xx集团始创于上世纪80年代末，历经30多年的快速健康发展，目前已取得了国家首批“创新型企业”、“国家技术创新示范企业”，拥有“国家认定企业技术中心”、“国家地方联合工程研究中心”、国家“博士后科研工作站”和“国家认可实验室”等殊荣，在全球范围内拥有多个制造基地，是一个集新材料、新能源、精密切割丝、精密零部件、高端卫浴、资本合作等六大产业于一体的科技型、资本型、国际化集团公司。

一、基本情况

xx集团作为国际铜合金领域的龙头企业，顺应产业发展趋势，逐渐向着数字化企业转型，对网络安全保护极为重视。为了加强司网络安全，xx集团需要建立一套准入系统来对企业级网络进行安全管控，实现网络准入认证，防止集团网络被随意连接。

网络准入控制系统用于验证入网终端是否经过授权，只有合法的、值得信任的终端设备才被允许接入网络，能够有效避免各种电脑病毒和蠕虫等新兴黑客技术对企业安全造成危害

二、 项目需求

经过和xx集团的详细沟通后，宁盾科技了解到xx集团对准入控制系统有着以下的需求：

1、网络准入支持多种认证方式，并且多种认证方式可以并存

2、 认证方式可以跟域控集成，做到加域电脑通过系统域账号单点登入认证，无需再次认证

3、具有白名单功能，对特殊电脑有专门权限设置

4、可设定用户权限，不同用户可访问的网络不同

5、入网安全检查，需要检查是否安装杀毒等权件

6、可以限定手机、PAD等移动设备是否入网

7、具备访问账号申请流程。由接待人员审批

8、可以手动禁止或删除已登入用户

9、具有桌面标准化功能，可以限制客户端电脑安装或者删除软件

10、具备禁用移动存储等功能

11、用户数满足公司需求：3500用户以上

12、软件系统售后服务期3年或以上

13、需要供应商提供域控升级服务，从2008域升级到2016域

宁盾科技给出了一套综合的解决方案：通过部署宁盾终端准入产品和有线无线网络认证产品，从用户身份、终端身份两个方向进行网络准入验证，只有当两者都通过验证后才被允许接入网络。

图|方案拓扑图

该方案最终通过了xx集团终端可视化测试、认证方式多样化测试、域身份检测、入网合规性检测等多个测试，证明了宁盾网络准入控制方案能够在实际办公场景下完成网络准入认证，终端合规检查、访问控制等功能。

三、方案价值：

1、实现对用户身份的准入控制。具有多种认证方式供用户使用；可设置用户权限，不同用户可访问的网络不同；访客入网申请未得到公司管理人员的同意不能接入网络，且对入网用户的上网行为进行可视化管理。

2、实现对终端身份的准入控制。具有白名单功能，对特殊电脑设置权限；检查入网终端是否安装指定杀毒软件，是否获得入网权限……多种管理功能保证了入网终端的安全可靠。

来源：freebuf.com 2020-11-25 15:46:18 by: 宁盾nington