中大型金融客户,宁盾Windows无客户端网络准入实践

随着企业移动化转型，越来越多的企业用户希望有一个可以承载多应用系统的容器，单点登录（Single-Sign-On）系统应运而生。

虽说SSO并不是什么新兴方案，但随着近年来企业移动化的大步伐推进，本地业务上云，将C/S架构应用与B/S架构放在同一承载容器的需求与日俱增，因此对于单点登录的市场需求也在日益壮大。

单点登录为多应用系统提供了统一认证入口的同时，完成与B/S、C/S应用的对接，实现了统一身份认证，为多应用系统提供承载容器。

那么就有客户提出假设，既然网络层身份认证与应用层身份认证同属于身份鉴别，而且使用的同一账号身份，那为何不能实现一次性认证，即在入网身份鉴别后，直达单点登录应用层，省略中间的重复性认证？因此才有了将单点登录与Wi-Fi入口统一的安全身份鉴别需求。

身份校验的环节越少，意味着其所面临被攻击的可能性越大，因此对于网络入口的安全准入需求越高。

传统身份鉴别面临的挑战主要有：弱密码攻击、僵尸账号、账号密码被盗风险。

因此提升账号密码身份鉴别的安全与将网络层认证和应用层认证统一同样重要！对此，提供账号密码动态加固和企业微信/钉钉扫码免密认证两种方案。

1、账号密码动态加固方案账号密码动态加固，实质上是在账号密码的基础上增加动态密码，形成双层保护。

令牌与认证服务器是基于SM3 非对称加密算法，每隔30/60s生成一个动态口令。

每个口令一旦使用立即失效，进而达到动态认证的效果。

当前，令牌已通过国家密码局重重检测，并获得国密资格证书，满足等保及护网行动对供应商国密资质的要求。

2、企业微信/钉钉扫码免密认证方案企业微信/钉钉扫码免密认证是借助企业微信/钉钉的方式通过“扫一扫”实现身份鉴别。

首先在企业微信/钉钉中开启身份认证服务，其次授权用户使用权限，扫码免密认证的好处在于：a)用户无需记忆帐号密码，通过“扫一扫”免密认证，用户体验更好；b)功能即取即用，无需再定期修改密码，运维成本更低；c)用户无需额外安装客户端，省略令牌派发、收回等繁琐事项；d)客户端有大厂保障，稳定性更强。

受移动化影响，每时每刻，不同终端在企业内网与外网之间进进出出，这些终端是否是企业授权的？安全是否合规？由谁在使用？大部分企业仍采用以防火墙为中心的内外网安全防护，对终端身份及安全合规性处于模糊状态。

宁盾新一代终端准入（NAC）基于Forrest 的“Zero Trust Model”，不信任访问企业业务的任何终端，直到终端完成身份与终端合规性校验。

Windows终端作为企业最常用办公工具，宁盾提供Windows 无客户端AD域检测及Windows客户端检测两种检测方式。

常用方案如下：∙终端资产可视化；∙终端身份认证（网络身份认证或终端AD域无感知校验）；∙Windows客户端合规性安全检测；∙终端准入控制示例：以“是否安装杀毒软件”为Windows电脑终端准入条件；∙第三方联动及软件推送；∙U盘管控；∙防私接；∙网络拓扑可视化；1、终端入网可视化宁盾新一代终端准入主动探测访问企业业务的一切IP终端的终端类型、操作系统、终端身份、终端合规性状态等，并通过直接或折叠的方式将终端展示于NAC控制中台，实现终端可视化管理。

更多折叠信息终端网络信息：MAC地址、IP地址、认证账号、域账号、终端类型、数据包、流量、首次入网时间、最后离网时间、网络来源；Linux电脑基础信息：终端类型、操作系统、功能及作用、CPU 占用率、剩余内存、总内存；终端安全信息：是否安装客户端、补丁版本是否更新、是否安装杀毒软件、病毒库是否过期、安装了那些应用、运行着那些应用等。

2、Windows终端AD域身份认证•设置AD域身份作为终端准入条件；•自动化检测入网终端是否加入AD域；•对合规终端执行Vlan116操作，同时非合规终端调控到其他Vlan网段；通过AD域终端检测，解决网络身份认证不能区分BYOD及企业派发设备的困惑，快速将BYOD隔离于企业外网。

3、Windows客户端合规性安全检测宁盾客户端（User Connector）提供32/64位客户端，用于检测是否安装客户端、补丁版本是否更新、是否安装杀毒软件、病毒库是否过期、安装了那些应用、运行着那些应用、CPU占用率、终端剩余内存等。

宁盾推出企业移动化网络准入方案，侧重“体验、轻量、业务随行”终端类型及数量的增多为企业移动化引入新的网络安全风险咖啡厅、飞机场、地铁随处可见移动化办公，IoT以及BYOD普及加速企业移动化变革。

为适应这一变革，企业为员工提供开放的办公环境和更轻、更智能、更便捷的办公工具，引入自动化智能技术，减轻员工重复性劳动成本；统一更换轻量级应用或引入云服务，提升企业工作效率。

在享受移动化办公高效运作模式的同时，企业网络安全威胁形式日趋复杂。

从访客到员工、从BYOD、企业派发设备到各种各样的 IoT终端，移动化网络隐患重重。

中心化IT管理无法适应移动化终端入网合规需求任何企业都是把业务和安全结合起来的合资企业。

面对肆意泛滥的互联网攻击及威胁，企业IT安全人员肩负着网络安全防御的重任，务必要洞悉网络中用户及终端的身份、安全合规状态、权限及组织关系，快速响应并定位网络威胁来源，降低网络排障成本，确保网络及时恢复。

移动化让用户及终端的流动性增强，传统集中化人工检测的方式无法实时可视化接入网络的终端合规性，劳动成本高，检测不及时，且易存在人为失误。

某“体验、轻量、业务随行”——宁盾面向移动化终端合规解决思路基于“E-L-W”三要素，为企业建立“高体验、轻量化、业务随行”的移动化网络准入控制体系。

可视化接入网络的终端，自动化及去中心化终端管理，减轻运维劳动成本，提升用户使用体验。

E：E XPERIENCE－体验通过ND ACE可视化接入网络的用户及终端，实时监控接入网络的终端合规性及安全状态，避免人为检测的遗漏及不及时现象。

∙在网络接入层，对入网终端进行自动化检测，将传统人工检测杀毒软件、wifi 钥匙等人为工作通过ND ACE自动化实现。

∙基于自助式认证，访客不用再找前台索要网络账号及密码，提升访客接入体验。

L：L IGHTWEIGHT－轻量∙旁路镜像部署ND ACE，不改变网络原有架构，降低运维及部署成本；∙简化IT运维流程，将重复性人工操作如IP及MAC绑定、Vlan策略下发及非法终端自动隔离等操作自动化，提升企业管理效率；∙无客户端安全检测，避免客户端软件兼容性及客户端升级，降低运维劳动成本；∙以去中心化管理取代集中化管控，将简单的运维维护工作下放至终端用户，如补丁更新、软件升级等。

宁盾终端与网络准入控制管理系统（2018版）一、产品概要宁盾终端与网络准入控制管理，是无边界企业网络安全核心部件，为企业访客、员工通过笔记本、BYOD接入有线无线网络时做身份认证、终端合规检测以及准入控制，扩展支持IOT准入安全控制，实现有线无线网络、多分支统一接入，员工、移动设备（IOT）身份安全认证，终端准入合规控制等。

基于对用户身份的真实性以及终端风险进行双重验证，判断是否允许准入网络以及获得访问权限，实现双重可信，提升网络安全。

二、产品功能1、访客、员工、外包人员网络接入统一身份认证，丰富的认证方式满足不同角色用户安全身份认证需求。

短信认证：可设定短信内容模版、短信验证码有效期及长度等；微信认证：访客通过关注微信公众号进行认证连接上网；协助扫码：快速授权上网，实现访客与被访人之间实名可追溯；邮件审批，由指定人员审批申请信息，加强内外网访问安全控制；用户名密码认证：用户名密码可以创建，也可与AD、LDAP同步帐号信息；802.1x/portal+动态码认证：通过宁盾动态密码双因素认证技术，加固移动终端身份安全。

2、不同厂商、不同品牌的有线、无线网络统一接入管理，旁路方式对现有网络不会产生任何业务影响。

有线网络接入管理多分支无线网络接入管理3、多分支统一接入管理，实现所有用户的集中化认证及基于身份的网络访问权限下发，支持对接AD/LDAP等多账号源，与外网网关认证进行联动认证，避免出网二次登陆，实现单点登录及全网无缝漫游，提升网络接入体验。

4、通过对接行为审计网关，实现用户实名行为审计，满足《网络安全法》。

通过与内网上网行为审计设备或者内网应用防火墙联动，实现基于用户的上网行为实名审计，并通过与宁盾既有用户身份数据联动，完成对异常上网人员的实名追索，避免异常上网对企业造成的法律及安全风险。

5、实现多类型终端检测，包括终端是否加域、操作系统、杀毒软件及其他合规性条件，确保接入网络终端安全性及合规性。

一、项目背景1.概述统一身份认证并不是什么新概念，它在企业信息化建设过程中一直被提及，是企业不断发展的必然结果。

粗浅来说，统一身份认证是在企业多应用系统并存的环境下，减少用户在各个独立的应用系统中登录次数的技术。

但因各业务系统建设时间各不相同，再加上系统架构等技术实现问题，很难简单地做统一规划。

在企业高速发展阶段，考虑到耗资不小的系统集成和管理、数据改造、用户培训等方面的成本，企业往往选择暂时搁置统一身份认证问题，而是沿袭传统的系统建设模式，即各业务系统独立用户认证模块，并使用独立的认证机制在各自的数据库中进行用户认证，即便这种系统建设模式有很多弊端。

在企业发展进入稳定期后，各业务系统独立分散的局面所带来的弊端逐渐突出，用户身份分散隔离，用户账号管理不方便、用户资料不统一等等不一而足，造成企业身份管理成本和管控风险的几何倍增加、员工登录各业务系统操作繁琐。

为了能使用这些应用服务，同一用户必须申请多套账号和密码，这不仅登录麻烦而且容易出现账号密码丢失、泄露等安全问题。

且随着互联网发展，安全边界日益扩大，员工、外包、合作伙伴、供应商混杂，账号安全风险日益增加，业务系统身份安全要求越来越高。

而对于管理员来说，需要不断来维护所有系统中分散着的账号。

这意味着每当有新入职或岗位调动，就必须在对应的每个应用中分别创建/修改账号，分配用户权限，而企业应用系统还会增加，所带来的身份管理工作还会不断增加。

应用越多则账号创建和维护的成本就越高。

企业寻求能解决以上多应用系统并行、多账号源共存所带来的操作不便、账号安全、管理困难等一系列问题的有效方案。

统一身份认证和单点登录作为目前主流的业务整合解决方案，被企业正式提上了日程。

2.关键点统一身份管理将分散在各业务系统中的用户和权限资源进行统一、集中的管理，用户的统一认证和单点登录改变原本孤立化的身份认证及授权管理，方便管理员进行运维管理工作，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。

一、客户背景受移动化影响，员工随时随地办公。

接入客户网络的终端类型及数量不断增加。

但由于传统边界“防外不防内的”现状，对于内部终端的安全性检测一直是采用周期性人工检测的方式。

为提升网络边界的终端安全及网络内部的非合规终端的净化，某公安客户需要一款终端可视化、用户体验好、运维成本低的网络准入方案。

二、客户需求1、终端可视化平台，需提供接入网络的终端类型有哪些，负责什么功能，位于什么位置用户是谁，是否安全等等；2、网络准入功能，检测接入网络的终端是否安装杀毒软件、是否存在高危漏洞等，并及时隔离非合规终端；3、杀毒功能，检测并评估终端安全状态，及时阻止病毒及蠕虫传播。

三、解决方案采用主动检测+被动扫描的方式，网络准入产品可视化接入网络的终端，通过分析终端类型、用户身份、杀毒软件、运行进程等实现入网终端的可视化管理。

结合企业合规条件，在终端入网时及长期运行于网络中终端的安全合规性，及时隔离非合规终端。

实现终端入网主动防御+动态防护效果。

另外，联动市场上常见的杀毒软件厂商，为客户提供一体化解决方案。

1、可视化终端资产及归类可视化入网终端、网络位置、IP/MAC地址及终端安全详细信息，以便于根据其安全状态对其做准入控制。

2、网络准入控制：Windows无客户端AD域检测及网络层准入控制该公安客户办公设备仍以windows 电脑为主，极少运维开发使用了Linux终端，Mac电脑几乎忽略不计。

从客户端维护成本及产品稳定性上考虑，还是选择了Windows无客户端AD域检测的方式，确保只有加入AD域且安装杀毒软件的终端才允许接入内网。

与此同时，Linux/Mac终端需在完成身份认证且安装杀毒软件的条件下允许访问内网。

也正因此，BYOD及员工私带设备只能访问企业外网；3、杀毒软件联动传统杀毒软件与网络准入产品分别独立工作，彼此之间无信息传递。

网络准入打破这一规则，将检测到的终端信息传递给杀毒软件的同时，对杀毒软件传回的信息进行评估和处理，及时隔离高危终端。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Windows终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

联动LANDesk与NDACE，宁盾实现企业电脑桌面与网络准入一体化管理LANDesk作为世界顶尖的桌面管理软件，帮助企业IT管理员快速熟知、管理、更新和保护企业所有的桌面电脑、服务器及各种各样的移动设备，并具有强大的补丁管理功能。

ND ACE 是宁盾面向终端网络准入安全的主动防御性管理设备，可主动探测接入终端安全的合规性，并将IT运维人员的重复性操作自动化，包括合规软件的检测、补丁版本更新、IP及MAC地址绑定等。

通过将LANDesk 与宁盾ND ACE联动，实现企业电脑桌面与网络准入的一体化管理。

具体方案如下：在不改变企业网络的基础上，以最小的代价旁路部署宁盾ND ACE于核心交换机旁。

ND ACE基于主动探测技术、旁路隔离技术，确保只有安装了LANDesk 客户端的终端和用户才允许使用企业网络。

1.无客户端检测终端是否安装LANDesk桌面管理软件将LANDesk软件做为合规性条件添加到ND ACE的准入规则中。

无需安装客户端的情况下，ND ACE基于该条件主动探测加域终端的合规性，实现终端无感知网络准入，提高用户准入体验。

确保只有安装LANDesk的终端才能进入企业网络。

2.高效的自动化运维及准入管理为提高IT运维人员的终端管理效率，ND ACE将IT人员重复性的劳动自动化，比如自动化合规性检测及分类、智能权限匹配及IP、MAC地址绑定等。

并对没有安装LANDesk客户端的终端执行外网VLAN（虚拟防火墙）访问权限。

3.与AD域联动，快速定位非合规用户将ND ACE 与企业AD域对接，实现终端MAC地址与AD账号的绑定关系。

快速定位终端用户，提升企业IT运维效率。

4.联动LANDesk常规运维，自动化检测并更新终端补丁至最新版本为提高常规性运维效率，减少IT重复性操作任务，可通过ND ACE检测终端补丁版本，并联动LANDesk补丁管理器及时完成补丁更新。

5、联动LANDesk，实现终端桌面安全管理借助LANDesk桌面管理软件，帮助企业统计的终端的信息，详细了解企业软件使用的现状。

宁盾物联网终端准入之IOT终端安全：发现、分类及准入保护越来越多的物联网及互联网OT设备向以IP为主的IT世界转型，IoT的增长速度远超过网络安全产品的迭代速度。

据统计，2020年，全球将有270亿终端，其中100亿活跃于企业网络。

而企业网络安全产品仍然以防火墙、入侵检测、杀毒软件“老三样”为主，物联网IoT安全产品寥寥无几。

网络安全领域扩展趋势图（来源：苹果资本）由此导致物联网设备与网络安全防护的冲突：∙企业IT网络是一个高度折衷的混合管理架构，传统主要管理网内的业务层电脑笔记本等，无法面面俱到，更不能高效的管理物联网设备；∙企业中物联网终端数量庞大、种类多样，但由于功能单一，操作系统简单，易受攻击，但因无法安装杀毒软件，传统网络安全产品也束手无策；∙物联网设备管理困难，因缺乏自动管理工具，运维人员常常手动收集信息，运维成本价较高。

宁盾终端准入（NAC）通过主动探测，通过可视化“识别、归类、准入保护”实现对物联网终端的安全管控。

基于“主动防御”，∙发现并识别接入网络的终端类型及数量：解决以往终端不可见的问题，运维人员无需再一遍遍排查都有哪些终端接入了网络。

∙基于业务自动化归类：解决运维人员手动排查和终端归类问题，通过可视化掌控终端分布，合理规划终端及网络布局。

∙保护入网终端的安全性：入网前检测终端的安全性，实时检测网络中终端的安全性，防止IoT终端被伪造、被拔掉的现象。

可视化网络拓扑，对问题终端进行自动隔离或告警至管理员，减轻运维人员盲目排查的痛苦。

一、发现并识别接入网络的一切终端宁盾终端准入引擎（ND ACE）主动探测接入网络的一切终端，包括从云、数据中心到办公区、生产线的各种电脑、BYOD、瘦客户端、摄像头、打印机、IP 电话等；无代理检测支持Nmap ＋ User Agent，丰富的设备类型库通过不断积累和更新，提升了终点识别效率及终端识别准确性。

二、终端可视化及自动化归类1、终端信息可视化：可视化IoT终端MAC地址、IP地址、终端类型、操作系统、设备厂商、功能、上下游网络拓扑、终端位置、所属部门、所属业务、接入批次、数据流量、在线时长等；2、自动化归类：根据MAC地址列表、IP地址、IP地址段、终端类型、首次接入时间等控制策略对IoT终端自定义业务模型。

通过无代理方式宁盾实现PC终端准入合规近日，宁盾推出的新一代网络准入控制管理系统ND ACE，采用了无代理方式来解决PC终端准入合规问题。

在不改变网络架构的基础上，宁盾ND ACE以最小代价旁路镜像于核心交换机。

基于主动检测技术、自动化隔离技术、第三方联动技术，为企业提供可视化网络资产、运维自动化、用户轻体验的安全准入解决方案。

PC终端检测——无客户端主动探测ND ACE是由宁盾自主研发的无客户端准入控制引擎，以“主动防御”理念为基础，可视化网络环境中的用户、终端、应用及设备。

运用自动检测（软件安装进程，补丁版本...）和安全隔离技术，在不改变使用者习惯的前提下，只允许授权的使用者使用安全的设备连接企业的网络环境，确保终端合规入网，实现零信任网络的身份及终端安全准入。

无代理准入、客户端准入区别安装部署上：无代理终端准入：轻量级应用，只需终端设备（Windows）加入域，无需安装客户端，即可对终端进行安全检查，实现快速部署。

客户端准入：全部终端均需安装客户端，安装部署耗时、后期维护困难、兼容性匹配弱，部署及运维管理成本大。

检测项上：二者的检测项基本一样，都包括：1、杀毒软件：如状态（是否开启）、名称、是否是最新版本；2、补丁：需要更新的补丁版本号；3、正在运行的进程；4、安装了哪些软件（如QQ、微信、360…）；5、网络私接（例如：员工在计算机上插入猎豹免费WiFi，计算机释放虚拟网卡，进而可以被检测到）；6、系统信息等。

客户端准入仅在检测安装软件时可检测项相对更全一些。

ND ACE无代理终端准入流程ND ACE采取多种的检测技术，会主动探测终端与AD的通信协议，监听网络流量，当终端接入网络时可即刻发现，并依据制定的安全政策，以决定此设备的权限是授权用户（员工），还是非授权用户（访客/聘雇人员）。

同时，立即扫描此设备是否安装杀毒软件、系统补丁版本是否最新等等，以阻断其引进的威胁事件发生。

依照安全政策，任何设备进入时，ND ACE设备可以马上引导访客设备至适当地网段；而员工设备则可连直接连接到合法环境内。