天融信打造综合认证整体解决方案

在各个政府部门内部，随着信息化建设的逐步完善，信息安全工作的逐步深入，对于进入办公内网的计算机和使用人的身份有越来越严格的认证要求。但由于需要认证的设备、系统繁多，那么统一认证、一次完成全方位认证就成了需求的重点。

一. 用户需求：

1. 计算机及使用者的安全：

只有插入UKEY，计算机使用者才可以登录计算机的操作系统;当ukey拔出时，操作系统被锁定。

2. 进入政务内网区域的安全：

当计算机要接入到办公内网时，需要通过交换机对计算机IP地址进行认证。

3. 各个业务系统的统一认证入口：

一般政府部门日常工作使用的业务系统比较多，比如OA、ERP、CRM等，那么员工在使用这些系统时，每个系统都会有一套用户名和密码，对于员工来说记忆密码和登录系统操作繁复，对于领导来说无法统一管理，出了问题无法跟踪定位，因此需要一个统一入口的认证系统。

二. 解决方案：

1. 计算机入网认证过程：

政务内网与internet物理隔离，每台需要接入内网的机器和登录内网业务系统都需要进行一系列的认证。按照计算机、网络、人的逻辑顺序进行层层认证，可以对内网进行多重防护，达到保障网络安全的目的。

2. 部署方案：

3. 工作流程：

用户打开电脑后，插入ukey，进行数字证书的认证，认证通过计算机方能进入操作系统。

交换机划分guest wlan和工作wlan，计算机进入操作系统后，计算机的IP地址先接入guest wlan，为用户提供输入用户名和密码的界面，该用户名和密码是交换机认证和业务系统统一入口通用的，即用户只需要进行一次输入，就可以同时完成交换机的802.1x认证和统一身份管理的认证，认证通过后，弹出该用户可以访问的所有业务系统的列表，即单点登录界面。这样三种认证完成，用户方能进入内网进行日常办公。

4. 设计产品：

CA数字证书管理系统：

部署CA数字证书签发及认证服务器，负责审核签发数字证书以及数字证书的认证。数字证书储存在ukey内，计算机使用者在打开计算机进入操作系统前，ukey会将数字证书发给CA服务器，校验数字证书的合法性，验证通过后，计算机方能进入操作系统，当ukey被拔出时，计算机就会重新被锁定。

终端管理系统：

每个终端，包括台式机和笔记本，都安装终端管理系统的客户端，可以对终端上的所有行为进行监视，并可以制定相关规则，对于违规操作进行相应的处理。通过终端管理系统还可以实现交换机的802.1X认证，或者与天融信的防火墙进行联动，在防火墙上做认证。

终端管理系统还需要接收用户输入的用户名和密码，并将其转发给交换机\防火墙和统一身份认证系统。

网络卫士运维审计系统：

旁路部署，在防火墙上设置策略，所有业务系统的访问链接都必须通过运维审计系统。该系统可以自动抓取各个业务系统的用户名和密码，并进行集中管理。为每个用户分配业务系统的登录权限，并为每个客户定制单点登录界面。

三. 特点优势：

1. 多重防护，全方位认证，确保内网计算机、网络链路的安全。

2. 三权分立，支持数字证书签发，支持用户授权，符合等级保护要求。

3. 操作简单，只需要输入一次用户名密码。

4. 同一厂商的产品就能解决所有的认证问题，数据加密传输，确保数据安全。