客戶需求

某銀行需要在其采用靜態密碼驗證的網絡及安全設備、VPN、堡壘機等業務系統，解決安全隱患及帳號共享問題，同時存在網絡設備不可細粒度授權用戶、變更操作的不可追溯性的困擾?；诂F狀，增強帳號的安全性迫在眉睫。希望通過部署網絡AAA認證服務器，實現網絡設備管理用戶的統一身份認證，對其提出的認證請求、授權請求、審計請求做出響應。期望實現如下目標：
?    增加密碼安全----加強網絡設備密碼強度，提供網絡設備登錄安全；
?    滿足國家等保要求---所有賬號實現靜態密碼+動態密碼通過RADIUS認證協議實現雙因素認證登錄保護；
?    分級授權---對不同賬號、不同級別的用戶設定不通的操作權限；
?    操作審計---有效控制賬號泄漏及共享，使登錄及操作可以實名追溯；
?    管理收益---提升日常運維管理工作水平，保證自身的信息資產在一個合理而完整的框架下得到妥善保護，實現風險管理，在發生安全事件時，確保信息環境有序穩定地運作，將損失降到最低。

方案概述

1、    Windows服務器動態密碼登錄加固方案：

寧盾網絡設備AAA管理服務器（以下簡稱DKEY AM）借助寧盾自研的認證插件，可以保護Windows服務器的本地登錄、遠程桌面登錄的雙因素認證。
 

2、    Linux服務器動態密碼登錄加固方案：

寧盾DKEY AM可以保護 Linux、Unix(AIX、HP-UNIX、Saloris)、BSD 等系統（統稱類 Unix 系統）的系統本地登錄、SSH 遠程登錄等支持 PAM 的場景，該方案可即插即用，并能夠無縫兼容原有證書體系，可支持跳板機和直接對。
 

3、    網絡設備WEB頁面登錄的動態密碼登錄加固方案：

通過網絡設備自帶的radius認證接口，實現此類設備WEB頁面登錄的動態密碼登錄加固。
下面以迪普防火墻的用戶登錄為例，在 Password 輸入靜態密碼+動態密碼組合。
 

4、    網絡設備AAA認證及動態密碼加固方案：

支持不同品牌交換機、路由器、防火墻等主流網絡設備，幫助其實現網絡設備賬號統一AAA認證授權審計、動態密碼安全加固。
   

網絡拓撲

 

 

項目成效

通過部署寧盾一體化身份管理之后，到達的最終效果如下：
?    所有網絡設備、重要服務器，每個操作和運維人員都使用獨立的帳號，并且所有設備都使用同一個帳號；
?    提升服務器訪問、堡壘機、安全設備WEB登錄安全性，實現對其訪問的認證集中審計；
?    實現對網絡設備細粒度的認證、授權、審計；
?    減少服務器密碼管理成本；
?    對原有的固定密碼增加動態密碼，使帳號得到雙重保護。

項目中主要產品

寧盾DKEY AM、華為交換機、華為路由器、華三交換機、華三路由器、思科交換機、思科路由器、思科防護墻、Windows服務器、Linux服務器、堡壘機、迪普防火墻、啟明星辰IPS、啟明星辰防火墻等等。