構(gòu)建高可靠性和高安全性的信息化網(wǎng)絡(luò)系統(tǒng)是銀行、證券等金融企業(yè)業(yè)務(wù)運(yùn)營(yíng)的前提保障。民生銀行作為首批上市的商業(yè)銀行之一，為保證其金融、信貸等業(yè)務(wù)的保密性和安全性，迫切需要一個(gè)安全、高效、穩(wěn)定運(yùn)行的信息化辦公系統(tǒng)，其中對(duì)客戶(hù)終端認(rèn)證做集中統(tǒng)一控制，應(yīng)用一致的用戶(hù)安全策略，保證用戶(hù)終端的健壯性、阻止病毒等威脅入侵網(wǎng)絡(luò)，是保證辦公網(wǎng)絡(luò)安全運(yùn)行的前提。

　　案例規(guī)模

　　一期共4000點(diǎn)，二期共20000個(gè)信息點(diǎn)

　　管理需求

　　防止非法接入。限制非法筆記本電腦或非授權(quán)、外來(lái)用戶(hù)接入隨意使用網(wǎng)絡(luò)；
　　防止非法外聯(lián)。禁止任何方式（包括使用撥號(hào)、雙網(wǎng)卡等）使終端用戶(hù)可同時(shí)訪(fǎng)問(wèn)辦公、業(yè)務(wù)網(wǎng)和Internet；
　　身份唯一性。強(qiáng)制用戶(hù)使用系統(tǒng)分配的IP地址，不允許其隨意修改IP地址配置，對(duì)登錄內(nèi)網(wǎng)的用戶(hù)進(jìn)行唯一性身份認(rèn)證，杜絕帳戶(hù)盜用、PC機(jī)盜用等；
　　上網(wǎng)日志審計(jì)。提供終端訪(fǎng)問(wèn)網(wǎng)絡(luò)的詳細(xì)上網(wǎng)日志信息和強(qiáng)大的管理查詢(xún)功能，便于管理員定位問(wèn)題。

　　解決方案實(shí)施

　　針對(duì)上述終端接入控制需求，H3C公司憑借其擁有自主知識(shí)產(chǎn)權(quán)的EAD解決方案為民生銀行量身定制了特色化的實(shí)施策略，其網(wǎng)絡(luò)拓?fù)淙缦聢D所示：

　　應(yīng)用效果

• 用戶(hù)身份管理及安全控制策略

　　為了嚴(yán)格控制用戶(hù)的網(wǎng)絡(luò)接入，使用接入層設(shè)備啟用802.1X認(rèn)證，并且采用綁定用戶(hù)名/密碼/MAC/網(wǎng)絡(luò)接入設(shè)備端口的身份驗(yàn)證策略，有效限制了用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)的區(qū)域，并堅(jiān)決杜絕了外來(lái)和未授權(quán)用戶(hù)非法使用網(wǎng)絡(luò)；利用EAD的可自定義多種附加信息功能由用戶(hù)輸入單位、部門(mén)、姓名、密碼等信息，由管理員審核后方可開(kāi)通權(quán)限，外來(lái)用戶(hù)沒(méi)有經(jīng)過(guò)審批無(wú)法接入網(wǎng)絡(luò)。

　　用戶(hù)終端通過(guò)DHCP動(dòng)態(tài)獲取IP地址上網(wǎng)，使用H3C安全認(rèn)證客戶(hù)端（H3C iNode智能客戶(hù)端，以下簡(jiǎn)稱(chēng)iNode客戶(hù)端）可以限制IP地址必須使用DHCP動(dòng)態(tài)獲取方式以及檢查MAC地址是否修改，有效地防止了MAC仿冒盜用帳號(hào)和私設(shè)IP導(dǎo)致IP地址沖突的情況發(fā)生；同時(shí)通過(guò)禁止接入終端使用多網(wǎng)卡來(lái)限制用戶(hù)無(wú)法同時(shí)訪(fǎng)問(wèn)業(yè)務(wù)網(wǎng)及Internet。iNode客戶(hù)端和接入設(shè)備H3C S3600系列交換機(jī)還可以在終端用戶(hù)正常接入后禁止用戶(hù)擅自修改IP地址，從根本上杜絕了用戶(hù)擅自修改IP的狀況。

　　EAD安全策略服務(wù)器與iNode客戶(hù)端配合可以對(duì)各種外聯(lián)或代理進(jìn)行禁止。無(wú)論用戶(hù)采用何種方式，包括IE代理、雙網(wǎng)卡以及內(nèi)網(wǎng)用戶(hù)通過(guò)Modem上網(wǎng)等都可以進(jìn)行控制，上述禁止方式和策略可以靈活組合來(lái)滿(mǎn)足用戶(hù)各方面的安全控制需要。

• 豐富的問(wèn)題終端定位手段

　　利用EAD解決方案的強(qiáng)大用戶(hù)管理維護(hù)和數(shù)據(jù)審計(jì)等功能，民生銀行IT管理員的日常維護(hù)和管理工作量大大減少，他們還利用EAD生成的訪(fǎng)問(wèn)量、用戶(hù)訪(fǎng)問(wèn)時(shí)長(zhǎng)/流量等報(bào)表，對(duì)員工的工作量、網(wǎng)絡(luò)使用頻率和效率做分析，不斷優(yōu)化管理措施和網(wǎng)絡(luò)規(guī)劃。

　　針對(duì)用戶(hù)終端的上網(wǎng)行為，EAD提供的詳細(xì)上網(wǎng)明細(xì)（包括用戶(hù)帳號(hào)信息，用戶(hù)的IP/MAC地址，接入?yún)^(qū)域的設(shè)備IP/端口號(hào)/VLAN ID，上下線(xiàn)時(shí)間，上下行流量等）、安全日志（違規(guī)安全事件詳細(xì)內(nèi)容/發(fā)生時(shí)間及相應(yīng)處理結(jié)果等）和系統(tǒng)日志為民生銀行的IT管理員提供了豐富的定位問(wèn)題終端、解決終端網(wǎng)絡(luò)接入問(wèn)題以及系統(tǒng)維護(hù)的手段和方法。