400-658-2855
首页 > 解决方案 > 行业解决方案 > 中大型企业 >

中大型企业

一、中大型企业身份管理面临挑战及供给现状
挑战
①  无线网络及其行业发展加速网络准入及访客身份管理体系建设;
②  公有云及SAAS发展下,传统AD/LDAP无法完全满足需求,催生新型企业身份管理体系;
③  应用场景多:多个碎片的场景化身份认证需求、安全及体验兼顾;
④  《网络安全法》及三级等保条例实施;
⑤  移动端及IOT发展催生新型终端识别及安全检测。

现状
①  产品只解决单一场景问题;
②  以硬件设备及本地部署软件为主;
③  底层核心技术年龄超过10年,相对陈旧;
④  对移动和云适配能力较差,甚至无;
生产力:以客户端检测方式为主,未能很好适应移动端及IOT无感知检测能力。

宁盾提供了覆盖全场景的身份与访问管理方案,包括双因素认证、无线网络访客管理、终端与网络准入控制管理、商业WiFi统一认证、网络设备AAA授权管理等,可满足多个碎片的场景化身份认证需求,无需寻找多个供应商,节省测试以及商务成本,可更好地适配业务需求,降低业务风险,帮助企业提高身份认证安全、降低管理成本。

二、宁盾多因素认证
行业痛点
大中型企业所采用的虚拟化桌面、VPN、无线网络等移动办公入口,极易因账号泄露带来安全威胁。

解决方案
​通过双因素认证以及单点登录方案为多套应用系统提供统一入口,在拟化桌面、VPN、无线网络、业务系统及应用等现有账号密码认证基础增加一层动态密码保护,是目前解决企业移动办公账号安全理想方案。

移动令牌是首选宁盾手机令牌APP由企业统一订购并进行派发,用户可通过邮件、自服务平台、短信等方式进行激活;允许客户定义logo,自定义密码长度及周期。自动化派发及回收令牌机制,解决企业人员流动,令牌自动派发及回收工作,确保安全的同时减少人工管理成本。



对于不想安装APP客户端的用户,可通过宁盾API与企业客户端(企业微信)集成微信令牌或H5令牌。另外宁盾还提供硬件令牌、短信令牌给部分场景和人员作补充。
(1)对于快速成长企业,可以选择宁盾手机APP令牌,可以确保安全认证快速上线;
(2)针对使用企业微信的企业,可以嵌入宁盾微信令牌;
(3)针对有企业移动统一门户的企业,可在移动门户添加宁盾H5令牌轻应用。

高可靠及自身安全性(1)由于通常企业大部分人都会采用,一旦宕机,会造成核心业务系统无法登录,因此其高可靠是核心;
(2)通过宁盾双因素系统的账号网关功能能够识别非法认证请求,解决由账号泄露所导致的重放攻击带来的账号锁定以及密码泄露风险。

多账号源兼容能力宁盾系统能够实现对异构账号源的对接,实现多账号源网关,如AD/openDJ/openLDAP,能够和企业各个发展阶段的账号体系集成。在虚拟化桌面、VPN、无线网络、应用、数据库等场景拥有强大的兼容性优势,特别是多品牌、多账号源场景。

混合多因素认证技术通过生物识别以及动态密码混合多因素认证技术,解决移动应用安全认证问题。
(1)通过在线指纹识别技术替代现有的密码认证技术;
(2)兼容动态密码认证,实现多人共享账号下的移动应用安全登录。

三、无线网络访客管理
行业痛点
中大型企业在采用无线网络进行移动办公时,如何对访客接入网络做认证,并确保无线准入安全,满足《网络安全法》?

解决思路
通过宁盾无线访客管理方案中的协助扫码技术,帮助中大型企业解决访客接入认证及实名审计问题,满足《网络安全法》需求。
宁盾一体化无线认证管理是一个中心化的无线网络Portal认证服务平台,它能够帮助企业实现不同类型用户申请账号及权限的流程,对接企业已有的上网行为管理网关,实现访客与被访人以及上网行为的实名追溯,实现实名审计合规。
支持多分支及多无线品牌、审计网关接入能力,能够帮助多分支机构建立统一网络认证中心的同时,确保用户上网行为可追溯。基于对终端风险以及用户身份的真实性进行双重验证,判断是否准入网络以及获得访问权限,实现接入网络终端及用户身份的双重可信,提升网络安全。

多种身份认证方式,满足不同场景、不同角色用户身份安全认证需求①短信认证,可设定短信内容模版、短信验证码有效期及长度等;
②微信认证,通过关注微信公众号进行认证连接上网;
③支持协助扫码认证,快速授权上网,实现访客与被访人之间可实名追溯;
④支持访客自助申请认证,由指定人员审批申请信息,加强内外网访问安全控制。



宁盾无线认证系统与行为审计联动,实现上网行为实名审计将宁盾一体化无线认证平台与上网行为管理设备联动,提供网络用户的身份实名认证及上网行为审计,可基于用户认证之后的角色、用户组、MAC地址等传递给上网行为管理系统,实现用户上网控制、QOS及上网实名可查询、上网行为监控、日志审计等功能,充分满足了《网络安全法》实名审计合规性要求。
​最终实现可实名查询单个用户的上网记录,效果如下:


四、终端与网络准入控制管理
行业痛点
​移动化打破中大型企业原有边界,连接更多分支机构,让员工可随时随地办公,这让用户身份、终端对于网络变得不可信任,如何确保用户及终端安全接入网络是中大型企业移动化转型的核心挑战。

解决方案
宁盾终端与网络准入控制管理,是无边界企业网络安全核心部件,为企业员工、访客通过笔记本、BYOD接入有线无线网络时做身份认证、终端合规检测以及准入控制,实现有线无线网络、多分支统一接入,员工、移动设备身份安全认证,终端准入合规控制等。
它面向多分支中大型企业提供标准化网络接入流程、可定制化portal、统一化身份认证管理、安全化网络准入,可基于对用户身份的真实性以及终端风险进行双重验证,判断是否允许准入网络以及获得访问权限,实现双重可信,提升网络安全。

其中无线部分通过WLC开启portal认证,认证服务器指向宁盾认证平台(ND AM),有线部分通过宁盾准入引擎(ND ACE)结合AM做portal的统一准入,最终实现无线有线的一体化准入认证和访问控制管理。方案拓扑如下:



多种认证方式,满足不同场合那干净、不同角色用户身份认证需求员工场景
①  用户名密码认证,支持AD等第三方账号源+动态令牌双重认证;
②  支持802.1X认证;
③  支持802.1x+portal认证;
④  支持802.1x+portal+动态码认证。


访客场景
①短信认证,可设定短信内容模版、短信验证码有效期及长度等;
②微信认证,通过关注微信公众号进行认证连接上网;
③支持二次无感知认证,可设定有效期,超过有效期的访客须通过其他认证方式登录;
④支持协助扫码认证,快速授权上网,实现访客与被访人之间可追溯;
⑤支持访客自助申请认证,由指定人员审批申请信息,加强内外网访问安全控制。

多角色认证管理支持多种角色用户认证,包括访客、员工、外包人员等,针对不同用户,系统会采取不同的认证方式和访问策略,支持分别关联不同的用户数据库,如AD、LDAP、会员管理数据库等。

多品牌、多站点兼容宁盾终端与网络准入控制管理对于多品牌硬件均可兼容,包括有线、无线产品如Aruba、Cisco、华为、H3C等,在多站点间采用集中部署时,如果硬件设备品牌不同,也可获得一致的用户体验。

多安全产品联动,实现《网络安全法》实名审计合规可与多种安全设备进行联动,实现多系统SSO和自动授权。与上网行为管理设备如飞塔、深信服、网康等可进行对接,免二次认证,同时传递角色标签实现针对不同用户类型的安全及上网管理策略,实现上网实名追索,满足实名审计合规性要求。

多类型终端检测PC终端检测(支持客户端/无客户端两种模式)、IOT设备(如摄像头)安全检测、移动端检测(与企业终端管理EMM联动)。包括终端是否加域、操作系统、杀毒软件及其他合规性条件,确保接入网络终端安全性及合规性等。

账号安全保护还可结合宁盾双因素认证方案,通过动态密码技术,双重保障终端用户准入网络身份安全。

五、商业WiFi统一认证
行业痛点
大中型连锁商业机构需要在现有无线网络的基础上增加WIFI Portal认证,采用AC控制器+瘦AP的无线架构方式,扩展多个旗下分支机构实现统一WIFI Portal认证。目前连锁商业WiFi统一认证中存在以下痛点:
各分支可能采用不同品牌无线设备,多品牌统一兼容技术难度大、成本高;
要求支持平滑扩容升级,对现有商场及店铺的WIFI Portal认证进行统一接入及管理。
考虑到未来对无线实现统一管理,除访客外,还要求实现员工无线接入管理功能。

解决方案
宁盾商业WiFi认证运营方案,通过提供集中化无线认证及运营管理平台,实现大中型连锁商业机构的集中化WIFI认证、Portal广告运营及数据收集分析。支持与多商户无线控制器同时对接联动,实现单一系统多分支统一接入认证和上网管理,同时支持各商户对本地设备进行独立管理,实现分支个性化运营。通过Portal页个性定制及广告轮播助力无线营销,并提供多样化的运营数据分析报表。系统自带数据库,也支持数据库外置,实现用户数据的收集及分析。
根据连锁商业机构旗下商场与店铺网络情况及数据库部署情况,分为两套可选方案。

方案一:未来商场以单体方式扩容,每个商场都在本地部署一套宁盾WIFI认证运营平台系统与无线AC控制器对接。方案拓扑如下:



方案二:将宁盾WIFI认证运营平台安装在总部,所有旗下商场或者店铺通过VPN或企业专线与总部相连,各商场或者店铺无线AC控制器同时与宁盾WIFI认证运营平台进行对接,实现单一系统多分支统一接入及管理,并部署HA热备冗余。拓扑如下:



多商户集中化管理及数据统计分析可以为每个分支机构做独立的配置,实现不同的商铺使用不同的用户源、不同的认证方式、不同的portal设计等效果,并实时统计和分析当前总部及各个分支点的在线人数、上网人数排行、人均驻留时长等数据信息。

多厂商无线设备兼容能力宁盾WIFI认证平台兼容主流无线厂商设备,如Aruba、Cisco、Moto、Ruckus、华三、华为、锐捷、信锐等。支持添加多设备多SSID集中化认证,对应绑定的商铺。通过这样灵活的搭配可以让配置准确地作用在期望的商铺网络里,实现不同商铺、SSID推送不同的广告等效果。

分时广告轮播可基于时间段、时间点对Portal页广告内容、策略进行自定义,通过多策略组合,实现在用户终端按时自动显示不同的Portal广告页,提升无线广告投放的灵活性和营销价值,同时减少运维成本。

分区广告投放根据AP的MAC地址做区域划分,投放不同的Portal页广告内容,实现当用户在不同区域的商铺连接WiFi时,如书店、影院、咖啡厅等,终端显示不同的广告页。通过提供个性化的WiFi认证体验,扩大品牌影响力,增强WiFi广告价值。

多系统数据实时同步宁盾平台支持对接CRM会员系统,实现会员用户的自动注册及认证。同时通过与商业智能分析系统(BI)对接,实现用户行为数据的采集、记录和分析。多系统的统一接入和数据实时同步,精准挖掘实现数据商业价值的最大化利用。



企业商业场景无线一体化认证管理宁盾平台不仅仅能够针对商业顾客无线认证管理,同时能够满足企业内部无线访客、员工无线准入需求。
针对企业访客:提供短信认证、协助扫码、邮件审批等多种账号获取流程;
针对企业员工:支持Portal及802.1x认证,支持对接AD/LDAP及第三方账号源,支持二次无感知认证。

六、网络设备AAA管理
行业痛点
中大型企业数据中心规模庞大,如何实现交换机、路由器、服务器、堡垒机、数据库、网络设备等的账号安全,以及设备集中认证、授权及审计?

解决思路
宁盾数据中心网络设备、服务器、数据库密码安全管理方案,通过实施建立网络设备、服务器、数据库的统一认证平台,并通过动态密码与账号绑定,实现对入口的安全保护,在实现密码安全合规的同时,提高密码管理效率,有效控制非授权访问,满足了系统安全性要求,避免账号共享及泄露情况。
对于管理员及运维人员的认证、授权及审计行为,在AAA认证服务器后台都会有相应的操作记录,并支持导出到文本文件中,从而实现实名可审计,当发生安全事件后,能准确定责。



交换机、路由器等网络设备登录保护交换机、路由器等网络设备可通过设置RADIUS SERVER,将用户名和密码发送到宁盾双因素认证服务器,进行双重账号安全保护。统一管理网络设备动态密码登录,提升账号密码强度,保护账号安全,避免定期修改密码。



服务器登录保护宁盾双因素认证可以保护Linux、Windows等系统的本地登录、远程登录。Windows服务器通过客户端内置插件实现登陆保护。Linux则通过PAM RADIUS模块为类Unix系统提供动态口令的强认证保护。
在Windows服务器将Radius Server 地址指向宁盾系统,并在宁盾系统设置被保护的服务器IP地址即可。



数据库登录保护静态密码只能对数据库用户身份的真实性进行低级认证。宁盾双因素认证在数据库系统原有静态密码认证基础上增加第二重保护,通过提供手机令牌、硬件令牌等动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。
以oracle数据库为例,以下为与oracle与宁盾双因素认证结合流程图:



相关产品宁盾双因素
终端与网络准入管理
无线访客管理
统一身份管理与单点登录
网络设备AAA管理

全场景身份与访问管理


申请试用 -->

上海宁盾信息科技有限公司
  • 产品咨询:400-658-2855
  • 售后电话:(021)5426-3385