一、案例背景：

华宝基金管理有限公司是国内首批中外合资基金管理公司，也是国内首家由信托公司和外方资产管理公司发起设立的中外合资基金管理公司。

面临的问题

随着移动化办公、远程办公场景需求增长，在使用VPN或登录网络设备时，存在大量弱口令，无法保障员工账号密码安全性，加强账号密码安全性不仅关系着企业数据资产的安全，也是等保2.0等法律法规的要求。

同时有线、无线网络办公场景，企业要对员工及访客进行入网身份认证和访问控制管理，进一步加强对入网的“人员”和“终端”的合规性检查，提升企业内网安全基线。

用户需求

1.用户远程办公场景下，登录深信服SSL-VPN和安恒堡垒机验证账号密码后，再次认证用户绑定的动态令牌，增强身份管理和密码强度，提高安全性。

2.企业内部采用有线网络办公，对入网的终端进行合规检测，合规后才放行。

3.为员工和访客提供免费无线网络，员工验证域身份，访客使用手机获取验证码上网。

二、案例概述：

华宝基金所在的金融行业是《等保2.0》、护网行动、银保监协会等重点关注领域。在数字化转型过程中，金融行业面临着诸多挑战。如：

1.存在弱密码隐患

重要入口（VPN、云桌面、堡垒机等）存在安全隐患，且相关法律法规要求各设备登录需要采用二次身份鉴别技术。

2. 多个业务系统账号密码混乱

企业内存在多个业务系统，员工需要记住多套账号密码，且为图便利，账号密码过于简单，存在安全隐患。

3. 网络设备权责不规范

办公期间（业务期间），网络设备管理人员配置设备时操作不规范及权限不明确，时候难以及时定位故障及追责。

4. 接入企业网络内部的人员复杂

企业内人员身份多样，有员工、外包人员、临时访客、长期供应商等，网络接入难以对人员和终端实现有效管控和审计。

三、安全技术应用情况：

针对上述问题，宁盾提供的解决方案：

1. 多因素身份认证

用户远程办公场景下，登录深信服SSL-VPN和安恒堡垒机验证账号密码后，再次认证用户绑定的动态令牌，增强身份管理和密码强度，提高安全性。

2. 统一身份管理和单点登录

华宝基金自研了单点登录系统用于整合多个业务系统登录问题。宁盾统一身份管理和单点登录不仅可以整合多个业务系统，还可以对账号进行自动化/半自动化生命周期管理，降低运维压力。

3. 网络设备AAA管理

在二期项目中，华宝基金与宁盾将在网络设备AAA管理上进行合作。宁盾3A解决方案兼容各种厂商网络设备，针对数据中心网络设备统一认证登录、细粒度（具体到某个命令）的命令授权、详细的审计记录。制定业务时间段内的网络设备操作合规性，敏感命令的实时监控预警。增强运维人员身份安全，实现事前有防护、事中有记录、事后可追溯。

4. 有线网络终端准入

华宝基金使用有线网络办公，增加宁盾准入引擎设备旁路在网络中，分析终端流量，识别终端加域信息，合规即放行，反之执行定义的虚拟防火墙和有线portal认证策略。

5. 无线网络portal认证

为员工和访客提供免费无线网络服务，员工验证域身份，访客使用手机获取验证码认证上网。宁盾后台记录相应日志。

方案拓扑

方案解读：

1.宁盾方案产品组成部分：DKEY-AM，NDACE

2.多因素部分：深信服VPN、安恒堡垒机使用radius协议和宁盾AM一体化认证平台对接，宁盾AM同步AD域控作为vpn和堡垒机登录的账号源。用户远程拨入vpn和堡垒机时需要输入域账号密码和动态密码。

3.准入部分：NDACE旁路在交换机上做镜像流量分析，拉取网关所在防火墙上的SNMP，获取终端ip+mac的绑定关系。通过流量分析终端是否加域，加域即为合规；反之执行虚拟防火墙和portal策略，只允许终端访问特定业务，外来人员因为业务需要使用有线网络，弹出portal页，由内部员工提供账号给予上内网权限。

4.无线部分：思科WLC和AM对接，实现三层portal认证，员工和访客进入不同站点。员工使用域账号密码认证；访客使用短信认证方式，后台开启手机号黑白名单功能，访客连网向管理员申请，管理员将访客手机注册进AM，访客输入手机号获取验证码上网。