宁盾多因子认证(MFA)与深信服EMM安全认证方案

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与outlook对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

深信服解决方案标题：深信服解决方案引言概述：深信服作为一家率先的网络安全解决方案提供商，致力于为企业提供全方位的网络安全保护和管理服务。

其解决方案涵盖网络安全、云安全、终端安全等多个领域，为企业用户提供了全面的安全保障。

本文将详细介绍深信服解决方案的特点和优势。

一、网络安全解决方案1.1 多层次的安全防护：深信服网络安全解决方案采用多层次的安全防护机制，包括防火墙、入侵检测系统、反病毒等，全面保护企业网络安全。

1.2 智能化的安全分析：深信服网络安全解决方案具备智能化的安全分析能力，能够实时监测网络流量，并对异常行为进行及时识别和响应。

1.3 可视化的安全管理：深信服网络安全解决方案提供可视化的安全管理界面，方便管理员对网络安全状况进行实时监控和管理。

二、云安全解决方案2.1 数据加密与隔离：深信服云安全解决方案采用先进的数据加密技术，确保云端数据的安全性和隐私性。

2.2 访问控制与身份认证：深信服云安全解决方案提供灵便的访问控制和身份认证机制，有效防止未授权用户访问云端资源。

2.3 安全合规与审计：深信服云安全解决方案支持安全合规性审计，匡助企业满足各种法规和标准的要求。

三、终端安全解决方案3.1 终端防护与漏洞修复：深信服终端安全解决方案提供全面的终端防护功能，包括漏洞修复、应用控制等，有效防止终端设备的安全漏洞。

3.2 行为监控与应用白名单：深信服终端安全解决方案支持对终端用户行为的监控和管理，同时可以设置应用白名单，确保终端设备安全。

3.3 挪移设备管理与远程锁定：深信服终端安全解决方案提供挪移设备管理功能，支持远程锁定和数据擦除，保护企业数据不被泄露。

四、数据安全解决方案4.1 数据加密与备份：深信服数据安全解决方案提供强大的数据加密和备份功能，确保企业数据的安全性和可靠性。

4.2 数据监控与审计：深信服数据安全解决方案支持对数据流量的监控和审计，匡助企业及时发现和应对数据泄露事件。

4.3 数据遗失与恢复：深信服数据安全解决方案提供数据遗失与恢复功能，支持快速恢复误删除的数据，保障企业数据的完整性。

深信服的方案深信服（Sangfor）是一家提供网络安全、云计算和网络优化解决方案的公司。

该公司致力于为全球企业和组织提供高效、安全和可信赖的网络环境。

在本文档中，我们将介绍深信服的一些解决方案和产品。

一、网络安全解决方案1.1 防火墙和安全网关深信服提供全面的防火墙和安全网关解决方案，用于保护企业网络免受网络威胁和攻击。

这些解决方案包括以下特性和功能：•混合威胁检测和阻断：通过综合利用传统的防火墙和先进的威胁情报技术，提供全方位的威胁检测和阻断能力，保护网络免受零日漏洞和未知威胁的侵害。

•应用程序和内容过滤：通过智能应用程序识别和内容过滤，实现对网络流量的精确控制，防止恶意软件传播和敏感信息泄露。

•VPN（虚拟专用网络）加密通信：提供安全的远程办公和分支机构连接，保护敏感数据在互联网上的传输安全。

1.2 入侵检测与防御系统深信服的入侵检测与防御系统（IDS/IPS）能够实时监测网络流量，识别和阻止潜在的攻击行为。

该系统具有以下特点：•远程指纹库更新：基于云端智能指纹库更新技术，能够及时获取最新的威胁情报，确保及时识别新型攻击。

•自适应安全策略：根据网络环境和实际需求，自动调整安全策略，减少误报率和漏报率。

•多层次防护机制：融合传统的入侵检测技术和先进的行为分析技术，提供多层次的防护机制，有效防御各种安全威胁。

二、云计算解决方案2.1 虚拟化平台深信服的虚拟化平台可以帮助企业实现IT资源的集中管理和优化利用，降低运维成本，提高业务灵活性。

以下是该平台的主要特性：•统一管理界面：提供统一的管理界面，可一键管理和监控所有虚拟机和物理服务器，简化运维工作。

•高可用性和容灾保护：通过自动负载均衡和容灾复原技术，提供高可用性和业务连续性保障。

•企业级安全性：内置安全策略和防护机制，保护虚拟化环境免受恶意软件和未授权访问的威胁。

2.2 云存储解决方案深信服的云存储解决方案提供可靠的数据存储和备份服务，确保企业数据的安全性和可靠性。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Windows终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Linux终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、网易邮箱对接方案1、网易邮箱商业应用库对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

网易邮箱作为企业常用的办公工具，已完成商业应用库对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。

员工在可在NDSSO User Center 门户内进行查看。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、对接方案1、Confluence、JIRA等研发应用系统商业应用库对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEYAM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

Confluence、JIRA等研发应用系统作为企业研发常用的办公工具，已完成商业应用库对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。

信息化项目质量与安全保障措施目录1. 项目总体概况 (2)1.1 项目背景 (3)1.2 项目目标 (3)1.3 项目范围 (4)1.4 项目组织架构 (5)2. 项目质量管理 (6)2.1 质量管理体系 (7)2.2 质量标准与规范 (9)2.2.1 技术标准 (10)2.2.2 安全标准 (11)2.3 质量控制流程 (12)2.3.1 代码审计 (14)2.3.2 功能测试 (14)2.3.3 系统测试 (16)2.3.4 性能测试 (16)2.3.5 安全测试 (17)2.4 质量追溯与改进 (19)3. 项目安全保障措施 (20)3.1 安全风险评估 (21)3.2 安全策略制定 (22)3.2.1 安全策略原则 (23)3.2.2 网络安全策略 (24)3.2.3 数据安全策略 (26)3.2.4 应用安全策略 (27)3.3 安全技术措施 (28)3.3.1 网络安全防护 (30)3.3.2 数据加密与存储 (31)3.3.3 应用安全漏洞扫描与修复 (32)3.3.4 身份认证与访问控制 (34)3.4 安全运营与应急响应 (35)3.4.1 安全监控与审计 (36)3.4.2 安全事件响应机制 (37)3.4.3 应急预案演练 (38)4. 文档管理与知识共享 (39)4.1 文档分类与版本控制 (41)4.2 知识库建设与维护 (42)4.3 信息安全培训与宣传 (44)1. 项目总体概况项目背景：在当前信息化高速发展的时代背景下，本项目的目标是实现对业务流程的数字化、信息化升级，以此提高运营效率和应对市场变化的能力。

为实现这一目标，我们深入分析了业务需求，充分理解信息化建设的紧迫性和重要性。

项目涉及的业务领域广泛，包括但不限于数据处理、系统集成、信息安全等方面。

项目目标：本项目的主要任务是建立安全稳定的信息化系统平台，通过构建数据中心和业务应用系统来实现流程优化，信息交互的无缝连接。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、SAP对接方案1、SAP商业应用库对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

SAP作为企业常用的C/S办公工具，已完成商业应用库对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。

员工在可在NDSSO User Center 门户内进行查看。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Coremail对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

为提升Google网站的登录安全，Google开发了一款称之为Google Authenticator的动态口令验证算法并且将其开源共享。

对此，国内大型厂商也开始引进。

但因为Google仅提供了动态令牌，如果要使用Google身份验证器，企业需要自研认证服务器。

也就是说是否支持动态口令验证取决于厂商是否开发了认证服务器，进而导致用户处于被动状态！随着企业数字化转型，私有云、公有云、托管云及各类云应用场景的融合成为企业上云的重要趋势。

因此面向多云主机账号登录保护，企业需要一款第三方动态口令认证产品，用于对接各类云主机的账号登录保护。

作为第三方双因素动态口令认证服务商，同时为您提供动态令牌和认证服务器。

双因素认证方案由认证系统和动态令牌两部分组成。

认证系统负责种子密钥的存储、动态令牌的派发/激活、应用场景的对接等功能；动态令牌在激活后为应用系统提供校验口令。

面向多云融合场景，不同品牌云主机与认证服务器对接，实现多云主机的集中账号安全加固。

1、云服务器对接，支持与不同品牌的云服务器对接，提供Linux/Windows账号登录保护。

2、绑定用户源，派发动态令牌。

3、用户登录审计,审计用户IP、登录时间、登录设备、令牌序列号及登录结果。

4、用户登录双因素动态口令校验。

如Linux（Cent OS）双因素动态口令验证：总结：通过在账号密码的基础上增加动态密码，提升了云主机账号密码安全。

第三方双因素认证兼容阿里云、AWS、微软Azure及私有云等云主机，为企业多云融合提供一体化账号安全加固解决方案。

名词解释：1.动态令牌（dynamic password token；one time passwordtoken）：生成并显示动态口令的载体。

2.认证系统（authentication system）：能够为应用系统提供动态口令身份认证服务的系统。

3.动态口令（dynamic password；one time password）：由种子密钥与其他数据，通过特定算法，运算生成的一次性口令。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、云管理平台对接方案1、云管理平台对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

AWS、Azure、阿里云等常见云平台在企业中使用已经司空见惯了，已完成与AWS、Azure及阿里云云平台的应用对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。

深圳能源选择宁盾无线认证平台-为员工访客提供身份安全认证深圳能源选择宁盾无线认证平台，为员工访客提供身份安全认证一、客户简介深圳能源集团前身系深圳市能源集团有限公司，是全国电力行业第一家在深圳上市的大型股份制企业，自建立以来逐渐形成了庞大的网络设备及上网用户体系。

随着集团传统有线业务向无线端转移，无线上网账号的管理也越来越受到重视，以实现对内部员工、外来访客接入无线网络执行严格的准入控制策略，增强企业网络的安全性及可控性。

二、项目分析1、客户需求深圳能源通过思科瘦AP+AC架构实现无线覆盖，目前员工、访客采用WPA/WPA2认证方式连接无线，导致IT管理人员难以对无线使用进行管控，也无法甄别用户属性，实名制审计比较困难。

分析需求如下：①在现有无线网络条件下，不新增任何无线网络设备，无缝实现登录接入管理；②支持多种认证方式，对应不同的上网用户（内部员工、外包人员、普通访客），增强企业内、外网的安全性及可控性；③与AD域对接，实现内部员工通过AD域账号源认证登录；④与深圳能源集团短信网关对接，实现域账号的双因素认证；⑤配合行为管理，实现上网实名审计。

2、项目目标通过在现有网络环境中部署宁盾一体化认证平台，实现如下目标:①企业内部员工实现802.1X+AD+双因素认证；②访客—企业外包人员实现邮件审批认证；③访客—普通访客实现协助扫码认证；④与Cisco AC（无线控制器）对接，为员工及访客推送Portal页面，并实现无感知认证；⑤提供上网用户信息报表，如手机号、在线时间、流量等；⑥对接专业的上网行为管理设备，实现上网实名审计。

三、解决方案1、方案概述在2台服务器上进行部署，服务器1安装宁盾一体化认证平台，对接Cisco WLC、对接AD辅助域控制器读取用户数据、对接集团短信网关做短信密码认证，服务器2安装AD辅助域控、网络策略和访问服务（NPS），安装辅助域控将无线认证设置在辅助域控上进行，可以减少无线认证对AD域控的性能消耗，NPS用作Radius认证报文的策略转发。

云计算规划方案目录1. 内容综述 (2)1.1 项目背景 (2)1.2 规划目标 (3)1.3 规划范围 (4)1.4 术语与缩略语 (6)2. 云计算环境现状分析 (7)2.1 现有资源分析 (8)2.2 业务需求分析 (10)2.3 技术能力分析 (11)3. 云计算规划目标 (12)3.1 业务目标 (13)3.2 技术目标 (14)4. 云计算架构设计 (15)4.1 总体架构设计 (16)4.2 数据中心设计 (18)4.3 网络架构设计 (20)4.4 安全架构设计 (21)5. 关键技术选型与实施策略 (22)5.1 云计算平台选型 (24)5.2 数据存储与处理技术 (25)5.3 安全技术选型 (28)5.4 运营与维护策略 (29)6. 实施计划 (32)6.1 项目管理计划 (33)6.2 任务分解与责任分配 (34)6.3 预算与成本控制 (35)6.4 风险评估与应对措施 (37)7. 评估与监控 (37)7.1 规划效果评估 (39)7.2 监控系统设计 (40)7.3 性能优化与调整计划 (42)1. 内容综述本文档旨在全面阐述企业云计算规划方案，为企业高效、安全、可扩展地迁移和运行业务于云端提供指导。

该方案将从现状分析、目标设定到实施策略、安全保障、成本控制等关键环节进行详细阐述。

通过本次规划，将明确企业云计算的最终目标，并根据企业自身特点和业务需求，确定最佳的云平台选择、云服务模式和资源配置方案。

还将对云迁移过程中可能遇到的挑战进行预判并制定应对策略，确保云计算转型过程顺利进行。

本方案旨在帮助企业充分利用云计算优势，降低IT成本，提升业务效率，实现数字化转型目标。

1.1 项目背景本项目旨在借助云计算技术构建一个高效、灵活且经济的计算基础设施，以支撑企业的日常运作及业务发展需求。

随着信息技术的飞速发展，企业对信息系统的依赖日益增强，随之而来的是对数据中心的计算资源需求不断增长。