構建高可靠性和高安全性的信息化網(wǎng)絡系統(tǒng)是銀行、證券等金融企業(yè)業(yè)務運營的前提保障。民生銀行作為首批上市的商業(yè)銀行之一，為保證其金融、信貸等業(yè)務的保密性和安全性，迫切需要一個安全、高效、穩(wěn)定運行的信息化辦公系統(tǒng)，其中對客戶終端認證做集中統(tǒng)一控制，應用一致的用戶安全策略，保證用戶終端的健壯性、阻止病毒等威脅入侵網(wǎng)絡，是保證辦公網(wǎng)絡安全運行的前提。

　　案例規(guī)模

　　一期共4000點，二期共20000個信息點

　　管理需求

　　防止非法接入。限制非法筆記本電腦或非授權、外來用戶接入隨意使用網(wǎng)絡；
　　防止非法外聯(lián)。禁止任何方式（包括使用撥號、雙網(wǎng)卡等）使終端用戶可同時訪問辦公、業(yè)務網(wǎng)和Internet；
　　身份唯一性。強制用戶使用系統(tǒng)分配的IP地址，不允許其隨意修改IP地址配置，對登錄內網(wǎng)的用戶進行唯一性身份認證，杜絕帳戶盜用、PC機盜用等；
　　上網(wǎng)日志審計。提供終端訪問網(wǎng)絡的詳細上網(wǎng)日志信息和強大的管理查詢功能，便于管理員定位問題。

　　解決方案實施

　　針對上述終端接入控制需求，H3C公司憑借其擁有自主知識產權的EAD解決方案為民生銀行量身定制了特色化的實施策略，其網(wǎng)絡拓撲如下圖所示：

　　應用效果

• 用戶身份管理及安全控制策略

　　為了嚴格控制用戶的網(wǎng)絡接入，使用接入層設備啟用802.1X認證，并且采用綁定用戶名/密碼/MAC/網(wǎng)絡接入設備端口的身份驗證策略，有效限制了用戶訪問網(wǎng)絡的區(qū)域，并堅決杜絕了外來和未授權用戶非法使用網(wǎng)絡；利用EAD的可自定義多種附加信息功能由用戶輸入單位、部門、姓名、密碼等信息，由管理員審核后方可開通權限，外來用戶沒有經(jīng)過審批無法接入網(wǎng)絡。

　　用戶終端通過DHCP動態(tài)獲取IP地址上網(wǎng)，使用H3C安全認證客戶端（H3C iNode智能客戶端，以下簡稱iNode客戶端）可以限制IP地址必須使用DHCP動態(tài)獲取方式以及檢查MAC地址是否修改，有效地防止了MAC仿冒盜用帳號和私設IP導致IP地址沖突的情況發(fā)生；同時通過禁止接入終端使用多網(wǎng)卡來限制用戶無法同時訪問業(yè)務網(wǎng)及Internet。iNode客戶端和接入設備H3C S3600系列交換機還可以在終端用戶正常接入后禁止用戶擅自修改IP地址，從根本上杜絕了用戶擅自修改IP的狀況。

　　EAD安全策略服務器與iNode客戶端配合可以對各種外聯(lián)或代理進行禁止。無論用戶采用何種方式，包括IE代理、雙網(wǎng)卡以及內網(wǎng)用戶通過Modem上網(wǎng)等都可以進行控制，上述禁止方式和策略可以靈活組合來滿足用戶各方面的安全控制需要。

• 豐富的問題終端定位手段

　　利用EAD解決方案的強大用戶管理維護和數(shù)據(jù)審計等功能，民生銀行IT管理員的日常維護和管理工作量大大減少，他們還利用EAD生成的訪問量、用戶訪問時長/流量等報表，對員工的工作量、網(wǎng)絡使用頻率和效率做分析，不斷優(yōu)化管理措施和網(wǎng)絡規(guī)劃。

　　針對用戶終端的上網(wǎng)行為，EAD提供的詳細上網(wǎng)明細（包括用戶帳號信息，用戶的IP/MAC地址，接入?yún)^(qū)域的設備IP/端口號/VLAN ID，上下線時間，上下行流量等）、安全日志（違規(guī)安全事件詳細內容/發(fā)生時間及相應處理結果等）和系統(tǒng)日志為民生銀行的IT管理員提供了豐富的定位問題終端、解決終端網(wǎng)絡接入問題以及系統(tǒng)維護的手段和方法。