400-658-2855
首页 > 解决方案 > 行业解决方案 > 金融行业 >

金融行业

一、终端与网络准入控制管理
1、行业痛点移动化打破金融企业原有边界,连接更多分支机构,让员工可随时随地办公,这让用户身份、终端对于网络变得不可信任,如何确保用户及终端安全接入网络是金融行业移动化转型的核心挑战。

2、解决方案宁盾终端与网络准入控制管理,是无边界企业网络安全核心部件,为企业员工、访客通过笔记本、BYOD接入有线无线网络时做身份认证、终端合规检测以及准入控制,实现有线无线网络、多分支统一接入,员工、移动设备身份安全认证,终端准入合规控制等。
它面向多分支金融机构提供标准化网络接入流程、可定制化portal、统一化身份认证管理、安全化网络准入,可基于对用户身份的真实性以及终端风险进行双重验证,判断是否允许准入网络以及获得访问权限,实现双重可信,提升网络安全。
其中无线部分通过WLC开启portal认证,认证服务器指向宁盾认证平台(ND AM),有线部分通过宁盾准入引擎(ND ACE)结合AM做portal的统一准入,最终实现无线有线的一体化准入认证和访问控制管理。方案拓扑如下:



多种身份认证方式,满足不同角色用户安全身份认证需求员工场景
①  用户名密码认证,支持AD等第三方账号源+动态令牌双重认证;
②  支持802.1X认证;
③  支持802.1x+portal认证;
④  支持802.1x+portal+动态码认证。



访客场景①短信认证,可设定短信内容模版、短信验证码有效期及长度等;
②微信认证,通过关注微信公众号进行认证连接上网;
③支持二次无感知认证,可设定有效期,超过有效期的访客须通过其他认证方式登录;
④支持协助扫码认证,快速授权上网,实现访客与被访人之间可追溯;
⑤支持访客自助申请认证,由指定人员审批申请信息,加强内外网访问安全控制。



多角色认证管理支持多种角色用户认证,包括访客、员工、外包人员等,针对不同用户,系统会采取不同的认证方式和访问策略,支持分别关联不同的用户数据库,如AD、LDAP、会员管理数据库等。

多品牌、多站点兼容宁盾终端与网络准入控制管理对于多品牌硬件均可兼容,包括有线、无线产品如Aruba、Cisco、华为、H3C等,在多站点间采用集中部署时,如果硬件设备品牌不同,也可获得一致的用户体验。

多安全产品联动,实现《网络安全法》实名审计合规可与多种安全设备进行联动,实现多系统SSO和自动授权。与上网行为管理设备如飞塔、深信服、网康等可进行对接,免二次认证,同时传递角色标签实现针对不同用户类型的安全及上网管理策略,实现上网实名追索,满足实名审计合规性要求。效果如下:



多类型终端检测PC终端检测(支持客户端/无客户端两种模式)、IOT设备(如摄像头)安全检测、移动端检测(与企业终端管理EMM联动)。包括终端是否加域、操作系统、杀毒软件及其他合规性条件,确保接入网络终端安全性及合规性等。

账号安全保护还可结合宁盾双因素认证方案,通过动态密码技术,双重保障终端用户准入网络身份安全。



二、宁盾双因素认证与网络设备AAA认证
1、行业痛点数据中心规模庞大,如何实现服务器、堡垒机、数据库、网络设备、虚拟化桌面、VPN等的账号安全,以及设备集中认证、授权及审计?

2、解决方案通过采用宁盾双因素认证以及AAA系统,为金融机构数据中心服务器、堡垒机、数据库、网络设备、虚拟化桌面、VPN等提供统一的动态密码认证保护和网络设备AAA授权管理。

宁盾双因素认证宁盾双因素认证是一套面向企业的账号安全保护产品,通过动态密码技术加固现在账号认证体系安全。在原有账号静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。无缝支持AD/LDAP/ACS等帐号源,在虚拟化桌面、VPN、无线网络、应用、数据库等场景拥有强大的兼容性优势,特别是多品牌、多账号源场景。


宁盾动态令牌形式
手机令牌:基于时间的动态密码,由手机APP生成。基于时间同步技术,宁盾令牌APP每60秒随机生成一个独一无二的动态验证码,宁盾认证服务器能够验证这个变化的密码是否有效。
短信令牌:基于短信发送动态密码的形式。密码一次性使用,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。
硬件令牌:基于时间的动态密码,硬件令牌每60秒产生一个6位随机密码。用户登录时输入静态密码+硬件令牌上显示的动态密码,验证通过即可完成登录。

功能特点账号双重保护:宁盾双因素认证在原有账号密码认证基础之上增加一层动态密码认证,解决弱身份鉴别可能引发的内网信息泄漏隐患;
多种认证方式:三种动态密码形式各有优势,根据需求自由选择,也可以多种组合;
与现有系统无缝集成:内置Radius认证模块,可与AD、LDAP等标准账号源结合,同时也支持与企业本地应用、私有云应用以及SAAS等的对接。
简化管理:减少企业因静态密码定期强制更改,给员工及IT运维人员带来的麻烦,同时节约账号管理成本;
实名追溯:详尽的登录日志,发生安全事件时可定位到个人,做到用户认证可审计,满足了等保要求;
体验优化:通过简化移动安全接入,优化用户体验,在为用户登录提供安全认证的同时,提升了使用的便捷性,助力企业办公移动化转型。

宁盾AAA授权管理系统宁盾数据中心服务器、堡垒机、数据库、网络设备密码安全管理方案,通过实施建立一个统一认证平台,并通过动态密码与所有账号绑定,实现对入口的集中安全保护,在实现密码安全合规的同时,提高密码管理效率,有效控制非授权访问,满足了系统安全性要求,避免账号共享及泄露情况。
对于管理员及运维人员的认证、授权及审计行为,在AAA认证服务器后台都会有相应的操作记录,并支持导出到文本文件中,从而实现实名可审计,当发生安全事件后,能准确定责。



服务器登录保护宁盾双因素认证可以保护Linux、Windows等系统的本地登录、远程登录。Windows服务器通过客户端内置插件实现登陆保护。Linux则通过PAM RADIUS模块为类Unix系统提供动态口令的强认证保护。
Windows服务器结合宁盾双因素认证登录,在Windows服务器将Radius Server 地址指向宁盾系统,并在宁盾系统设置被保护的服务器IP地址即可。实现效果如下:



数据库登录保护静态密码只能对数据库用户身份的真实性进行低级认证。宁盾双因素认证在数据库系统原有静态密码认证基础上增加第二重保护,通过提供手机令牌、硬件令牌等动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。
以oracle数据库为例,以下为与oracle与宁盾双因素认证结合流程图:



交换机、路由器等网络设备登录保护交换机、路由器等网络设备可通过设置RADIUS SERVER,将用户名和密码发送到双因素认证服务器,进行双重账号安全保护。统一管理网络设备动态密码登录,提升账号密码强度,保护账号安全,避免定期修改密码。



相关产品:
宁盾双因素认证
终端与网络准入控制管理
宁盾网络设备AAA管理

全场景身份与访问管理


申请试用 -->

上海宁盾信息科技有限公司
  • 产品咨询:400-658-2855
  • 售后电话:(021)5426-3385