随着信息化进程的发展,企业不断更新、升级网络,网络设施复杂多样,大型、异构的网络环境难以对用户行为进行统一控制和审计。其中在对网络基础设施构成的安全风险调查中,由不安全的身份认证及混乱的授权、审计现状事故占企业内部安全风险的80%。对此《网络安全法》提出,国家实行网络安全等级保护制度,以帮助企业、政府机关合理地规避或降低风险。等保涉及范围包括:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。关于网络设备防护及及主机(服务器)身份鉴别的等级保护需求,宁盾提供动态口令加固及网络设备AAA(Authentication:认证、Authorization:授权、Accounting:审计)管理解决方案。
三级等保之网络设备防护及主机身份鉴别安全需求及产品方案
大型、异构网络环境共存,各厂商设备之间品牌兼容性较差,各设备之间独立管控,分散的多点管理方式难以实现统一授权及审计;再加上弱密码、账号共享等弱身份认证因素,皆为非法操作者留有可乘之机。导致身份越权或假冒的非授权使用问题给企业造成重大混乱和损失。宁盾网络设备AAA采用Tacacs
1、
方案一、网络设备AAA管理解决方案
+协议,是集认证、授权、审计于一体的网络设备综合运维管理平台。兼容cisco、华为、H3C等不同品牌网络设备,搭配宁盾双因素认证产品,为企业运维人员提供一体化动态口令强身份认证、细力度授权用户可操作权限及业务场景、实时审计用户操作行为等,帮助企业解决三级等保网络设备安全防护问题。
大型、异构网络环境共存,各厂商设备之间品牌兼容性较差,各设备之间独立管控,分散的多点管理方式难以实现统一授权及审计;再加上弱密码、账号共享等弱身份认证因素,皆为非法操作者留有可乘之机。导致身份越权或假冒的非授权使用问题给企业造成重大混乱和损失。宁盾网络设备AAA采用Tacacs
网络设备AAA产品对比
对比当前网络设备AAA产品,宁盾在品牌兼容性、双因素一体化认证、业务细分控制能力表现出色,具体表现为:
1、网络设备异构兼容:兼容国内/外主流品牌不同类型网络设备(Cisco、华为、H3C、Hillstone、Aruba等所有支持Tacacs+协议的设备);
2、动态口令加固认证:在账号密码的基础上增加动态密码,建立用户唯一身份认证标识;(详情见于方案二)
3、细粒度授权等级:基于角色及业务场景进行细粒度授权,明确用户(用户组)执行的命令或命令集;如下图:如下图:三级授权逐渐深入细化:
a)基于用户源、用户组、用户角色完成可访问设备的用户的一级授权;
b)根据用户可操作的设备、设备级别进行二级授权,cisco支持(1~15级)、H3C(1~15级)、华为(1~15级)、 Aruba(命令级权限);
c)三级授权用户在某设备(设备组)级别上可做操作的命令。(支持自定义命令集)
4、详细的报表审计日志:审计追溯用户名、时间、终端、设备、命令及结果,方便运维人员及时查看并排除操作故障。
5、业务细分控制能力:异构兼容多品牌设备,根据业务场景自定义用户角色、用户组、设备组、操作命令集及可操作的命令及参数。完成什么人在什么设备上可操作什么命令。为企业运维人员提供统一认证、授权及审计服务。
方案二、动态口令安全加固方案
在账号密码的基础上增加动态密码,形成账号密码动态加固。宁盾动态密码由令牌生成器根据国家密码局(SM3算法)生成,每隔30/60s变化一次,一旦使用立即失效,不可追溯,为用户建立唯一身份认证凭据。满足三级等保网络设备及主机身份鉴别服务,提升账号及身份安全:
建立身份唯一识别标识,实现多场景统一身份认证;
避免账号密码增加、删除、密码记忆难、僵尸账号等对应用场景的影响;
避免账号密码共享,增强账号登录审计,即使把验证码给别人使用,本人也有不可推卸的责任;
降低账号密码泄漏及弱密码对核心业务的影响,即使账号密码无意泄漏,在没有动态密码的情况下也无法登录。
1、网络设备动态加固
兼容cisco、华为、H3C、锐捷、博达等异构交换、路由网络设备,兼容AD、LDAP、PoP3等多账号源。在账号密码的基础上增加动态密码,为大型异构网络环境提供统一身份认证及动态密码加固服务。
2、主机(服务器)动态加固
兼容windows、linux(Ubuntu、CentOS)、Unix服务器,为每个用户绑定动态令牌,确保只有权限内的用户才可使用。
领取专属 10元无门槛券
私享最新 技术干货