X
牛竞技的愿景:构建可控的互联世界!

国家开发银行终端网络安全准入管理系统
发布时间:2015-04-09 | 牛竞技来源地:联软科技 | 浏览次数:7501

一、项目背景

国家开发银行 ( 国开行 ) 成立于 1994 3 月,直属国务院领导。目前在全国设有 32 家分行和 4 家代表处。

由于国开行目前使用的网络安全准入系统存在网络设备兼容性不足和厂商即将停止支持服务的问题,不仅影响了整体网络安全水平,而且无法满足国开行发展需要。 为了保障国开行办公网络信息系统安全、稳定、高效运行,进一步加强信息资源访问管理,提高办公内网计算机机终端抵御信息风险的能力,国开行急需新建一套技术先进、安全性高、兼容性强的 网络准入控制系统


二、建设目标

建立一套符合国际、国内标准的,技术先进、安全性高、兼容性强的专业化 网络安全准入系统

通过该系统进行统一安全策略管理,实现对计算机终端用户合法身份的检查认证以及计算机终端防病毒软件、操作系统补丁等安全有效性检查,同时规范计算机终端对信息资源的访问管理。确保接入国家开发银行内网的终端,是经过授权的,是符合安全要求的,从而达到保障国开行整体网络安全性的目的,支持国开行的快速发展。


三、功能及效果

建立了一套 终端网络安全准入管理系统 ,解决全行的终端设备进行网络接入时的统一安全管理问题:

(1)防病毒检查: 加强接入网络的内部终端防病毒软件检查,包括是否安装指定版本和更新时间,支持防病毒软件多选一的方式进行检查,防病毒软件包括但不限于赛门铁克的 SEP 、趋势科技、 MaCaffe 、瑞星、360杀毒等。

(2)安全加固: 加强接入网络的内部终端所安装的操作系统补丁检查及修复,包括指定的补丁和更新时间等。

3) 动态 Vlan 划分:根据用户角色实现网络访问权限划分。

(4) 系统高度冗余:网络安全准入系统保证了高可用性,避免出现断网等影响到内网网络访问。

(5)快速定位:当终端计算机 出现安全问题后,可根据问题终端的 IP/MAC/ 主机名等进行快速定位。

6) 加强终端网络访问权限管理:限制内网机只能够通过网络访问指定的网络资源。

(7) 加强终端移动外设的管控:限制 U 口、光驱等移动设备的写权限控制。

8) 其他相关终端安全准入管理功能。


四、部署方式

国开行使用 802.1x 的方式进行网络安全准入管理系统的部署,网络架构示意图如下:


国家开发银行网络安全准入管理系统网络架构示意图


由于网络安全准入系统关系办公计算机能否正常接入网络,系统的冗余性要求较高。为保证在各种况下出现 Radius 无法访问时,内网终端继续访问相关网络资源,故在交换机上配置 Critical 方案,其能够满足以下需求:

Ø  按照准入系统架构,交换机上应配置 5 Radius 服务器 IP

Ø  主 Radius 无法响应时,交换机应能够及时将认证数据包发往备 Radius 进行认证。

Ø  主 Radius 恢复后,交换机自动切换回主 Radius

Ø  主、备 Radius Server 都无法响应时,交换机应能够依次尝试异地的 Radius 服务器进行准入认证。

Ø  交换机对每个 Radius 服务器发送认证请求为 2 次,每次等待 1 秒,交换机在完成尝试所有 5 Radius 之前,不应把内网机切换进入其他 VLAN

Ø  所有 Radius Server 都无法响应时,交换机应将新接入内网机切换至逃生 Vlan 以保障终端能够继续使用内网资源,将新接入的外网终端自动切换至 Guest Vlan

Ø  任意一个 Radius 服务器恢复后,交换机应能够恢复准入认证。

交换机Critical模式配置示意图


五、紧急预案

为了确保工作人员能够在系统出现故障的时候在最快的时间内完成修复。联软特别做了详细且全面的紧急预案。网络安全准入系统应急操作手册对每一步都做了最小单元的处理指导,涉及到what、who、how、where、time等等。能够保证工作人员可以直接对照手册进行故障排除并完成修复。下图是操作手册的部分内容:

网络安全准入系统应急操作手册部分内容展示图


客户案例

关注微信: Leagsoft

2018年中总结

牛竞技©2003-2018 深圳市联软科技股份有限牛竞技 粤ICP备11101642号.