某银行数据中心：宁盾网络设备AAA+双因素认证联合实践.pdfVIP

如今的企业网络比以往任何时候都更加动态化，企业网络中用

户、设备和访问方式的数量都在不断增加。随着访问量的增加和设备

的激增，出现安全漏洞和新的运营挑战的可能性也在增加。因此，维

护网络安全、提升运营效率均需要新的解决方案，这些方案应能够有

效地执行访问策略、审核网络使用情况、监控访问的合规性并全面了

解整个网络中的活动状况。为了加固网络设备安全。企业一步步实现

网络设备全应用双因子保护、授权、日志审计。

一、客户需求

解决网络及安全设备及业务系统的弱密码安全隐患问题；

统一管理不同品牌、不同类型设备（包括网络设备、防火墙、

堡垒机、VPN及重要服务器等）；

统一管理特权账号，实现账号的增、删、改、查及角色/用户组

的统一更改；

规范对特权账号的可访问权限到可操作命令/命令集，审计特权

账号的操作命令，追溯误操作及非法操作并落实到相关责任人。

二、解决方案

网络设备AAA属于一体化身份认证与访问控制（DKEYAM）的

一部分，基于Tacacs+协议，自定义可操作命令/命令集以达到特权

账号细分权限的目的。同时兼容异构网络设备（华为、H3C、Cisco、

Aruba等），实现不同品牌、不同类型网络设备的统一认证、授权和

审计。

同时，基于Radius协议，为不同厂商的VPN、虚拟化、网络设

备、堡垒机、服务器（本地/云）、数据库、网络层及应用层身份认证

提供一体化认证及账号加固解决方案。

1、Tacacs+网络设备AAA：

支持不同品牌交换机、路由器、防火墙等主流网络设备，帮助其

实现网络设备账号统一AAA认证授权审计、动态密码安全加固。

统一对接网络设备

异构兼容华为、H3C、Cisco、Aruba等不同品牌交换机、路由

器等网络设备，实现数据中心网络设备统一管理。

自定义命令/命令集授权

自定义可操作命令/命令集，为不同厂商、不同设备级别的分配

可操作命令/命令集权限；

统一账号源或账号身份，为不同用户角色/用户组分配可操作的

设备及操作权限，实现数据中心自定义授权及统一监管。

操作命令审计并落实到相关责任人

通过审计报表记录特权账号操作命令，追踪误操作及非法操作并

落实到实名身份，帮助企业更快发现问题以缩短排障时间。

2、多场景双因素认证加固

令牌基于国密SM3算法，持有国家密码管理局《商用密码产品

型号证书》。动态密码每隔30/60s变化一次，一次一密，每个密码

用后立即失效，有效提升账号身份的唯一性及安全性。

令牌提供手机令牌、短信令牌、硬件令牌等多令牌形式，另与企

业微信/钉钉对接集成H5令牌及“扫一扫”认证、推送认证、指纹

识别等多认证方式，同时兼容RSA、Google第三方身份验证器，满

足密码国产化的同时实现动态令牌平滑过渡。

a.网络设备双因素认证加固

将网络设备与一体化认证平台（DKEYAM）对接（前面如果已

经实现对接，这里可以省略），通过为每个用户绑定唯一动态令牌，

用户采用“静态密码+动态密码”的一步式认证，提升网络设备特权

账号的账号安全。

b.防火墙双因素认证加固：

将迪普防火墙（客户场景）与一体化认证平台（DKEYAM）对

接，通过为每个用户绑定唯一动态令牌，用户采用“账号+静态密

码”、“动态密码”两步认证，提升防火墙账号安全。

c.Windows服务器双因素账号加固

将重要Windows服务器与一体化身份认证平台对接（DKEY

AM），在账号密码的基础上增加动态密码实现账号密码动态加固；

Linux服务器双因素账号加固

将重要Linux服务器与一体化身份认证平台对接（DKEYAM），

通过“静态密码+动态密码”一步认证实现账号密码动态加固。

三、项目价值：

通过在部署一体化身份管理之后，到达的最终效果如下：

a.统一管理所有网络设备及重要服务器，运维人员使用独立帐号

及动态密码唯一鉴权