宁盾科技+xx银行|宁盾双因素认证  满足银行信息化建设发展需要 – 作者:宁盾nington

一、项目背景

随着软件信息化的发展,XX银行已经建设了银行信息监管系统、远程办公管理系统、人员OA信息管理系统,外援用户办公,管理等众多重要日常信息系统,且随着银行的不断建设与发展,应用系统的覆盖范围与用户群体也将迅速变大。

但是xx银行现阶段存在各系统用户信息不统一、登录方式不统一、验证方式不便捷不安全等问题。为节约资源,提高效率,提升用户体验,保证认证安全,XX银行拟建立集PC端和移动端多因子认证为一体的多因子认证系统,引入多种认证手段,和传统证书认证技术形成有效互补,在保证安全的前提下实现业务系统便捷的多因素强身份认证,满足信息化建设发展的需要。

二、xx银行网络部署现状

XX银行机关政务外网现在主要包括DMZ和内网两个区域,两个区域之间逻辑隔离,仅允许数据交换、不允许应用直接交互。在两个区域均部署有信息系统,DMZ网中主要部署XX银行OA、外援用户信息管理等业务系统,内网区主要有HAIYI-PAS、宁盾身份认证系统等需要与应用连接认证的系统。

为统一对XX银行重要业务系统进行管理,XX银行建设了统一用户管理系统和OA外援用户管理系统,统一用户管理系统为XX银行内部所有业务系统统一的用户基础信息的数据源,所有的用户基础数据都将从统一用户管理系统获取。实现XX银行业务应用的集中整合,在DMZ、内网建立统一的账号来源,实现用户信息统一,区分等功能。目前,还有部分早期建设信息系统未纳入统一应用和统一用户认证管理。

XX银行机关政务外网现有的认证方式主要有传统的用户名/密码和数字证书两种方式。XX银行政务外网数字证书身份认证体系分多级建设。在XX银行机关内网区域部署自主服务平台和移动办公服务平台、目录服务系统、身份认证网关,为互联网用户、移动办公用户提供数字证书的发放服务和接入的身份认证服务。

XX银行机关DMZ区部署了VMware公司的UAG产品,提供虚拟化服务。

XX银行机关DMZ区部署了Cisco公司的网络产品,提供VPN远程访问服务。

XX银行机关内网区部署了海颐特权账号安全管理系统(HAIYI-PAS),可为IT人员提供唯一认证登录门户入口,实现特权账号的统一授权分发,审计特权操作并预警高危行为。

XX银行已建统一应用平台,整合了信息资源管理、移动办公,虚拟桌面等多个移动应用。研发,运维等系统与XX银行海颐账号安全管理系统实现集成,为移动实现远程接入,内网轻办公和轻开发员工直接访问会话管理器的应用。

三、项目目标

图片[1]-宁盾科技+xx银行|宁盾双因素认证  满足银行信息化建设发展需要 – 作者:宁盾nington-安全小百科图:网络拓扑图

本方案包括不限于对以下进行测试,已验证宁盾产品满足当前双因素认证需求,通过在中行部署宁盾认证系统后,期望实现以下目标

  1. Cisco设备对接,满足认证授权分离
  2. 增加VMware密码安全,加强设备密码强度
  3. 实名可审计,日志用户信息等提供导出服务,有效控制账登录及操作可实名追溯
  4. 满足国家等保要求,所以账号实现静态+动态密码方式通过认证
  5. 提供多种形式令牌验证方式,短信,手机令牌,并提供自助服务
  6. 对接审计设备,可将日志推送到syslog服务器
  7. 提供对外API接口,HAIYI-PAS系统调用该接口查询用户令牌权限,同步更新HAIYI-PAS用户状态。

四、项目价值

宁盾双因素认证平台持有商密、国密证书,是面向政府、金融、互联网、能源等中大型企业、事业单位强身份认证平台,由动态密码生成器及认证服务器组成。支持多种令牌形式,覆盖不同应用场景,成为国内多家中大型企业的一致选择。

在与XX银行的项目中,宁盾双因素认证实现了以下应用价值:

1、加固身份认证,提升账号安全:

宁盾双因素支持手机令牌、硬件令牌、短信令牌、微信令牌等不同令牌形式,并支持与

企业现有门户客户端对接,生成H5令牌。手机令牌、硬件令牌属于时间型令牌,通过将令牌种子与UTC时间基于SM3算法生成的一次性时间令牌,该令牌每隔固定时间变化一次,任何一个动态密码能且仅能认证一次,具有防窃取、暴力穷举等优势,有效保护登陆账号安全。宁盾短信令牌是通过将员工手机号与企业身份绑定,在完成账号密码认证后,输入短信

验证码才可进入,具有较高的私密性。详细的账号登陆日志,做到用户登陆可追踪,落实企业细则处理。

2、减小密码管理成本,提升企业运维管理效率降低密码管理成本:

通过增加动态密码,可有效减少密码定期更改次数、密码强度设定困扰、减少密码遗忘而带来的管理成本;令牌绑定与派发:支持邮件扫码、自服务平台等多种方式的令牌派发与绑定,并可根据角色进行增量派发,提高运维管理的工作效率;多令牌对接:支持一个用户对应多个令牌,并支持一个令牌对接多个应用,结合SSO实现多应用认证统一管理;令牌解绑:员工离职快速现实多应用场景统一解绑,有效保护企业账号安全;风险账号预警:限制密码错误次数,通过登陆锁定,并以邮箱或短信的方式将非法账号推送给管理员。

3、直观易用易集成宁盾认证平台提供多种 API接口,平台认证,授权和管理具备完善的API接口。易与企业各类应用系统集成,如果审计联动服务器,syslog日志推送,外部访问接口,双因素认证API等。

来源:freebuf.com 2020-11-24 15:41:55 by: 宁盾nington

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论