河北北正云鼎大数据科技有限公司

招商银行信用卡中心终端安全和准入控制统一管控平台

2016-08-04

一、背景及挑战

      招商银行信用卡中心网络规模大、环境复杂,其中包括业务网、办公网两个完全物理隔离的网络,其中业务网和办公网主要都包括了几百台网络设备和数千台终端电脑。所有网络设备及终端电脑的广泛分布于上海卡中心、成都分中心、武汉分中心及全国30多个办公点。整个网络承载了多种应用,并且规模还在不断的扩大之中。

      如何保证所有接入网络终端的安全性?如何及时发现网络中关键设备和应用的性能和故障问题?如何保障网络中信息和安全?

      在这种背景下,有效整合招商银行信用卡中心的运维队伍,建立统一的运维管理体系迫在眉睫。但是要打造一个什么样的运维管理体系,才能既满足目前的业务需求,又不影响现有的业务结构,还能提升卡中心的竞争力呢?

      在此情况下,招商银行信用卡中心通过市场调研,同时与多家厂商长期的论证和可行性分析,认为云鼎的IT安全运维解决方案是最佳的选择,最终决定由云鼎着手打造卡中心的安全运维管理体系。

二、解决方案

      云鼎IT安全运维解决方案在网络准入控制、信息及系统安全管理、桌面管理等方面能提供强大而有效的安全保障,主要包括:

     (1)自动发现网络上的所有接入设备,并可依据设备属性及资产配置对设备快速定位。同时支持配置变更自动发现与报警,自动维护软硬件配置变更历史信息。

      (2)自动发现存在安全隐患的PC机,并支持多种方式阻断问题主机接入网络,同时提供安全修复指引和下发通知给管理员。系统可以对连接到终端服务器上的哑终端进行安全管控。

      (3)对接入网络的终端设备进行身份和安全状态进行认证和检查,放行符合卡中心安全要求的终端,限制/控制不合规终端的网络资源访问,确保在启用了网络准入控制后,不会影响IP电话的正常使用。

      (4)所有在卡中心使用的U盘(软盘等),通过管理员注册之后才可使用,且对U盘的操作监控,保证卡中心U盘的安全使用。

      (5)实现系统漏洞自动修复和系统和MS应用软件补丁自动更新、升级。强制安装指定的防病毒软件与更新病毒库,禁止运行非法进程和程序。

      (6)终端非法操作监管,检查PC是否安装了管理员已定义的非法软件,监控、审计及禁止对USB硬盘的读写,禁止同时使用内外网卡的操作。支持对网上聊天、BT下载的监控、审计和禁止。

      (7)当员工电脑出现故障需要管理员处理时,管理员可以通过桌面管理系统远程协助员工处理电脑故障,管理员请求协助时需要员工同意。

      (8)根据招商银行信用卡中心的实际环境,决定采用以上海卡中心为一级管理,成都分中心、武汉分中心为二级管理的架构,在合理的用户及权限管理下系统提供统一的运维管理工作。

三、实施部署

      整体部署方案:

      (1)业务网:

      以上海卡中心为一级管理域,成都、武汉分中心为二级管理域并由上海卡中心统一管理。

      (2)办公网:

      将服务器部署于上海卡中心,全国所有办公网客户端直接受到上海卡中心服务器管理。

      

四、项目成果

      部署云鼎IT安全运维解决方案,帮助招行信用卡中心:

      (1)打造了一套统一、完整且有效的安全体系。

      (2)建立了一套灵活有效的设备入网准入机制,实现了网络的安全访问控制。

      (3)实现了桌面电脑敏感资料传输的管控,确保了涉密资料不外泄。

      (4)有效执行了终端电脑安全策略,规范化了员工电脑的使用,大幅提升了节点和整体的系统安全性。

      (5)帮助信息技术部可以及时、有效地对本地卡部和异地卡部提供远程、现场支持服务,大大提高了工作效率。