能源集团企业无线安全管理案例

成功案例

公司联系信息:
上海徐汇区田林路487号宝石大楼703-704室 (总部)
北京市东城区银河SOHO下沉广场D座5-120
深圳市福田区彩田路彩福大厦嘉福阁22M

公司联系人:
卢勇

电话:
400-658-2855

传真:
 

电子邮箱:
info@nington.com

公司网址:
www.nington.com

返回上一页

返回首页

能源集团企业无线安全管理案例

客户简要介绍

该能源集团自成立以来,紧紧把握时代脉搏,科学选定战略方向,坚持“安全至上、成本领先、效益为本、环境友好”的经营理念,强化“清简务本、行必责实”的工作作风,优化治理、控制风险,保持有效增长、创造国际领先,全力打造“责任能源、实力能源、环保能源、和谐能源”。

如今的企业网络比以往任何时候都更加动态化,企业网络中用户、设备和访问方式的数量都在不断增加。随着访问量的增加和设备的激增,出现安全漏洞和新的运营挑战的可能性也在增加。

为了增强企业网络的安全性及可控性,该能源集团期望针对企业员工、访客接入无线网络执行严格的准入控制策略,特邀上海宁盾信息科技有限公司部署旗下旗舰产品宁盾统一认证产品,实现对网络安全更精细粒度的控制。

客户需求

该能源集团通过思科瘦AP+AC架构实现无线覆盖,目前员工、访客采用wap|wap2认证方式连接无线,导致IT管理人员无法对无线使用难以管控,对于访客无法提供统一接入管理,企业无法将核心业务直接转移至无线网络平台做统一接入,通过在现有网络环境中部署宁盾一体化解决方案之后,期望实现如下目标:

  • 企业内部员工通过802.1x+AD+双因子认证;
  • 访客—企业外包人员实现审批流程认证;
  • 访客—临时访客实现协助扫码认证;
  • 与AD域对接,实现员工通过AD域账号认证登录;
  • 与集团短信网关对接,实现域账号的双因子认证;
  • 与Cisco AC(无线控制器)对接,为员工、访客推送Portal页面,并实现无感知认证;
  • 查看用户信息报表(手机号,在线时间,流量等);
  • 对接专业的上网行为管理设备,实现上网实名审计;

方案概述

  • 2台服务器上都安装在宁盾认证平台;
  • 无线访客用户采用WEB认证进行准入控制;
思科合作伙伴-上海宁盾-拓扑图

认证流程

  • (1)内部员工认证流程
思科合作伙伴-上海宁盾-拓扑图

认证方式: 802.1x+AD+双因子认证

内部员工默认通过802.1x+AD进行认证,如认证不成功则转三层Portal通过AD+双因子进行认证,认证成功绑定MAC,成功接入WLAN网络,下次认证默认通过802.1x+AD方式;认证成功后再次连接无线网络时无需输入AD账号密码(通过MAC无感知认证);

思科合作伙伴-上海宁盾-拓扑图

  • (2)访客---外包人员认证流程
思科合作伙伴-上海宁盾-拓扑图

认证方式:审批流程认证

外包用户通过Portal进入申请信息提交界面,输入业务管理员(内部员工)的邮箱及本人的公司信息、联系电话、来访事由等内容,然后点击提交;业务管理员(内部员工)会收到认证系统的审批邮件,点击审批邮件的审批链接,进入审批界面,可对该外包用户进行设置账号有效时间、填写审批意见、是否通过审批等操作;如审批通过,认证系统将生成随机秘钥以短信方式发给外包用户,外包用户以申请时填写的手机号作为用户名接入无线;如审批未通过,认证系统会将未通过信息发至申请人手机;

思科合作伙伴-上海宁盾-拓扑图

  • (3)访客认证流程
思科合作伙伴-上海宁盾-拓扑图

认证方式:协助扫码认证

访客通过Portal页面选择协助扫码认证,系统生成认证二维码,接待人员(内部员工)采用移动终端(前提已连入WIFI网络)任意二维码扫描工具扫描访客终端Web中的二维码,系统会在接待人员的终端页面提示输入授权信息(AD账户/密码),接待人员输入授权信息并点击授权,如授权信息正确,访客终端会提示已被授权,然后接入网络;如授权信息不正确或无接待人员操作,则访客终端无任何系统响应;提示授权时效时间;在协助数码认证模式下不显示其他认证登录方式;使用哪种认证方式只显示认证登录界面。

思科合作伙伴-上海宁盾-拓扑图

  • (4)与行为管理设备对接实现上网行为实名可追溯

在宁盾一体化身份认证及访问管理平台上能够清晰了解用户信息。配合行为管理设备、实现上网行为实名审计。

思科合作伙伴-上海宁盾-拓扑图

项目成效

通过在客户环境中部署宁盾一体化认证平台系统之后,到达的最终效果如下:

  • 企业内部员工实现802.1x+AD+双因子认证;实现数据加密及用户帐号的双重保护,从而将核心业务安全交付在无线网络平台运行;
  • 访客—企业外包人员实现审批流程认证,规范了不同角色访客接入流程;
  • 访客-临时访客实现协助扫码认证,从而提升企业网络统一接入;
  • 在现有无线网络条件下,没有改变现有的任何无线网络设备,无缝实现登录接入管理;
  • 与Cisco AC(无线控制器)对接,为员工、访客(外包、普通访客)推送Portal页面,并实现无感知认证;
  • 与AD域对接,实现员工通过AD域账号认证登录;
  • 与该能源集团短信网关对接,实现域账号的双因子认证;
  • 查看用户信息报表(手机号,在线时间,流量等);
  • 对接专业的上网行为管理设备,实现上网实名审计;

项目中主要产品

宁盾一体化认证平台、Cisco 无线控制器5508、深信服上网行为管理。