進行準入的環境中,出現準入無法完成時,通過登錄到NACC的管理界面,將NACC切換到逃生模式,NACC將自動撤銷對終端準入認證的要求,NACC對所有收到的流量執行無條件轉發。

當NACC硬件出現故障無法啟動時,此時需要通過取消策略路由或修改靜態路由的方式,使終端訪問的流量不經過NACC,實現準入的撤防。


服務

聯軟除了為客戶提供自動式服務、熱線服務、服務臺服務、遠程服務、現場服務之外,還在系統實施部署前對系統管理員和實施人員進行系統培訓,讓管理人員對準入控制的使用和維護有一個整體的了解,讓實施人員了解準入控制的部署細節,為順利實施提供有力保證。


同時為了獲得最佳的實施效果,我們在實施過程中還反復做了準入控制試點測試,在整個項目完成之后,我們還為江蘇省中行提供技術和非技術的風險分析與規避,盡可能地在最大的范圍內,降低甚至規避風險的影響。

全國服務熱線

400-6288-116

聯系我們

Email: [email protected]

深圳市南山區高新區軟件大廈10層1001-1003

服務熱線

400-6288-116

在線咨詢

售前咨詢

售后咨詢

渠道合作

申請試用

公眾號

微信掃一掃
關注公眾號:Leagsoft

阿里巴巴股票行情今天

返回頂部
本站由Webpe技術服務
{ganrao}