宁盾科技+金融行业|宁盾一体化身份认证  保障xx银行内网接入安全 – 作者:宁盾nington

xx银行是一家多方参股的城市商业银行，成立于1997年，总行下设9家省内分行，线下网点覆盖区域，线上业务辐射全国。

随着业务的快速发展，xx银行积累起来的海量数据资源成为了企业重要资产，而xx银行下设多个分行、线下网点，每天都有大量的分行、网点的员工及终端需要接入总部内网访问资源，如何对访问资源的用户、终端身份进行验证成为了xx银行必须着力解决的网络安全问题。

在之前的网络构架中，xx银行建有一个内部局域网，网点、离行ATM的终端只能通过总部提供的4G路由器才能接入xx银行总部内网。但是如果网点更换了4G路由器或者路由器的IMSI卡，总部并不能对更换后的终端设备进行合规验证。

因此，xx银行又在总部部署了一台AAA认证服务器，通过总部的锐捷路由器PPP接口配置radius认证指向AAA服务器再做一层校验，针对外部通过PPP进入银行总部局域网的设备做认证。从而实现不仅用户名、密码是经过了校验的，终端4G路由器也是可信的。

但是xx银行目前正在使用的ISE AAA认证服务器只能校验用户名/密码，并不能判断这个设备端的身份。因此xx银行需要重新部署一台服务器，以达到既能校验用户名、密码，又能校验IMSI卡信息。

基于对双因素认证、网络设备AAA管理以及对IMSI互联网卡识别的三个需求，宁盾科技成为了竞标厂商中唯一能够全部满足客户需求的厂商。xx银行希望通过部署宁盾一体化认证平台，满足以下目标：

1、实现与锐捷路由器对接，实现PPP接口调用radius做认证；

2、实现校验用户的用户名与密码；

3、实现校验用户拨入的设备的IMSI信息是否正确

宁盾科技在与xx银行充沟通后，立即开始了宁盾一体化认证平台的部署，通过宁盾双因素认证、网络设备AAA管理对设备及其用户名与密码进行校验，然后又控制策略，间接地实现对IMSI卡的校验。经过测试，宁盾一体化认证平台成功满足了客户的三大需求。

宁盾一体化认证平台的部署也给xx银行带来了以下的方案价值：

1、解决了ISE目前暂时不能做的痛点，实现用户名、密码、IMS的三重校验，保障入网用户和终端的安全可靠；

2、可批量导入各xx银行下设各网点的用户及终端信息，方便了运维人员的工作；

3、完善的日志审计可追溯；宁盾一体化认证平台可详尽记录登陆/登出消息、登陆结果及消息反馈等信息，实现安全认证审计；

4、后期平台可延伸其他产品，满足全场景身份安全认证。

来源：freebuf.com 2020-12-02 14:49:15 by: 宁盾nington