Sygate NAFI银行网络安全成功案例

　　客户: 大型的北美金融机构(NAFI)

　　-一家北美重要的多元化金融服务公司。办事处遍布30多个国家，为全球1200万大众、商业和公共部门服务。

　　业务: NAFI在几个金融服务领域处于强势地位，包括个人和商业银行业务,投资管理, 私营银行，业务，社团和投资银行业务，以及保险业。

　　收入: US$60亿

　　业务驱动力:

　　降低清除蠕虫和病毒的成本;

　　定位感染源;

　　保护旅途中的笔记本;

　　支持增多的无线局域网的安全。

　　业务需求:

　　支持WindowsNT, 2000, XP, 以太网和令牌环网;

　　代理程序和主机防火墙整合在一起;

　　自动处所感应;

　　自适应策略，可支持多达14种不同的业务场景;

　　和VPN整合在一起的完整性检查;

　　多级规则、策略、用户和管理员。

　　行动:

　　广泛的厂商甄选流程;

　　6个月的试点计划;

　　在公司范围内所有的笔记本;

　　桌面和ATM取款机上进行部署;

　　和Nortel的Tunnelguard VPN整合，保护远程访问。

　　企业改进:

　　改善了应急响应，和取证分析;

　　阻止了侦察软件访问网络，减轻了企业防火墙的负担;

　　使用Sygate和Nortel的Tunnelguard保护远程访问。

　　扑灭蠕虫

　　经历过SQL Slammer和其他高风险的蠕虫/病毒之后, 一家北美的金融服务公司，简称为NAFI, 决定是时候采取一套主动的措施来应对恶意代码，这些恶意代码的复杂度越来越高，相反发布的频率却越来越短。2003年初, 高级信息安全管理人员向公司推荐了端点保护的方案，包括主机防火墙，主机入侵防护和加固的VPN访问。信息安全项目经理说“我们需要更严格的控制笔记本安全，我们知道它们是主要的带菌体，将大量恶意代码注入到企业环境中”。

　　计划

　　NAFI现有一套成熟的项目生命周期流程。它被用做获取必要审批的模板，步步推进直到赋予企业端点安全解决方案的资格。信息安全小组开发了一套详尽的技术资格流程，覆盖了所有关键需求，从直观的管理界面直到与Nortel VPN的紧密集成。该流程将30个端点安全产品评定等级。Sygate, McAfee, ISS, Cisco, 和 InfoExpress接受了评估以决定谁能进入最终的测试名单。Cisco和Infoexpress因为无法达到NAFI的最小需求而最终出局。Sygate, McAfee, 和ISS进入到下一测试环节。最后的评分如上所示。

　　Sygate Secure Enterprise可谓是独擅胜场。在易管理、自适应策略、细粒度策略控制、自动处所感知以及和Nortel的伙伴关系等领域有着决定性的优势，和Nortel的伙伴关系扫清了技术障碍， Sygate通用强制API可以和Contivity VPN集成在一起，在准许远程访问通过Nortel的Tunnelguard VPN之前，可以使用Sygate丰富的主机完整性检查功能。

　　试点 + 规模部署 + 协同作业 = 成功!

　　Sygate刚一入选, NAFI就开始了广泛的策略制定和兼容性测试流程。Sygate的集成商和信息安全人员紧密合作，帮助起草14种不同业务场景下的特定策略。还进行了两轮用户验收测试，以确认和标准企业系统镜像之间的软件集成性以及兼容性。

　　NAFI成功的关键一环，在于和14种业务场景里每一种用户协同进行的试点。尽管NAFI的测试环境已很好地仿真生产环境，但是任何小的遗漏都会给业务运作带来极高的风险。在2004年2月，初始单元测试完成不久，在所有14个场景里选择了500台笔记本和台式机，通过网络下载和手动方式给它们安装上代理程序。这样就可以主动的识别，在测试环境中不可见的“特殊”网络使用情景。

　　这种方式取得巨大成功。经过两轮更进一步的集成性测试，按照标准的内部发布测试流程，Sygate与NAFI的150种内部开发软件以及各厂商软件进行了兼容性测试，项目小组准备在企业内60，000台笔记本和台式机上部署SYGATE。

　　2004年10月5日, NAFI部署了1,300个Sygate安全代理作为试点。到11月5日，NAFI成功的部署了54,500个Sygate安全代理。项目小组在所有技术领域的努力都得到回报-迄今为止，59,500个机器只报告了不到15个问题!

　　Sygate安全代理在NAFI成熟的软件分发流程下部署的很快，归功于规划和测试阶段的勤奋，54,500个客户端在4周的时间框架内就部署完毕。

　　ATM部署

　　最初只是推荐在笔记本上使用主机防火墙和VPN保护。但是，在厂商评估阶段，信息安全小组意识到台式机也能够从类似的保护中获益。在管理层的鼓励下，新提案将适用范围扩大到所有笔记本和台式机。

　　人们很快就又意识到这种与生俱来的好处同样可以在ATM的设施中实现。

　　在了解到迪宝将Sygate Secure Enterprise作为其ATM取款机的标配，并取得巨大成功后，公司也决定发掘这方面的可能性。随后主机防火墙的策略定制也在并行努力中, 现在公司打算将Sygate部署到所有的ATM取款机上，使用高度严格的安全策略来提供一级防范。

　　核心利益

　　迄今为止，NAFI安全小组和主管人员都很满意部署的结果。借助封闭端口和终止服务等手段，补丁发布和漏洞公布之间的响应时间窗迅速缩小。既保证了端点安全，也成为应急响应和临时变通方案的重要手段。

　　Sygate在每个端点的存在给NAFI提供丰富的网络活动审计日志，即使是远在天边的分支机构。利用日志能够挖掘出网络性能，入侵检测或者事件取证的问题。

　　l 工程中也计划将阻止的流量日志提交到NAFI即将建设的安全信息管理系统，做广度的趋势分析。

　　l Sygate在NAFI的部署也带来意料之外的好处。例如减少了网络中的侦察软件流量。NAFI配置Sygate Secure Enterprise，仅容许InternetExplorer通过代理访问互联网，或者仅容许已知的程序直接访问互联网。

　　l 这种控制端点流量的方法显著的减少了企图连接互联网的侦察软件， 在本机阻止网聊者，而不是当流量抵达企业防火墙处。

　　l 强制通过代理服务器的互联网连接也减少了侦察软件的安装，特别是移动用户不能绕开代理去浏览互联网。- 实现方法是强制所有互联网连接必须通过VPN通道才能建立。因此代理服务器和其他VPN控制可以起到保护作用。结果得到了更好的网络性能和减少带宽开销。

　　最后，一旦部署完毕，工作组能够将注意力转移到Sygate和NortelTunnelguard之间的VPN安全整合上，此项工作将在2005年初展开。