宁盾金融行业人+端一体化身份方案实践，入选《ISC 2022十年网安代表性案例》

10月14日，ISC 互联网安全大会联合数说安全共同发布了《ISC 2022十年网安代表性案例》报告。该报告共收录了 ISC 十周年系列评选十大网络安全最具代表性案例和31个网络安全优秀案例。宁盾在某金融企业的人+端一体化身份管理落地实践被收录进优秀案例。

本次活动评审团队阵容庞大，由赛博英杰、数世咨询、数说安全、安全419、赛迪顾问等多个媒体/组织的创始人、高层等权威专家组成，经过海选、线上答辩、专家评审等层层筛选，挖掘近十年中引领行业发展风向，具有重要借鉴意义与推广价值的数字安全典型案例，汇编《ISC 2022十年网安行业代表性案例》。

宁盾人+端一体化身份管理方案在金融行业的落地实践，深度结合了金融行业移动化办公、远程办公场景，基于零信任安全理念，搭建集身份认证、访问控制和终端合规性检测于一体的安全管控平台，解决企业重要入口（VPN、云桌面、堡垒机等）的弱密码隐患，员工和访客接入有线、无线网络时难识别难管控，入网终端难以统一管理等多个问题，通过建立“人+端”的联合信任为企业建立安全防线。除金融行业外，该方案在高端制造业、科技互联网、生物医药等行业均有广泛应用。

宁盾人+端一体化身份管理方案

1、客户背景

该金融企业移动化办公、远程办公需求快速增长，企业员工在使用VPN接入内网或登录网络设备时，存在大量弱密码；同时企业内部有线、无线网络有大量未知人员和终端接入，无法管控，这些都对企业数据资产造成威胁。企业急需一套统一身份管理方案来提升企业内网安全准入基线，并满足等保2.0和银保监会要求。

2、客户需求

基于此，客户希望在远程办公场景下，

① 登录深信服 SSL-VPN 和安恒堡垒机验证账号密码后，再次认证用户绑定的动态令牌，增强身份管理和密码强度，提高安全性；

② 企业内部采用有线网络办公，对入网的终端进行合规检测，合规后才放行；

③ 为员工和访客提供免费无线网络，员工验证域身份，访客使用手机获取验证码上网。

3、方案概述

宁盾人+端一体化身份管理方案中运用了多种产品能力，其中：多因素认证（MFA）用于加强深信服 VPN 和安恒堡垒机登录时的账号密码安全，解决弱密码隐患。网络设备AAA管理针对数据中心网络设备的登录认证、授权和审计，增强运维人员身份安全，实现事前有防护、事中有记录、事后可追溯。有线网络终端准入对入网终端进行是否加域合规检测，合规即放行，反之执行定义的虚拟防火墙和有线 Portal 认证策略。无线网络 Portal 认证：为员工和访客提供无线网络，接入网络时员工验证域身份，访客使用手机获取验证码认证上网。宁盾后台记录相应日志。

4、方案价值

宁盾人+端一体化身份管理方案，为账号密码认证增加一层保护，保障办公安全；准入方面实现多分支机构统一身份认证及终端安全接入，支持访客、员工等多角色用户统一认证管理，实现基于用户身份的访问控制及上网实名审计，极大地提升了内网安全基线，快速实现等保合规。

对于混合办公时代，多场景下的企业身份安全管理一体化建设，重点是关注“一体化”方案。先将 IT 基础架构层打通，才能应对多个场景的身份管理和访问控制需求，并且能应对未来可能出现的场景需求。

宁盾人+端一体化身份管理方案可以有效打破传统方案在目录、端、网络、应用、多云等场景下相对孤立的身份管理模式，帮助企业降低在目录服务和身份管理上的投入，包括采购成本、交付成本、运维成本、机会成本等，为企业构建更加高效经济的新一代身份管理体系。

正如在该案例中，产品上只需一个软件系统和一个硬件设备，就能解决以上问题，对企业而言，不仅降低了采购成本，也降低了安装部署、运维成本，提高了办公和运维效率。