客戶需求
目前某電網處於業務急速增長與公司規模不斷擴大的階段,而公司內部信息保護也越來越重要。針對目前採用靜態密碼驗證的網絡及安全設備、×××、堡壘機等業務系統,明顯存在着安全隱患及帳號共享問題,同時存在網絡設備不可細粒度授權用戶、變更操作的不可追溯性。**基於現狀,增強帳號的安全性是迫在眉睫。希望通過部署網絡3A認證服務器,實現網絡設備管理用戶的統一身份認證,對其提出的認證請求、授權請求、審計請求做出響應,同時結合雙因素認證技術加固用戶賬號認證的安全。期望實現如下目標:
? 增加密碼安全----加強網絡設備密碼強度,提供網絡設備登錄安全;
? 滿足國家等保要求---所有賬號實現靜態密碼+動態密碼通過RADIUS認證協議實現雙因素認證登錄保護;
? 分級授權---對不同賬號、不同級別的用戶設定不通的操作權限;
? 實名可審計---有效控制賬號泄漏及共享,是登錄及操作可以實名追溯;
? 管理收益**---提升日常運維管理工作水平,保證自身的信息資產咋一個合理而完整的框架下得到妥善保護,實現風險管理,在發生安全事件時,確保信息環境有序穩定地運作,將損失降到最低。
方案概述
1、 Windows服務器動態密碼登錄加固方案:
寧盾網絡設備AAA管理服務器(以下簡稱DKEY AM)藉助寧盾自研的認證插件,可以保護Windows服務器的本地登錄、遠程桌面登錄的雙因素認證。 
2、 Linux服務器動態密碼登錄加固方案:
寧盾AAADKEY AM可以保護 Linux、Unix(AIX、HP-UNIX、Saloris)、BSD 等系統(統稱類 Unix 系統)的系統本地登錄、SSH 遠程登錄等支持 PAM 的場景,該方案可即插即用,並能夠無縫兼容原有證書體系,可支持跳板機和直接對。
3、 網絡設備WEB頁面登錄的動態密碼登錄加固方案:
通過網絡設備自帶的radius認證接口,實現此類設備WEB頁面登錄的動態密碼登錄加固。
下面以迪普防火牆的用戶登錄爲例,在 Password 輸入靜態密碼+動態密碼組合。
4、 網絡設備AAA認證及動態密碼加固方案:
支持不同品牌交換機、路由器、防火牆等主流網絡設備,幫助其實現網絡設備賬號統一AAA認證授權審計、動態密碼安全加固。
網絡拓撲
項目成效
通過在某電網省公司、16個地市分公司分別部署DKEY AM之後,到達的最終效果如下:
? ? 所有網絡設備、重要服務器,每個操作和運維人員都使用獨立的帳號,並且所有設備都使用同一個帳號;
? ? 提升服務器訪問、堡壘機、安全設備WEB登錄安全性,實現對其訪問的認證集中審計;
? ? 實現對網絡設備細粒度的認證、授權、審計
? ? 減少服務器密碼管理成本
? ? 對原有的固定密碼增加動態密碼,使帳號得到雙重保護
項目中主要產品
DKEY AM、華爲交換機、華爲路由器、華三交換機、華三路由器、思科交換機、思科路由器、思科防護牆、Windows服務器、Linux服務器、堡壘機、迪普防火牆、啓明星辰IPS、啓明星辰防火牆等等。