首页 > 解决方案 > 行业解决方案 > 互联网 >

互联网

一、宁盾双因素认证
行业痛点 由于互联网公司通常发展时间短且业务发展迅猛,其IT系统表现为:
(1)业务系统数量多,部分业务系统采用公有云部署架构;
(2)多账号源:账号管理体系未完全统一,业务系统内建及LDAP并存;
(3)开源、商用、自主开发业务系统并存;
(4)扁平化管理思路,一线人员拥有较高的权限,且人员流动率高;
(5)多分支企业架构,移动办公比较多,通过企业微信、移动统一门户进行移动办公。
综合以上特点,账号安全在互联网企业非常关键,一旦账号泄露将会给企业造成极大的风险,如何选择合适的账号保护技术成为IT管理者的一个重要的议题。

解决思路 通过双因素认证以及单点登录方案为多套应用系统提供统一入口,在业务系统、应用、网络设备等现有账号密码认证基础增加一层动态密码保护,是目前解决互联网企业账号安全理想方案。结合互联网企业形态,需要双因素认证管理具备如下特性:

移动令牌是首选 宁盾手机令牌APP由企业统一订购并进行派发,用户可通过邮件、自服务平台、短信等方式进行激活;允许客户定义logo,自定义密码长度及周期。自动化派发及回收令牌机制,解决互联网企业人员流动快,令牌自动派发及回收工作,确保安全的同时减少人工管理成本。



对于不想安装APP客户端的用户,可通过宁盾API与企业客户端(企业微信)集成微信令牌或H5令牌。另外宁盾还提供硬件令牌、短信令牌给部分场景和人员作补充。
(1)对于快速成长企业,可以选择宁盾手机APP令牌,可以确保安全认证快速上线;
(2)针对使用企业微信的企业,可以嵌入宁盾微信令牌;
(3)针对有企业移动统一门户的企业,可在移动门户添加宁盾H5令牌轻应用。

高可靠及自身安全性 (1)由于互联网企业所有人都会采用,一旦宕机,会造成所有核心业务系统无法登录,因此其高可靠是核心;
(2)通过宁盾双因素系统的账号网关功能能够识别非法认证请求,解决由账号泄露所导致的重放攻击带来的账号锁定以及密码泄露风险。

多账号源兼容能力 宁盾系统能够实现对异构账号源的对接,实现多账号源网关,如AD/openDJ/openLDAP,以确保能够和企业各个发展阶段的账号体系集成。

混合多因素认证技术 通过生物识别以及动态密码混合多因素认证技术,解决移动应用安全认证问题。
(1)通过在线指纹识别技术替代现有的密码认证技术;
(2)兼容动态密码认证,实现多人共享账号下的移动应用安全登录。


二、无线网络访客管理
行业痛点 互联网企业在采用无线网络进行移动办公时,如何对访客接入网络做认证,并确保无线准入安全,满足《网络安全法》?

解决思路 通过宁盾无线访客管理方案中的协助扫码技术,帮助互联网企业解决访客接入认证及实名审计问题,满足《网络安全法》需求。
宁盾一体化无线认证管理是一个中心化的无线网络Portal认证服务平台,它能够帮助企业实现不同类型用户申请账号及权限的流程,对接企业已有的上网行为管理网关,实现访客与被访人以及上网行为的实名追溯,实现实名审计合规。
支持多分支及多无线品牌、审计网关接入能力,能够帮助多分支机构建立统一网络认证中心的同时,确保用户上网行为可追溯。基于对终端风险以及用户身份的真实性进行双重验证,判断是否准入网络以及获得访问权限,实现接入网络终端及用户身份的双重可信,提升网络安全。网络拓扑:



多种身份认证方式,满足不同场景、不同角色用户身份安全认证需求 (1)短信认证,可设定短信内容模版、短信验证码有效期及长度等;
(2)微信认证,通过关注微信公众号进行认证连接上网;
(3)支持协助扫码认证,快速授权上网,实现访客与被访人之间可实名追溯;
(4)支持访客自助申请认证,由指定人员审批申请信息,加强内外网访问安全控制。



宁盾无线认证系统与行为审计联动,实现上网行为实名审计 将宁盾一体化无线认证平台与上网行为管理设备联动,提供网络用户的身份实名认证及上网行为审计,可基于用户认证之后的角色、用户组、MAC地址等传递给上网行为管理系统,实现用户上网控制、QOS及上网实名可查询、上网行为监控、日志审计等功能,充分满足了《网络安全法》实名审计合规性要求。



最终实现可实名查询单个用户的上网记录,效果如下:



三、终端与网络准入控制管理
行业痛点 ​移动化打破互联网企业原有边界,连接更多分支机构,让员工可随时随地办公,这让用户身份、终端对于网络变得不可信任,如何确保用户及终端安全接入网络是互联网企业移动化转型的核心挑战。

解决思路 宁盾终端与网络准入控制管理,是无边界企业网络安全核心部件,为企业员工、访客通过笔记本、BYOD接入有线无线网络时做身份认证、终端合规检测以及准入控制,实现有线无线网络、多分支统一接入,员工、移动设备身份安全认证,终端准入合规控制等。
它面向多分支互联网企业提供标准化网络接入流程、可定制化portal、统一化身份认证管理、安全化网络准入,可基于对用户身份的真实性以及终端风险进行双重验证,判断是否允许准入网络以及获得访问权限,实现双重可信,提升网络安全。
其中无线部分通过WLC开启portal认证,认证服务器指向宁盾认证平台(ND AM),有线部分通过宁盾准入引擎(ND ACE)结合AM做portal的统一准入,最终实现无线有线的一体化准入认证和访问控制管理。方案拓扑如下:



多种身份认证方式,满足不同场景、不同角色用户安全身份认证需求 员工场景
①  用户名密码认证,支持AD等第三方账号源+动态令牌双重认证;
②  支持802.1X认证;
③  支持802.1x+portal认证;
④  支持802.1x+portal+动态码认证。

访客场景①短信认证,可设定短信内容模版、短信验证码有效期及长度等;
②微信认证,通过关注微信公众号进行认证连接上网;
③支持二次无感知认证,可设定有效期,超过有效期的访客须通过其他认证方式登录;
④支持协助扫码认证,快速授权上网,实现访客与被访人之间可追溯;
⑤支持访客自助申请认证,由指定人员审批申请信息,加强内外网访问安全控制。

多角色认证管理 支持多种角色用户认证,包括访客、员工、外包人员等,针对不同用户,系统会采取不同的认证方式和访问策略,支持分别关联不同的用户数据库,如AD、LDAP、会员管理数据库等。

多品牌、多站点兼容 宁盾终端与网络准入控制管理对于多品牌硬件均可兼容,包括有线、无线产品如Aruba、Cisco、华为、H3C等,在多站点间采用集中部署时,如果硬件设备品牌不同,也可获得一致的用户体验。

多安全产品联动,实现《网络安全法》实名审计合规 可与多种安全设备进行联动,实现多系统SSO和自动授权。与上网行为管理设备如飞塔、深信服、网康等可进行对接,免二次认证,同时传递角色标签实现针对不同用户类型的安全及上网管理策略,实现上网实名追索,满足实名审计合规性要求。

多类型终端检测 PC终端检测(支持客户端/无客户端两种模式)、IOT设备(如摄像头)安全检测、移动端检测(与企业终端管理EMM联动)。包括终端是否加域、操作系统、杀毒软件及其他合规性条件,确保接入网络终端安全性及合规性等。



账号安全保护还可结合宁盾双因素认证方案,通过动态密码技术,双重保障终端用户准入网络身份安全。

相关产品:
宁盾双因素认证
无线访客管理
终端与网络准入控制管理
统一身份认证与单点登录

全场景身份与访问管理


申请试用 -->

上海宁盾信息科技有限公司
  • 产品咨询:400-658-2855
  • 售后电话:(021)5426-3385