近年來，中國銀行堅持把強化網(wǎng)絡安全控制建設作為固本強基，保證銀行經(jīng)營活動健康運行的一項基礎性工作來做，大力構建安全控制體系，以有效防范和化解金融風險，消除安全隱患。2008年上半年，中國銀行安全控制三道防線體系組織建設已落實到位，并進一步完善了安全檢查、安全整改和安全考核等相關工作流程和機制，同時進一步完善了《中國銀行操作風險管理政策框架》。

　　作為內控體系的關鍵一環(huán)，中國銀行網(wǎng)絡部門非常重視終端用戶準入控制和安全合規(guī)方面的建設。而原有的桌面管理軟件只能提供資產(chǎn)管理功能，無法解決用戶準入及安全合規(guī)問題。經(jīng)過一年多的選型和現(xiàn)場測試后，中國銀行最終選定并部署了H3C公司的iMC EAD終端準入控制解決方案，與原有的Cisco設備和新增的H3C設備配合，對客戶終端認證做集中統(tǒng)一控制、應用一致的用戶安全策略，保證用戶終端的健壯性，阻止病毒等威脅入侵網(wǎng)絡。

　　EAD在中國銀行的部署

　　H3C為保證客戶的最高安全性，采用了接入層802.1X的部署方案，與Cisco2950、H3C S3600等系列交換機配合，提供準入控制，有效防病毒、補丁自動升級等，保證高安全。同時，網(wǎng)絡中心部署一套iMC網(wǎng)管平臺、iMC UBA用戶行為審計系統(tǒng)、iMC NTA網(wǎng)流流量分析系統(tǒng)，通過原C6509交換機提供的NetFlow流量數(shù)據(jù)，對網(wǎng)絡設備進行統(tǒng)一管理，對非法用戶的上網(wǎng)行為進行審計，對異常流量進行實時的流量分析。目前，共計部署終端用戶約4500點。

　　EAD與思科2950交換機配合

　　H3C EAD可與思科2950以上系列的交換機配合，實現(xiàn)標準的終端準入控制功能。目前已經(jīng)測試過的還有C3550、C3750、C4500等系列交換機。

　　EAD雙機備份

　　EAD不僅支持雙機冷備，也支持雙機熱備（需要額外增加一臺磁盤陣列柜），有效提升了系統(tǒng)可靠性。中國銀行采用了雙機冷備方案，其中一臺作為主服務器（安裝iMC、EAD），另一臺作為備份服務器（安裝iMC、EAD），互為備份。在第三臺服務器上安裝UBA/NTA。

　　AD域統(tǒng)一認證

　　中國銀行擁有多套應用系統(tǒng)，每個應用系統(tǒng)都需要用戶名和密碼進行登錄。為了便于管理，中國銀行采用Windows AD域來作為統(tǒng)一的用戶帳號管理系統(tǒng)。

　　在部署EAD時，中國銀行采用了AD域統(tǒng)一認證方案。用戶登錄EAD時，使用自己的AD域帳號和密碼進行登錄，EAD系統(tǒng)會自動把AD域帳號和密碼傳給Windows AD服務器進行驗證。認證通過后，用戶可以正常接入網(wǎng)絡，同時自動登錄到所屬的AD域。

　　EAD與McAfee防病毒、WSUS補丁管理系統(tǒng)聯(lián)動

　　中國銀行采用了McAfee防病毒軟件和WSUS補丁管理系統(tǒng)，這些都可以跟EAD配合，從而使過去的單點防御，變?yōu)橥暾�的體系化安全防御。

　　基于Guest VLAN的隔離方式

　　EAD與Cisco交換機配合時，采用基于Guest VLAN的隔離方式，即通過二層VLAN方式來隔離不安全用戶。

　　而EAD與H3C交換機配合時，采用基于ACL的隔離方式，即通過三層ACL方式來隔離不安全用戶，比Guest VLAN更安全。

　　中國銀行部署EAD時，在Cisco環(huán)境下采用Guest LAN隔離方式，在H3C環(huán)境下采用ACL隔離方式。

　　與NetFlow配合

　　UBA和NTA都可以支持NetFlow日志，實現(xiàn)用戶審計和流量分析。

　　中國銀行部署時，在核心交換機C6509上開啟NetFlow功能，將流量日志信息同時發(fā)給兩個不同的IP地址，即UBA和NTA。

　　基于用戶的行為審計與流量分析

　　中國銀行同時部署了EAD、UBA、NTA，通過EAD與UBA/NTA的聯(lián)動，實現(xiàn)了基于用戶的行為審計和流量分析。

　　用戶評價

　　通過切身的使用體驗，中國銀行給予了iMC EAD終端準入控制解決方案高度的評價：“iMC EAD系統(tǒng)的部署，滿足了近期中國銀行對于安全準入控制管理的要求，有效解決了網(wǎng)絡病毒傳播的情況，對外來用戶能夠靈活控制接入權限，大幅提升了網(wǎng)絡的安全性，工作效率得到提升。”