背景分析

网络安全在金融企业的网络建设中，向来是设计方案中的一个最优先考虑的方面。无论是全国数据中心、广域网，还是一个分支机构局域网的建设，都需要依照网络安全规范进行。

近年来，随着业务量的不断增长和新兴业务的持续涌现，金融企业网络内部的应用行为愈加趋向复杂。同时，随着网络安全形式的日趋严峻，层出不穷、频频变种的病毒、木马、恶意攻击，让网络管理者们意识到了网络安全的重要性。根据业界主流防病毒厂商实验室的统计数据，过去的2008 年是有史以来安全事件最为严重的一年。根据IDC 提供的统计数据，超过70%的安全事件，起因都是来自于局域网的内部。如ARP 欺骗、熊猫烧香、机器狗、灰鸽子等我们或耳熟能详、或深受其害的病毒或木马，都是在局域网内部进行传播、扩散，给金融企业的正常运转带来极大的危害。

经典的金融企业网络采用安全级别划分和功能区域划分结合的方式。采用防火墙、交换机ACL 等方式进行安全隔离和访问控制。同时，结合如入侵检测系统、防毒墙等专有安全产品进行网络应用安全的监控。而针对终端管理，采用相应的终端/桌面管理软件实现。各个金融行业企业在网络安全建设方面，投入大量的精力和资金，在各级机构部署了大量相应的设备，采取了控制的措施。然而，从安全控制的力度、管理的统一和便捷、再到实施的效果，并不能让金融企业的网络管理者们满意，局域网内部的安全问题一直无法得到有效的控制。

客户关注点

金融行业企业网络中，各种新兴业务系统的上线，以及Internet 出口的设置，让金融企业的网络行为趋向复杂。近年来，病毒、木马和恶意软件通过包括网络在内的各种介质迅速扩散，涉及经济利益的网络犯罪行为的愈演愈烈，也让网络的安全压力加大。面临多重压力的网络中，亟待解决的主要是以下各类问题：

1）缺乏有效的网络准入机制和访问授权；

2）主机安全的实现困难；

3）安全事件处理效能低下。

解决方案概述

网络访问控制（NAC Network Access Control）通过身份验证、主机健康性保障、网络安全性保障等多重角度，对内网用户进行有效的管理。通过这一系列措施，实现内网用户身份的合法化，上网主机安全状况的健康化，网络通信的安全化以及用户网络访问行为的规范化。即：让正确的人，使用健康的主机，访问安全的网络，做规范的事。

锐捷网络的GSN（Global Security Network）全局安全网络解决方案是针对以上各个需求，定位于NAC领域，旨在帮助用户建设全面安全的网络解决方案。本方案融合软硬件于一体，通过软件与硬件的联动、计算机领域与网络领域的结合，帮助用户实现全局安全。GSN是一套由软件和硬件联动的解决方案，它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。

锐捷网络GSN的部署，可以采用“接入层部署”和“汇聚层部署”两种方式，同时还可以支持分级部署。

GSN的两种部署模式

接入层部署方式，将GSN组件之一的安全接入交换机部署在网络的最接近PC终端的边缘，即在接入层的安全智能交换机（如锐捷S2600/S2900）上进行身份认证，将安全管理控制到网络边缘，这种部署模式的好处在于，认证设备处于网络边缘，能够控制的粒度最细，对用户端的管理权限最强。亦可采用汇聚层部署方式，将安全接入交换机或汇聚交换机部署于汇聚层。这种部署方式对网络改造要求低。

对拥有众多分支机构、具有垂直管理结构的金融企业需要统一管理的单位，其分支机构众多，且分布于不同的地理位置，与上一级机构之间的物理线路也大多采用运营商专线实现。

GSN的分布式部署、集中管理的部署模式，就是顺应这种需求而推出的。通过在总部部署RG-IPC身份策略管理中心，在分支机构部署RG-SMP安全管理平台，实现了整个企业统一策略，集中管理，分布式部署的整体安全架构。

针对金融企业分级的机构组成方式，如银行“总行－分行－支行/网点”，以及保险的“总公司－省分公司－市/县分公司”的情况，可采用分布式部署模式，进行统一的身份认证和策略部署。拓扑如下图所示：

在管理中心，管理员可以通过RG-IPC方便的为整个企业或者辖内网络制定统一的或者个性化的安全策略，然后将这些信息发送到对应的分支机构的RG-SMP服务器中以执行，同时将整个企业/辖内的用户信息、主机信息加以收集、整理，从而在管理中心形成一个完整的用户信息、主机信息以及对应安全策略的数据库。

在分支机构，RG-SMP安全管理平台将RG-IPC下发的安全策略在本地执行，负责用户的身份、主机、网络等多层面的安全管理，同时将本地的用户信息和更新与总部的RG-IPC进行同步，以保证RG-IPC服务器中的数据的准确性。

同时，为了减轻总部管理人员的管理工作量，可以通过RG-IPC给分支机构的RG-SMP下放管理权限，让分支机构的管理员实现本地管理，同时将分支机构自己制定的安全策略与总部同步。

通过分布式部署，GSN解决方案实现了总部对不在同一地理位置的分支机构的统一管理，而由于优质算法的采用，使得分支机构RG-SMP与总部RG-IPC服务器之间的同步数据量非常小，并有多种机制保障数据的完整性，所以GSN的分布式部署对总部到分支机构之间的线路要求很低，即使是ADSL也能达到要求。这种部署方式，能够很好的适应金融行业企业现有网络管理对带宽经济性的需要。

解决方案详述

针对金融行业网络里面存在的三大类问题，GSN全局安全网络解决方案可以帮助客户实现从用户身份管理、主机管理到网络通信管理等多方面的功能，解决以上的问题。

方案特点：

1）身份管理体系

GSN采用了基于802.1X协议和Radius协议的身份验证体系，通过与安全智能交换机的联动，实现对用户访问网络的身份的控制。通过严格的多元素（IP、MAC、硬盘ID、认证交换机IP、认证交换机端口、用户名、密码、数字证书）绑定措施，确保接入用户身份的合法性。通过对用户计算机ID（硬盘序列号）的绑定功能，灵活的实现用户、主机、网络位置三个元素的自由绑定。

在办公区存在不同的业务终端PC，需要区分其访问权限的情况下，GSN可以依照用户身份，限制不同用户的访问权限，让用户在接入网络后，只能访问自己权限之内的服务器，网络区域等。

2）防非法外联

GSN通过锐捷安全认证客户端与SMP系统的Syslog组件联动，实现对内网主机连接互联网行为的日志记录，将用户的用户名、IP地址、MAC地址，用户主机的硬盘序列号等多项内容全部记录下来，可以精确的定位到是哪个用户，哪个主机在进行互联网的访问，让用户对于非法外连行为无法抵赖。

3）软件黑白名单控制

企业要求必备的软件如防病毒软件，以及不允许安装的软件如游戏软件等，其管理措施可以通过GSN的软件黑白名单控制功能实现。GSN的黑白名单功能可提供基于多个层面的检测和控制。

通过对软件安装情况、进程运行情况、注册表修改情况以及后台服务运行情况的监控，可以对软件的安装和使用情况有一个详细的了解。同时，可依照企业的相关规定进行处理。例如禁止运行聊天软件，就可以对聊天软件进行检测，如果检测到聊天软件，则对用户进行提醒或者处理如禁止其上网，直到客户端PC卸载或关闭聊天软件等。

4）操作系统补丁/软件强制更新

针对防病毒软件和其它重要业务软件的更新，GSN系统采用基于软件黑白名单机制和客户端PC修复、隔离机制共同实现。目前GSN针对业界主流的十多种防病毒软件进行联动检测，支持对防病毒软件的安装/运行状态、病毒库版本和引擎版本信息进行检测。

针对统一的重要软件更新包下发，可采用GSN的服务器主动推送的方式进行。此措施可针对所有或某一组、某一个在线的客户端PC进行，统一下发更新包。而离线的客户端PC将在上线之后收到更新包。可要求客户端PC必须打上指定补丁后才能够入网。

针对特定软件的版本检测和补丁检测，可通过软件黑白名单控制中的注册表检测实现。可针对不同软件制定不同的检测策略或检测策略组。如针对Microsoft Office软件，可建立针对Office软件的更新检测策略组，里面包括针对Word/Excel等组件的分别的检测策略。在遇到客户端PC出现不符合策略组要求的情况，可根据策略组要求对客户端PC进行修复或隔离。

5）ARP欺骗的防护

面对在金融等行业的局域网络中时常出现的ARP欺骗，GSN能够通过三层网关设备、安全智能交换机以及客户端Su软件的联动，实现了对ARP欺骗的三重立体防御。

采用锐捷网络的可信任ARP（Trusted ARP）专利技术，实现三层网关设备和客户端PC 之间的联动的可信任的ARP 关系，从而保证了用户与网关通信的正常。在安全智能交换机上结合用户认证信息，则能够实现基于端口的ARP 报文合法性检查，基于深度检测的硬件访问控制列表，将所有ARP 欺骗报文全部过滤，从而彻底阻止了ARP 欺骗的发生。

6）联动的网络安全事件处理

入侵检测系统IDS 可以监控网络中流量的情况，并针对异常的流量发起预警。IDS 汇报上来的信息包含源、目的IP，但这些信息对网络管理人员处理安全事件来说，并没有太大的意义。因为处理网络安全事件一定要追根溯源，定位到机器甚至定位到人，才能彻底解决，仅仅提供IP 地址这是不够的。GSN 体系中的安全事件联动解决了这个问题。IDS 作为网络通信的探针，对网络的流量进行旁路兼听，并随时向安全策略平台SMP 上报发生的安全事件通过对IDS 上报的安全事件的解析，并通过GSN 体系中每个用户的信息来将安全事件定位到人，并根据IDS 与GSN 共享的事件库，对安全事件给出建议的处理方法，或者可以通过预先定制好的策略来对安全事件进行自动的处理，这就解决了在IDS 检测到安全事件后，处理难的问题。

通过RG-SMP安全管理平台、RG-IDS 入侵检测设备、安全智能交换机和Su 客户端的联动，实现了对网络安全事件的检测、分析、处理一条龙服务。基于严格的身份验证，可以方便的将网络安全事件定位到人，并自动通知和处理。

方案总结

针对金融行业网络关注的三个焦点问题，GSN 全局安全解决方案通过软硬件的联动、计算机层面与网络层面的结合，从身份、主机、网络等多个角度对网络安全进行监控、检测、防御和处理，帮助用户共同构建身份合法、主机健康、网络安全、行为规范的全局安全网络。同时通过分布式部署、集中管理的部署模式，帮助拥有众多分支机构的金融行业企业方便的进行分级别的统一管理。