作者
交通银行青岛分行金融科技部总经理 王兵
交通银行青岛分行高级系统网络管理 史广轶
伴随着网络的高速发展,传统网络在“技术驱动金融创新”新型势下显得僵化、繁琐,越来越不能满足商业银行的业务需求。同时,网络设备数量及终端数量的爆炸式增长加大了网络维护的难度,增加了信息安全风险。如何安全控制接入网络的设备,减少人员操作风险,保障网络数据安全,降低运维成本,成为商业银行急需解决的一个问题。
多年来,交通银行依据国家相关规定,制定了多项安全相关规范和管理制度,如《交通银行网络接入安全技术规范》及其他网络安全管理制度等。2021年5月,为进一步明确终端安全管控要求,加强数据安全保护,交通银行总行制定并发布了《交通银行终端安全管理与技术规范》(以下简称“新规范”)。
为深入贯彻落实总行各项信息安全工作管理要求,交通银行青岛分行不断提升科技管理能力,加强终端安全管理措施,结合本行实际将总行各项制度予以细化,做好终端统一准入管理工作。本文基于交通银行青岛分行全网终端统一准入测试实践,探讨商业银行加强各类终端安全管控的措施和路径,构筑信息系统安全运行的“防火墙”。
一、项目背景
交通银行青岛分行全网终端统一准入测试项目基于总行发布的新规范开展。新规范要求终端的引入、接入、使用、管理与回收等过程中使用相应的安全管控措施,防止敏感数据泄露,保障信息系统安全运行。其中不仅要求办公终端应安装企业级防泄露软件(EDLP),而且还要在交换机上绑定其MAC地址,并对其IP地址进行管控,确保不能通过修改IP地址的方式获取到额外的网络访问权限。在达到新规范要求确保网络安全的前提下,还要考虑日常运维工作量,降低人工维护成本。基于以上因素的考虑,交通银行青岛分行与合作伙伴方共同设计了项目方案。
二、项目方案和部署情况
1.方案制定
在此项目方案制定过程中,考虑除可使用EDLP软件做准入的办公终端外,网内还存在大量无法安装EDLP的网络打印机、IP电话等设备需要使用MAC地址认证方式,为保障项目安全,确保不会因终端私自变更端口导致认证方式不匹配而无法登录网络或获取到额外的访问权限,需要在全网所有接入交换机端口上实施统一的准入管控策略,这样一方面可确保网络安全,无非法接入漏洞;另一方面可确保全网所有接入端口均有相同的安全策略。交通银行青岛分行终端设备安全准入方案如图1所示。
图1 交通银行青岛分行终端设备安全准入方案
2.认证准入
为达到上述效果,本方案在分行本地部署一台SDN-LAN一级准入服务器。在交换机所有接口上均无差别的开启DOT1X认证。网内终端以MAC地址认证或以EDLP的用户名密码认证,认证请求均会被送至本地一级认证服务器。MAC地址认证白名单在本地一级认证服务器中集中管理,此做法可解决日常管理需要分别维护每一台接入交换机MAC地址认证名单的问题。同时,SDN-LAN一级认证服务器会对接总行EDLP二级认证服务器,基于EDLP方式的用户名密码认证,通过本地服务器中继送至总行做身份认证,并且在本地同时对其MAC地址、IP地址合法性进行核对,确保用户名、密码、MAC、IP均为合法的终端才能接入网络,满足总行安全规范要求。
3.访问控制
在终端接入网络后,还要对终端的访问行为进行管控,确保用户的访问行为合规。传统做法通常是在网络关键节点通过部署ACL访问控制列表的方式进行。然而随着时间的推移,冗长的ACL访问控制列表不仅严重影响关键节点设备性能,而且设备ACL配置界面通常不够简洁,给网络管理人员带来巨大的工作量。
本解决方案中,在本地部署的SDN-LAN一级准入控制器同时具备用户访问权限精准下发的功能。在服务器中可为不同的用户、用户组预置不同的访问权限,在用户完成身份认证、接入网络的同时,其对应的访问权限也会以ACL访问列表的方式通过NETCONF下发至其对应接入的交换机接口上,确保在每个用户接入网络的最边缘下发最精准的访问权限,实现对细粒度的管控。
三、测试效果
交通银行青岛分行全网终端统一准入研究与实践项目经过在网内部署测试,结果完全达到了预期,且该方案在以下真实的复杂环境中也可满足需求,保障网络安全运行。接入交换机同一端口下的终端认证如图2所示。
图2 接入交换机同一端口下的终端认证
这里存在三种认证场景:交换机同一端口下有多台基于EDLP的用户名密码认证的终端、多台基于MAC认证的终端、混合存在基于MAC认证的终端和EDLP的用户名密码认证的终端。
在以上三种场景中所有合法终端均可正常认证,并在认证成功后分别获得相应的访问权限,非法终端接入到已完成认证的端口上时无法接入网络,确保了网络安全。
经过测试和部署,交通银行青岛分行实现了终端接入安全控制,从整体上提升了信息科技管理水平:
-
一是解决了传统配置和运维方式耗时耗力的问题,以智能运维支撑业务的敏捷部署;
-
二是面对终端和设备管控复杂的局面,实现了快速且安全的极简接入;
-
三是从靠人力运维转向靠系统运维,科技管理水平得到大幅提升;
-
四是通过终端的行为管理和异常流量的自动阻断,实现了网络的协同安全。
2020年,交通银行青岛分行对全辖网点的内部网交换机进行更新替换,在优化网点网络接入架构的基础上进一步提升了一线网络使用体验。在系统稳定运行的基础上,各部门通过基础建设、系统创新等措施,进一步提升了交通银行青岛分行信息化整体架构水平,开启了青岛分行“智慧运维”新时代。2021年,交通银行青岛分行将以总行“十四五”规划为导向,聚焦“创造共同价值、提供最好服务”的核心战略目标,进一步发挥金融科技在客户体验、业务发展、风险防控、运行效率等方面的赋能引领作用,将继续强化IT基础架构,激发团队创新活力,打好“智慧运维”保卫战,以新技术、新方式夯实信息化建设总体架构,运用科技手段赋能引领业务发展,为加快数字化转型提供核心驱动力,助力交通银行青岛分行业务高质量发展,实现打造精品分行的美好愿景。
本文拟刊于《中国金融电脑》2021年第08期
声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。