等保三级，您只需宁盾三级等保解决方案

随着信息化进程的发展，企业不断更新、升级网络，网络设施复杂多样，大型、异构的网络环境难以对用户行为进行统一控制和审计。其中在对网络基础设施构成的安全风险调查中，由不安全的身份认证及混乱的授权、审计现状事故占企业内部安全风险的80%。对此《网络安全法》提出，国家实行网络安全等级保护制度，以帮助企业、政府机关合理地规避或降低风险。等保涉及范围包括：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。关于网络设备防护及及主机(服务器)身份鉴别的等级保护需求，宁盾提供动态口令加固及网络设备AAA(Authentication：认证、Authorization：授权、Accounting：审计)管理解决方案。

三级等保之网络设备防护及主机身份鉴别安全需求及产品方案

大型、异构网络环境共存，各厂商设备之间品牌兼容性较差，各设备之间独立管控，分散的多点管理方式难以实现统一授权及审计;再加上弱密码、账号共享等弱身份认证因素，皆为非法操作者留有可乘之机。导致身份越权或假冒的非授权使用问题给企业造成重大混乱和损失。宁盾网络设备AAA采用Tacacs

1、

方案一、网络设备AAA管理解决方案

+协议，是集认证、授权、审计于一体的网络设备综合运维管理平台。兼容cisco、华为、H3C等不同品牌网络设备，搭配宁盾双因素认证产品，为企业运维人员提供一体化动态口令强身份认证、细力度授权用户可操作权限及业务场景、实时审计用户操作行为等，帮助企业解决三级等保网络设备安全防护问题。

大型、异构网络环境共存，各厂商设备之间品牌兼容性较差，各设备之间独立管控，分散的多点管理方式难以实现统一授权及审计;再加上弱密码、账号共享等弱身份认证因素，皆为非法操作者留有可乘之机。导致身份越权或假冒的非授权使用问题给企业造成重大混乱和损失。宁盾网络设备AAA采用Tacacs

网络设备AAA产品对比

对比当前网络设备AAA产品，宁盾在品牌兼容性、双因素一体化认证、业务细分控制能力表现出色，具体表现为：

1、网络设备异构兼容：兼容国内/外主流品牌不同类型网络设备(Cisco、华为、H3C、Hillstone、Aruba等所有支持Tacacs+协议的设备);

2、动态口令加固认证：在账号密码的基础上增加动态密码，建立用户唯一身份认证标识;(详情见于方案二)

3、细粒度授权等级：基于角色及业务场景进行细粒度授权，明确用户(用户组)执行的命令或命令集;如下图：如下图：三级授权逐渐深入细化：

a)基于用户源、用户组、用户角色完成可访问设备的用户的一级授权;

b)根据用户可操作的设备、设备级别进行二级授权，cisco支持(1～15级)、H3C(1～15级)、华为(1～15级)、 Aruba(命令级权限);

c)三级授权用户在某设备(设备组)级别上可做操作的命令。(支持自定义命令集)

4、详细的报表审计日志：审计追溯用户名、时间、终端、设备、命令及结果，方便运维人员及时查看并排除操作故障。

5、业务细分控制能力：异构兼容多品牌设备，根据业务场景自定义用户角色、用户组、设备组、操作命令集及可操作的命令及参数。完成什么人在什么设备上可操作什么命令。为企业运维人员提供统一认证、授权及审计服务。

方案二、动态口令安全加固方案

在账号密码的基础上增加动态密码，形成账号密码动态加固。宁盾动态密码由令牌生成器根据国家密码局(SM3算法)生成，每隔30/60s变化一次，一旦使用立即失效，不可追溯，为用户建立唯一身份认证凭据。满足三级等保网络设备及主机身份鉴别服务，提升账号及身份安全：

建立身份唯一识别标识，实现多场景统一身份认证;

避免账号密码增加、删除、密码记忆难、僵尸账号等对应用场景的影响;

避免账号密码共享,增强账号登录审计,即使把验证码给别人使用,本人也有不可推卸的责任;

降低账号密码泄漏及弱密码对核心业务的影响,即使账号密码无意泄漏,在没有动态密码的情况下也无法登录。

1、网络设备动态加固

兼容cisco、华为、H3C、锐捷、博达等异构交换、路由网络设备，兼容AD、LDAP、PoP3等多账号源。在账号密码的基础上增加动态密码，为大型异构网络环境提供统一身份认证及动态密码加固服务。

2、主机(服务器)动态加固

兼容windows、linux(Ubuntu、CentOS)、Unix服务器，为每个用户绑定动态令牌，确保只有权限内的用户才可使用。