摘要：自主可控政策提出以来，政府、金融等对信息安全要求极高的行业对国产信创服务器的需求日益增加，国产服务器在安全防护设计、本土化支持等方面具有独特优势，确保数据隐私不受外部威胁。以政府、金融、能源等关键基础设施单位为例，随着数据中心内国产信创性质的服务器、防火墙、交

自主可控政策提出以来，政府、金融等对信息安全要求极高的行业对国产信创服务器的需求日益增加，国产服务器在安全防护设计、本土化支持等方面具有独特优势，确保数据隐私不受外部威胁。以政府、金融、能源等关键基础设施单位为例，随着数据中心内国产信创性质的服务器、防火墙、交换机、路由器等设备比重增加，提供网络设备 AAA 安全管理服务（TACACS+认证服务器）的传统国外管理系统也将面临国产化改造。

国产化改造，数据中心设备管理面临问题

某城市商业银行（以下简称某城商行）数据中心部署了信创服务器，出于国产化和等保合规考虑，拟寻找一套具备高兼容性的国产安全运维管理 AAA 系统（TACACS+认证服务器）对数据中心内的网络设备、安全设备等进行统一认证、授权、审计管理。

当前，该城商行及下属分行数据中心设备数量近 3000 台，在统一管理时面临着以下难题：

设备类型多样，品牌不一，如Cisco、H3C、华为、Juniper等，设备难兼容；

不同角色的运维管理人员，身份合规管理不到位，权限划分不够细粒度；

其他管理系统针对网络设备管理的的风险告警无法满足需求，如缺少敏感命令操作及时告警通知；

难以实名审计登录及操作行为。

支持信创环境的第三方网络设备AAA系统

在经过大量调研选型及进场测试后，宁盾网络设备 AAA 系统（TACACS+认证服务器）在一众方案中脱颖而出。作为中立第三方的身份基础设施服务商，宁盾网络设备 AAA 系统在适配异构化的设备时其功能与兼容性亮点突出。

宁盾网络设备 AAA 系统支持RADIUS、TACACS+认证能力，在认证场景上覆盖的设备更广，无论是国外主流品牌，抑或国内厂商，宁盾均可对接适配，并做成标准化能力，形成规范；

支持细粒度授权，如敏感命令集操作，满足客户复杂的权限配置要求；

支持通过邮件、短信等方式进行敏感命令操作的风险告警，做到事中审查；

支持一键开启 MFA 多因素认证，加强对特权账户身份的合规性认证；

具备TACACS+独立日志模块，可以对用户命令输出做授权、审计，事后可追溯性强。

客户收益

快速对接各设备，实现统一身份认证管理

相比较于过去运维管理人员只能在本地创建账号进行认证，工作量陡增，采用宁盾网络设备 AAA 系统（TACACS+认证服务器）后，IT 管理员可在 Web 平台上集中创建账号密码，批量设定用户的登录密码、失效时间、在线数量等，同时也支持对接本地及外部账号源，如AD、LDAP、POP3、数据库等，快速实现统一管理，大幅提升效率。

不同角色细粒度授权，分级管理更安全

作为关键基础设施单位，银行对管理员权限的管控要求分级分权，精细化管控。使用宁盾网络设备 AAA 系统后，不同级别的管理员可一键分配不同角色属性、不同权限、TACACS+命令集，真正做到了细粒度授权，分级分权管理，保障了网络设备管理的安全性。

只读用户登录网络设备后查看命令

只读用户登录网络设备后，除查看命令，其余均被拒绝

超级管理员用户登录成功，查看所有命令

敏感操作及时预警，快速响应隔离风险

通过设置 TACACS+ 协议敏感命令集，当用户触发敏感操作时，AAA 系统将以短信、邮件方式告知管理员，快速响应采取行动，将风险账号进行隔离，并通过追溯敏感操作行为日志，追踪定责。

宁盾网络设备AAA系统风险告警设置

日志导出及审计联动，满足等保合规要求

网络设备 AAA 系统（TACACS+认证服务器）记录设备管理员的认证、授权及操作行为审计信息日志，日志支持 syslog 导出，且可以与审计系统联动。日志包含登录名、登录结果、认证时间、IP、权限级别等内容，助力银行单位更好地完成合规审计工作。

该城商行采用宁盾网络设备 AAA 系统（TACACS+认证服务器）快速对数据中心数千台设备进行纳管，实现账号统一认证登录、细粒度授权与详细日志审计，从而保障网络设备管理的合规性、安全性与可控性。对于管理员的身份合规性，宁盾建议可搭配 MFA 多因素认证技术一起，为账号登录过程增加动态口令二次验证，以增强身份鉴别，此方案也符合等保2.0中要求使用静态密码及动态密码的安全认证需求。

来源：小林科技论