中国银行江苏省分行大规模终端准入控制平台项目
一、项目背景
中国银行江苏省分行在省行总部已部署联软科技终端准入控制管理平台获得了良好的效果后,为了更好的实现准入控制和终端安全管控,需要将管理范围扩大至全省各分支机构。
中国银行江苏分行目前有11个二级分行,办公终端设备数约为17000多台。由于营业网点分散,分行的技术维护力量参差不齐,各地的桌面安全管控水准差异极大,普遍难以达到监管部门的要求及符合银行业务安全稳定运行的需要。
再加上银行行业自身经营的特点,在办公终端和服务器环境中既存在合规需求,又存在安全管理的巨大压力。面对数量众多,位置分散的网络,需要在保证省行终端用户上网办公基本不受影响的前提下,准入控制和终端安全管控覆盖到全省各个分行的办公终端桌面。
二、项目需求
根据与中国银行江苏分行用户的交流情况,中国银行江苏分行在网络准入控制和终端安全方面的需求如下:
类别 | 需求 | 详情 |
功能性需求
|
准入控制
| (1)各地级分行本部使用基于联软NACC策略路由的准入控制方式,实现基于网关的准入控制。 (2)各地级分行区域的支行终端使用802.1x的方式实现基于端口的准入控制。 (3)根据帐号权限和安全标准检查结果,对接入交换机和NACC准入控制器下发策略,判定该终端是否能够访问内网。 (4)各分行本部通过NACC准入控制器准入的终端可以通过在提醒的WEB页面中输入预先申请的用户名和密码访问访客区和特定的业务服务器。 (5)设置访客用户权限。 (6)可以按设备的IP地址或MAC地址设置例外,允许一些不需要认证的设备访问网络,如网络打印机。 |
终端安全 | (1)各地级分行(联软二级服务器)接受来自省行一级服务器的策略并对终端应用。 (2)各地级分行可以自定义策略。 (3)省行可以通过一级服务器查看分行各地级分行二级服务器的所有终端信息、策略配置信息,策略的审计信息。 (4)禁止并审计办公终端使用双网卡。 (5)禁止同网段未安装联软准入控制助手的终端与安装联软准入助手的终端通信。 (6)检查MCAFEE杀毒软件的安装和病毒库的更新情况。 | |
可靠性 | (1)不改变网络结构,不影响网络性能。 (2)紧急情况,提供逃生功能,允许电脑设备直接接入网络。 (3)支持冗余和HA。 (4)占用资源少,对现有应用系统影响少。 | |
安全性 | 防止通过伪造MAC、盗用用户名密码或其它方式绕开准入控制系统,直接接入网络的访客有审计纪录。 | |
管理性 | (1)设置审计员角色,只允许查看违规报表。 (2)支持WEB管理。 (3)支持SYSLOG日志输出。 (4)支持分级/分权限管理员。 | |
兼容性 | (1)能够与Cisco、H3C、Huawei、迈普等品牌的交换机设备兼容。 (2)支持32位及64位WindowsXP/2003/Vista/2008/win8, 支持中、英文及其他语言的操作系统。 (3)兼容常用办公软件和业务应用。 | |
三、项目目标及效果
联软科技通过准入控制、办公终端集中运维、办公终端安全策略、文件操作行为等功能设计,结合行业规范,制定了一整套功能完备的终端安全解决方案,可充分满足中国银行江苏分行终端环境的风险控制、监管合规和日常运维需要。通过实施本方案,可以达到以下效果:
安全保障
(1)确保中国银行江苏分行终端安全管理满足相关监管机构的相关要求。
(2)每台终端都能够被管理,且都必须接受管理。
(3)通过准入控制、桌面安全的集中管理,确保中国银行江苏分行网络安全相关的管理要求做到“可落地、可执行、可检查、可优化”。
(4)使中国银行江苏分行办公网电脑实现安全加固,减少安全漏洞,有效降低办公网各类安全风险,提高办公网络业务持续能力。
(5)禁止在服务器上安装和运行与办公及技术维护无关的软件,保障服务器和业务安全。
运维效率提高
(1)实现终端集中管理,使得中国银行江苏分行终端安全做到实时的可管、可控、可审;让管理员对所有资产的配置及变动情况随时“了若指掌”,各分行管理员也可通过平台及时了解分行终端运行状况。
(2)系统自动执行相关运维管理任务,特别是补丁管理、软件分发、远程协助等功能,可以帮助管理员大幅减少维护成本,提高运维效率。
(3)主机进程控制策略有效地减少了用户工会技能考试使用作弊软件的发生。
(4)资产报表功能帮助前端用户采集一些PC的信息,及定位用户和机器的信息。
(5)上网审计策略和软件分发策略,有效地控制外呼的员工访问一些工作无关的网络,大大的提高了工作效率。
(6)软件分发策略可以帮助用户大大地改善了安装软件、修改注册表等一些终端维护的工作效率。
(7)其他……
四、系统架构
在保证网络系统的安全性基础上,为了更好地提高管理的灵活性和便捷性,我们对全省11个地级分支机构采取分级架构来实现:
(1)省行为一级服务器。
(2)分行为二级服务器。
(3)省行管理分支机构并控制分支机构策略。
(4)分行无法修改总行规定策略,但是分行可以定制自己的策略。
(5)在分行与省行网络中断的情况下,策略使用和准入控制认证正常。每一个区域都有独立的两台联软服务器做管理及热备,确保系统的正常、安全、高效运行。
办公网采用分级架构,且启用准入控制,分行本部采用基于NACC的网络准入控制,支行需要在接入层交换机启用802.1x准入控制配置,架构图如下:
五、部分设计思路
身份验证设计
鉴于中行所有员工都有HR账号,因此联软准入控制后台将HR账号和密码同步到后台,对于需要进入中行内部网络进行办公的行外人员,需要手动在后台建立专用账号。所有员工都需要安装客户端,且进行账户认证和机器码识别,三项均符合要求才可以正常接入网络。
同时我们对中行内部员工和外部员工做了不同的身份认证体制,统一适用场景的安全性和便捷性。同时,终端机器码的验证保证了,即使是外部中断盗用内部员工用户名和密码等,也无法接入网络。
安全合规性检查设计
保证接入网络的终端是合法可信任的之外,我们还需要确保该终端是安全的。为了保证接入网络中的终端是安全的,我们对终端做了基本的安全基线(指定的AD域、杀毒软件,符合要求的病毒码升级期限等等)检查。只有满足安全基线,才允许正常接入网络,否则终端被切入到修复区进行安全修复,直至安全为止。
访客区资源规划
各分行本部的终端通过NACC实现访客的管理,包括访客的放行,提醒,以及临时开放一些服务器给外来人员使用。
修复区资源规划
修复区主要提供给不满足安全合规项检查的内部不安全终端自行修复使用。
(1)基于802.1x准入控制,当网络准入过程中检测到终端不满足安全合规项,联软服务器会根据后台配置通知该终端所连接的交换机,将该终端连接的交换机端口切换到修复VLAN。修复VLAN默认只提供对LeagView后台服务器IP、AD服务器IP、MCAFEE服务器IP、文件共享服务器IP(存放安全软件安装包)进行访问。
(2)基于NACC的准入控制,当网络准入过程中检测到终端不满足安全合规项,则radius服务器会根据后台配置通知NACC,给该终端下发指定的ACL,用以实现修复指引和帮助。
工作区资源规划
工作区:各终端准入网络成功后, 直接沿用现有的网络配置和访问权限划分,不做修改。
可靠性设计:双radius设计
采取双radius服务器的部署模式,在网络内添加两台radius服务器做身份验证。当一台radius服务器无法提供准入的认证服务时,交换机会自动切换到另外一台radius服务器进行验证,无须人工干预,实现准入的认证和授权功能的高可用性。
此外,联软的radius服务器在设置的时候,本身也考虑了可用性问题。联软的radius服务器会将数据库中的准入配置信息,以及终端的身份信息,缓存到radius服务器的内存中,这样即使连不上数据库,radius服务器仍然能够正常进行准入的验证和授权。
可靠性设计:应急设计
不仅如此,联软还精心准备了应急设计,以便于在服务器或数据库等出现故障时候,能够进入逃生模式,自动放行终端接入网络。
(1)AAA DOWN
通过此功能,当认证过程中交换机发现两台radius服务器均无法工作时,会自动将认证的终端放行。
(2)联软NACC逃生模式
NACC有专门的逃生模式,在使用NACC进行准入的环境中,出现准入无法完成时,通过登录到NACC的管理界面,将NACC切换到逃生模式,NACC将自动撤销对终端准入认证的要求,NACC对所有收到的流量执行无条件转发。
当NACC硬件出现故障无法启动时,此时需要通过取消策略路由或修改静态路由的方式,使终端访问的流量不经过NACC,实现准入的撤防。
六、服务
联软除了为客户提供自动式服务、热线服务、服务台服务、远程服务、现场服务之外,还在系统实施部署前对系统管理员和实施人员进行系统培训,让管理人员对准入控制的使用和维护有一个整体的了解,让实施人员了解准入控制的部署细节,为顺利实施提供有力保证。
同时为了获得最佳的实施效果,我们在实施过程中还反复做了准入控制试点测试,在整个项目完成之后,我们还为江苏省中行提供技术和非技术的风险分析与规避,尽可能地在最大的范围内,降低甚至规避风险的影响。
