天珣准入控制如何构建银行实名制合规管理系统

　　银行网络实名制合规管理，就是通过建立银行内部网络中用户确定的身份标识，将网络中的用户标识与现实生活中真实的用户建立起一一对应的关系，确保银行内部每一个员工都能依据自己在银行内部的真实角色，在网络虚拟世界中从事与自己本职工作相关的行为。

　　天珣具备业界最完善的计算机终端准入控制机制，从终端层到网络层，再到应用层和边界层，提供了客户端准入、网络准入和应用准入等多种准入控制手段， 帮助银行用户，不仅能够实现对所有接入和访问内网的终端和用户进行身份认证和安全检测，而且能够借助准入控制提供的强制力，保证内网用户必须按照自己的合法身份和网络访问权限接入和访问网络，实现内网用户实名接入和访问网络，为银行用户构建实名制合规管理系统。

　　图1为基于天珣多层准入控制基础上的银行实名制合规管理系统逻辑示意图：

▲

　　图1天珣准入控制构建银行实名制合规管理系统

　　基于天珣多层准入构建的银行实名制合规管理系统，可以将网络用户名、终端MAC地址、终端IP地址、VLAN信息、终端用户在授权的时间周期、终端自身的安全状态和管理状态一个或者多个条件绑定作为用户登录并访问网络的身份条件，实现实名接入内网、实名访问业务系统、服务器资源以及实名网上邻居。

　　1) 实名制内网接入

　　当终端试图通过交换机接入内网时：天珣能够在内网接入层，甚至内网汇聚层，与接入层或汇聚层的网络设备联动，对尝试联网的终端实施网络准入控制，执行身份验证和合规检查，保证只有使用专属于指定的用户名/密码、指定的终端、指定的IP地址，并在授权有效期限内，接入内网。对于不合规的终端，系统将自动对其进行隔离或者自动划入修复区。

　　2) 实名制业务系统和服务资源访问

　　当接入网络的终端试图访问内网服务器或关键业务系统时：天珣在关键业务系统服务器之上，执行应用层准入控制，可以对来访的终端执行合规检查，保证使用专属于指定的用户名/密码、指定的终端、指定的IP地址，并在授权有效期限内，才能对内网服务资源进行授权访问，如果来访终端非受控或不合规，将被拒绝访问该服务器或业务系统。天珣可以详细记录由终端发起的各种网络行为，其中包括终端对业务系统服务器的网络访问记录，如果业务系统或服务器发生了意外的非法访问或攻击，可以通过天珣所记录的网络行为信息，定位非法方位或攻击是从那台终端发起，追查事件的责任人。

　　3) 实名制网上邻居

　　当两个终端相互之间进行访问时：合规受控的终端可以对来访的终端实施客户端准入控制，对来访的终端执行合规检查，只接受合规安全的终端的访问，杜绝不安全的终端进行非法访问，也有效切断感染蠕虫病毒的非受控终端对合规终端的病毒感染和传播。

　　借助实名制管理系统，还可以帮助银行实施实名制终端行为审计和实名制移动存储管理，即便是内网意外发生安全事件，借助实名管理系统，即可精确定位到发起网络访问的终端和用户账号，并通过集中管理的用户系统，很容易就找出当时具体是哪个员工在访问网络，从而为加强企业安全管理，将安全管理政策的执行，具体落实到每一个员工，并在企业网突发安全事件，也能够快速定位源头，并找出该安全事件的责任人。