方案背景:
某金融运营服务公司,主要负责业务处理、客户服务、业务监控、报表统计等金融运营服务,为集团下设二级单位,坐落于一线城市,对政策风向有很高的敏锐度。
该公司已为公司业务人员、客户服务、监督员等配备了数百台国产桌面操作系统,但目前尚未实现统一管理,均使用本地账号进行登录。
考虑到安全合规,公司的 IT 管理员需要定期登录到这一台台桌面上修改密码。这令 IT 部门的人员很苦恼,迫切需要可对国产桌面终端实现统一身份认证的方案,并能够根据公司合规要求灵活定义密码策略,让公司员工能自助改密。
宁盾解读:
宁盾收到此需求时,只能感叹客户应该更早些来,白费了不少功夫。这里跟各位金融 IT 经理、安全负责人、IT 管理员们分享下宁盾在信创终端管理上的理解。
首先,统一身份认证这个基础要先打。这一步最简单、效果最明显,且如果不做、做不好,后面再弥补麻烦很大。微软时代,企业在规划内网和 IT 架构时,会先把微软 AD 搭建了。为什么?AD 能很好地把终端、用户、应用/服务统一管理起来。国产化时代,组织单位在规划国产化步骤时,也应该把国产目录服务/国产域管先准备上。员工希望的是,能用着跟 AD 一样的账号密码来登录国产终端;IT 部门想看到的是,能像 AD 一样给国产终端下发组策略,定期改密、遵从密码合规。如果信创终端先发下去了,但统一身份认证没做,当然会出现上文中的金融运营服务公司面临的困扰。
用户进到桌面后,下一步要干嘛?得有网嘛!所以,第二步,信创终端的入网认证必不可少。信创终端 802.1X 网络认证支持的协议跟 Windows 终端不同,所以必须考虑国产目录服务/国产域管的协议兼容性。此外,Portal 认证、终端的入网合规性检测、信创终端的兼容性/适配性都是 IT 部门需要考虑的问题。
最后,对涉及敏感业务数据、高权限用户使用的国产终端,可以额外增加 MFA 多因素认证动态口令,来加固桌面登录安全。补充点 mfa的介绍。除了用在桌面登录安全加固场景,在其他如邮箱登录、应用系统登录、网络设备、网络接入认证等场景均可通过 2FA 动态口令来增强用户的账号安全性。
宁盾方案:
以上三点,宁盾国产化身份域管皆打通并集成了相关能力。作为国产目录服务,宁盾身份域管以 LDAP 服务为核心,内置了RADIUS、SSO、NAC等能力,可以实现 MFA 多因素认证、网络接入认证、单点登录、终端网络准入等效果。当然,作为国产化身份域管,在国产生态的适配对接上,宁盾已经有了丰厚的生态积累,并且还在不断加速拓宽生态圈,立志为客户提供“开箱即用”的使用体验。
如果您有信创要求,并且在计划采购国产终端、桌面、应用等,欢迎了解宁盾国产身份域管的解决方案。
