宁盾科技+期货公司|宁盾网络设备AAA管理满足客户多样需求 – 作者:宁盾nington

上海某期货公司成立于上世纪90年代，经过二十余的发展，企业规模不断壮大，目前已在北京、上海、深圳、杭州、重庆、厦门等全国多地设立了20+的营业部，并取得了中国期货业协会副会长单位，上海期货同业协会会长单位等诸多荣誉，在行业内的影响力日益扩大。

一、方案背景

上海某期货公司以前使用的是ACS的AAA网络设备管理产品，但是因为ACS目前市场上已经不支持服务、针对网络设备管理的风险告警的功能满足不了企业需求，以及ACS没有双因素动态令牌认证功能等原因，该期货公司亟需寻找一个合适的产品来替换ACS的产品。

二、宁盾方案

宁盾一体化认证平台（DKEY AM）由宁盾科技旗下的双因素认证系统、有线无线网络认证系统、统一身份与单点登录系统以及网络设备AAA管理系统综合而成，能够为企业提供从核心应用层到无线有线准入，再到数据中心基础设施一整套的解决方案。

上海某期货公司在与宁盾科技沟通后，认为宁盾DKEY AM平台的网络设备AAA管理系统能够完全满足该公司对网络设备AAA管理方面的需求：

1、异构网络设备以及各运维人员的统一管理登录和细粒度的管理授权：

通过宁盾身份认证平台与客户的各种网络设备进行对接实现管理员通过AAA认证统一管理所有的网络设备，包括CISCO、Nexus、ASA、Arista、天融信、Metamako、Exablaze等等，实现公司中各设备的统一管理；

宁盾认证平台上设置相应的登录策略，指定不同部分的设备登录权限以及操作权限，例如：网络部门基层人员可以登录交换机并有5级的操作权限，高级运维人员可以登录管理核心的网络设备以及操作权限。安全部门人员只可以登录操作各安全设备的登录操作权限，实现各人员身份的统一管理；

2、宁盾提供动态令牌的方式，确保登录的安全性：

在运维管理人员登录网络设备时加上硬件Token，宁盾的Token有国密的资质，采用SM3算法保证登录的安全性，防止密码被暴力破解。另外可以根据令牌的不同序列号可以知道同一账号具体是谁登录的操作；

3、风险告警这块宁盾完美地解决了客户的痛点：

客户希望能在交易时间段来监控员工操作网络设备，领导要求交易时间段禁止员工在网络设备上打configure命令，若员工打了该命令则需要通过邮件+短信发送告警，能让领导第一时间知道谁在什么时候，在哪台设备上打了configure命令，这样领导可以对违反规定的员工进行相应的处罚；宁盾实现了自定义的敏感命令，自定义的时间范围段，针对敏感命令监控，并通过多种方式告知给相关人员，降低了风险。

图：方案拓扑图