2024年4月23日发(作者:仰晨)
解决方案
三级等保之网络设备AAA及服务器动态口令加固方案
随着信息化进程的发展,企业不断更新、升级网络,网络基础设施复杂多样,大型、异构的网络环境难以对用户
行为进行统一控制和审计。其中在对网络基础设施构成的安全风险调查中,由于不安全的身份认证及混乱的授权、
审计现状所导致事故占企业内部安全风险的80%。对此《网络安全法》提出,国家实行网络安全等级保护制度,
以帮助企业、政府机关合理地规避或降低风险。等保涉及范围包括:网络的物理安全、网络拓扑结构安全、网络
系统安全、应用系统安全和网络管理安全等。关于网络设备防护及及主机(服务器)身份鉴别的等级保护需求,
宁盾提供动态口令加固及网络设备AAA(Authentication:认证、Authorization:授权、Accounting:审计)
管理解决方案。
三级等保之网络设备防护及主机身份鉴别安全需求及产品方案
类别
等级保护安全需求
应对登录网络设备的用户进行身份鉴别(G2)
应对网络设备的管理员登录地址进行限制。(G2)
网络设备用户的标识应唯一。(G2)
主要网络设备应对统一用户选择两种或两种以上组合的鉴别技术
来进行身份鉴别。(G3)
宁盾等级保护建设方案
网络设备动态口令加固方案:
1、增强用户身份的唯一性;
2、只允许权限内用户登录;
3、在账号密码的基础上增加动
态口令进行安全加固;
4、动态口令每隔30/60s变化一
次,不可追溯;
5、限制登录次数及非法登录告
警;
6、基于角色的访问控制管理;
7、认证登录审计;
8、其他;
网络
设备
身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并
防护
定期更换。(G2)
(AAA
部分)
应具有登录失败处理功能,可采取结束会话、限制非法登录次数
和当网络登录连接超时自动退出等措施。(G2)
当对网络设备进行管理时,应采取必要措施防止鉴别信息在网络
传输过程中被窃听。(G2)
当对网络设备进行管理时,应采取必要措施防止鉴别信息在网络
传输过程中被窃听。(G2)
应实现设备特权用户的权限分离。(G3)
SSH远程登录;
网络设备AAA管理方案:
1、兼容多品牌、多类型网络设备;
2、基于用户角色划分登录权限;
3、基于品牌、类型、操作级别
粗粒度划分权限;
4、基于可操作命令细粒度权限
划分。
5、操作审计及其他;
应对登录操作系统和数据库系统的用户进行身份标识和鉴别。(G2)
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特
点,口令有复杂度要求并定期更换。(G2)
主机
应启用登录失败处理功能,可采取结束会话、限制非法登录次数
安全
和自动退出等措施。(G2)
(身份
鉴别)
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在
网络传输过程中被窃听。(G2)
应为操作系统和数据库系统的不同用户分配不同的用户名,确保
用户名具有唯一性。(G2)
应采用两种或两种以上组合鉴别技术对管理用户进行身份鉴别。
(G3)
同网络设备动态口令安全加固方
案。
三级等保之网络设备AAA及服务器动态口令加固方案
方案一、网络设备AAA管理解决方案
大型、异构网络环境共存,各厂商设备之间品牌兼容性较差,各设备之间独立管控,分散的多点管理方式难以实
现统一授权及审计;再加上弱密码、账号共享等弱身份认证因素,皆为非法操作者留有可乘之机。身份越权或假
冒的非授权使用问题给企业造成重大混乱和损失。宁盾网络设备AAA采用Tacacs+协议,是集认证、授权、审
计于一体的网络设备综合运维管理平台。兼容cisco、华为、H3C等不同品牌网络设备,搭配宁盾双因素认证产品,
为企业运维人员提供一体化动态口令强身份认证、细力度授权用户可操作权限及业务场景、实时审计用户操作行
为等,帮助企业解决三级等保网络设备安全防护问题。
网络设备AAA产品对比
对比项
堡垒机AAA设备原厂商AAA宁盾网络设备AAA
用户操作体验授权功能不足操作界面复杂操作便捷,模块化程度
高
品牌兼容性高低,只适用于自家网络高,兼容不同厂商品牌
设备(cisco、华为、H3C、
锐捷、博达等)设备
是否支持双因素账号保否否支持
护
授权等级划分初级授权,限制用户登高级授权,授权粒度至高级授权,授权粒度至
录权限设备类型及操作命令用户角色、设备品牌、
设备类型、设备级别、
操作命令
审计方式及直观程度视频审计,上下文操作报表审计,审计直观,报表审计,审计直观,
审计不直观细节丰富谁在什么时间什么设备
上操作了什么命令一目
了然
宜信单点登录+宁盾双因素认证场景模型
审计占用空间占用空间较大占用空间少占用空间少
业务细分控制能力仅限于用户认证仅限于自家产品基于角色和场景进行细
粒度权限划分,实现异
构兼容统一管理
对比当前网络设备AAA产品,宁盾在网络设备品牌兼容性、双因素一体化认证、业务细分控制能力表现出色,具
体表现为:
1、网络设备异构兼容:
兼容国内/外主流品牌不同类型网络设备(cisco、华为、H3C、Hillstone、Aruba等所有支持Tacacs+协议的设备);
2、动态口令加固认证:
在账号密码的基础上增加动态密码,建立用户唯一身份认证标识;
(详情见于方案二)
3、细粒度授权等级:
基于角色及业务场景进行细粒度授权,明确用户(用户组)执行的命令或命令集;
三级等保之网络设备AAA及服务器动态口令加固方案
如下图三级授权深入细化:
a、基于用户源、用户组、用户角色完成可访问设备的用户的一级授权;
b、根据用户可操作的设备、设备级别进行二级授权,cisco支持(1~15级)、H3C(1~15级)、华为(1~15级)、
Aruba(命令级权限);
c、三级授权用户在某设备(设备组)级别上可做操作的命令。(支持自定义命令集)
4、详细的报表审计日志:
审计追溯用户名、时间、终端、设备、命令及结果,方便运维人员及时查看并排除操作故障。
5、业务细分控制能力:
异构兼容多品牌设备,根据业务场景自定义用户角色、用户组、设备组、操作命令集及可操作的命令及参数。完
成什么人在什么设备上可操作什么命令。为企业运维人员提供统一认证、授权及审计服务。
三级等保之网络设备AAA及服务器动态口令加固方案
方案二、动态口令安全加固方案
在账号密码的基础上增加动态密码,形成账号密码动态加固。宁盾动态密码由令牌生成器根据国家密码局(SM3
算法)生成,每隔30/60s变化一次,一旦使用立即失效,不可追溯,为用户建立唯一身份认证凭据。满足三级
等保网络设备及主机身份鉴别服务,提升账号及身份安全:
建立身份唯一识别标识,实现多场景统一身份认证;
避免账号密码增加、删除、密码记忆难、僵尸账号等对应用场景的影响;
避免账号密码共享,增强账号登录审计,即使把验证码给别人使用,本人也有不可推卸的责任;
降低账号密码泄漏及弱密码对核心业务的影响,即使账号密码无意泄漏,在没有动态密码的情况下也无法
登录。
1、网络设备动态加固:
兼容cisco、华为、H3C、锐捷、博达等异构交换、路由网络设备,兼容AD、LDAP、PoP3等多账号源。在账号密
码的基础上增加动态密码,为大型异构网络环境提供统一身份认证及动态密码加固服务。
2、主机(服务器)动态加固:
兼容windows、linux(Ubuntu、CentOS)、Unix服务器,为每个用户绑定动态令牌,确保只有权限内的用户才可使用。
交换机动态口令认证Linux服务器动态口令认证
3、宁盾动态口令特性
统一身份认证:兼容VPN、虚拟化、网络设备、服务器(云)、数据库、OWA、sharepoint、网络认证、单
点登录等多应用场景,为用户提供一体化安全认证平台;
令牌开放性:提供手机令牌、硬件令牌、短信令牌;与企业微信即成H5令牌,省略令牌派发及绑定;兼
容第三方令牌(RSA SecurID、Google Authenticator等),为企业提供过渡式解决方案;
令牌自动化及运维管理成本:支持令牌批量派发、增量派发,并支持用户短信、邮件及自服务激活,另外
账号创建的同时自动绑定令牌极大降低运维管理成本。
多策略权限访问管理:提供基于用户源、用户组、角色、动态密码前缀、终端类型、认证协议等多策略管
理方式,确保只有权限内用户才可访问;
认证审计:基于用户名、用户IP、终端隧道IP、登录设备、令牌序列号、流量统计、登录登出时间等提
供严格审计。
高可靠:主备双机或一主多高可靠部署方案及容灾能力帮助客户解决多IDC横向扩展问题。
center
业务
双向同步
双向同步
Site1Site2
.
SiteN
..
业务业务
一主多从网络部署架构
等级保护测评的目的在于帮助企业合理地规避或降低风险,面对日益增多的网络安全事件,企业需要看护好网络
安全的每一个关口。南方电网、浦发银行、浙江电网都在使用宁盾三级等保解决方案。
2024年4月23日发(作者:仰晨)
解决方案
三级等保之网络设备AAA及服务器动态口令加固方案
随着信息化进程的发展,企业不断更新、升级网络,网络基础设施复杂多样,大型、异构的网络环境难以对用户
行为进行统一控制和审计。其中在对网络基础设施构成的安全风险调查中,由于不安全的身份认证及混乱的授权、
审计现状所导致事故占企业内部安全风险的80%。对此《网络安全法》提出,国家实行网络安全等级保护制度,
以帮助企业、政府机关合理地规避或降低风险。等保涉及范围包括:网络的物理安全、网络拓扑结构安全、网络
系统安全、应用系统安全和网络管理安全等。关于网络设备防护及及主机(服务器)身份鉴别的等级保护需求,
宁盾提供动态口令加固及网络设备AAA(Authentication:认证、Authorization:授权、Accounting:审计)
管理解决方案。
三级等保之网络设备防护及主机身份鉴别安全需求及产品方案
类别
等级保护安全需求
应对登录网络设备的用户进行身份鉴别(G2)
应对网络设备的管理员登录地址进行限制。(G2)
网络设备用户的标识应唯一。(G2)
主要网络设备应对统一用户选择两种或两种以上组合的鉴别技术
来进行身份鉴别。(G3)
宁盾等级保护建设方案
网络设备动态口令加固方案:
1、增强用户身份的唯一性;
2、只允许权限内用户登录;
3、在账号密码的基础上增加动
态口令进行安全加固;
4、动态口令每隔30/60s变化一
次,不可追溯;
5、限制登录次数及非法登录告
警;
6、基于角色的访问控制管理;
7、认证登录审计;
8、其他;
网络
设备
身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并
防护
定期更换。(G2)
(AAA
部分)
应具有登录失败处理功能,可采取结束会话、限制非法登录次数
和当网络登录连接超时自动退出等措施。(G2)
当对网络设备进行管理时,应采取必要措施防止鉴别信息在网络
传输过程中被窃听。(G2)
当对网络设备进行管理时,应采取必要措施防止鉴别信息在网络
传输过程中被窃听。(G2)
应实现设备特权用户的权限分离。(G3)
SSH远程登录;
网络设备AAA管理方案:
1、兼容多品牌、多类型网络设备;
2、基于用户角色划分登录权限;
3、基于品牌、类型、操作级别
粗粒度划分权限;
4、基于可操作命令细粒度权限
划分。
5、操作审计及其他;
应对登录操作系统和数据库系统的用户进行身份标识和鉴别。(G2)
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特
点,口令有复杂度要求并定期更换。(G2)
主机
应启用登录失败处理功能,可采取结束会话、限制非法登录次数
安全
和自动退出等措施。(G2)
(身份
鉴别)
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在
网络传输过程中被窃听。(G2)
应为操作系统和数据库系统的不同用户分配不同的用户名,确保
用户名具有唯一性。(G2)
应采用两种或两种以上组合鉴别技术对管理用户进行身份鉴别。
(G3)
同网络设备动态口令安全加固方
案。
三级等保之网络设备AAA及服务器动态口令加固方案
方案一、网络设备AAA管理解决方案
大型、异构网络环境共存,各厂商设备之间品牌兼容性较差,各设备之间独立管控,分散的多点管理方式难以实
现统一授权及审计;再加上弱密码、账号共享等弱身份认证因素,皆为非法操作者留有可乘之机。身份越权或假
冒的非授权使用问题给企业造成重大混乱和损失。宁盾网络设备AAA采用Tacacs+协议,是集认证、授权、审
计于一体的网络设备综合运维管理平台。兼容cisco、华为、H3C等不同品牌网络设备,搭配宁盾双因素认证产品,
为企业运维人员提供一体化动态口令强身份认证、细力度授权用户可操作权限及业务场景、实时审计用户操作行
为等,帮助企业解决三级等保网络设备安全防护问题。
网络设备AAA产品对比
对比项
堡垒机AAA设备原厂商AAA宁盾网络设备AAA
用户操作体验授权功能不足操作界面复杂操作便捷,模块化程度
高
品牌兼容性高低,只适用于自家网络高,兼容不同厂商品牌
设备(cisco、华为、H3C、
锐捷、博达等)设备
是否支持双因素账号保否否支持
护
授权等级划分初级授权,限制用户登高级授权,授权粒度至高级授权,授权粒度至
录权限设备类型及操作命令用户角色、设备品牌、
设备类型、设备级别、
操作命令
审计方式及直观程度视频审计,上下文操作报表审计,审计直观,报表审计,审计直观,
审计不直观细节丰富谁在什么时间什么设备
上操作了什么命令一目
了然
宜信单点登录+宁盾双因素认证场景模型
审计占用空间占用空间较大占用空间少占用空间少
业务细分控制能力仅限于用户认证仅限于自家产品基于角色和场景进行细
粒度权限划分,实现异
构兼容统一管理
对比当前网络设备AAA产品,宁盾在网络设备品牌兼容性、双因素一体化认证、业务细分控制能力表现出色,具
体表现为:
1、网络设备异构兼容:
兼容国内/外主流品牌不同类型网络设备(cisco、华为、H3C、Hillstone、Aruba等所有支持Tacacs+协议的设备);
2、动态口令加固认证:
在账号密码的基础上增加动态密码,建立用户唯一身份认证标识;
(详情见于方案二)
3、细粒度授权等级:
基于角色及业务场景进行细粒度授权,明确用户(用户组)执行的命令或命令集;
三级等保之网络设备AAA及服务器动态口令加固方案
如下图三级授权深入细化:
a、基于用户源、用户组、用户角色完成可访问设备的用户的一级授权;
b、根据用户可操作的设备、设备级别进行二级授权,cisco支持(1~15级)、H3C(1~15级)、华为(1~15级)、
Aruba(命令级权限);
c、三级授权用户在某设备(设备组)级别上可做操作的命令。(支持自定义命令集)
4、详细的报表审计日志:
审计追溯用户名、时间、终端、设备、命令及结果,方便运维人员及时查看并排除操作故障。
5、业务细分控制能力:
异构兼容多品牌设备,根据业务场景自定义用户角色、用户组、设备组、操作命令集及可操作的命令及参数。完
成什么人在什么设备上可操作什么命令。为企业运维人员提供统一认证、授权及审计服务。
三级等保之网络设备AAA及服务器动态口令加固方案
方案二、动态口令安全加固方案
在账号密码的基础上增加动态密码,形成账号密码动态加固。宁盾动态密码由令牌生成器根据国家密码局(SM3
算法)生成,每隔30/60s变化一次,一旦使用立即失效,不可追溯,为用户建立唯一身份认证凭据。满足三级
等保网络设备及主机身份鉴别服务,提升账号及身份安全:
建立身份唯一识别标识,实现多场景统一身份认证;
避免账号密码增加、删除、密码记忆难、僵尸账号等对应用场景的影响;
避免账号密码共享,增强账号登录审计,即使把验证码给别人使用,本人也有不可推卸的责任;
降低账号密码泄漏及弱密码对核心业务的影响,即使账号密码无意泄漏,在没有动态密码的情况下也无法
登录。
1、网络设备动态加固:
兼容cisco、华为、H3C、锐捷、博达等异构交换、路由网络设备,兼容AD、LDAP、PoP3等多账号源。在账号密
码的基础上增加动态密码,为大型异构网络环境提供统一身份认证及动态密码加固服务。
2、主机(服务器)动态加固:
兼容windows、linux(Ubuntu、CentOS)、Unix服务器,为每个用户绑定动态令牌,确保只有权限内的用户才可使用。
交换机动态口令认证Linux服务器动态口令认证
3、宁盾动态口令特性
统一身份认证:兼容VPN、虚拟化、网络设备、服务器(云)、数据库、OWA、sharepoint、网络认证、单
点登录等多应用场景,为用户提供一体化安全认证平台;
令牌开放性:提供手机令牌、硬件令牌、短信令牌;与企业微信即成H5令牌,省略令牌派发及绑定;兼
容第三方令牌(RSA SecurID、Google Authenticator等),为企业提供过渡式解决方案;
令牌自动化及运维管理成本:支持令牌批量派发、增量派发,并支持用户短信、邮件及自服务激活,另外
账号创建的同时自动绑定令牌极大降低运维管理成本。
多策略权限访问管理:提供基于用户源、用户组、角色、动态密码前缀、终端类型、认证协议等多策略管
理方式,确保只有权限内用户才可访问;
认证审计:基于用户名、用户IP、终端隧道IP、登录设备、令牌序列号、流量统计、登录登出时间等提
供严格审计。
高可靠:主备双机或一主多高可靠部署方案及容灾能力帮助客户解决多IDC横向扩展问题。
center
业务
双向同步
双向同步
Site1Site2
.
SiteN
..
业务业务
一主多从网络部署架构
等级保护测评的目的在于帮助企业合理地规避或降低风险,面对日益增多的网络安全事件,企业需要看护好网络
安全的每一个关口。南方电网、浦发银行、浙江电网都在使用宁盾三级等保解决方案。