宁盾科技+xx银行|宁盾双因素认证  满足银行信息化建设发展需要 – 作者:宁盾nington

一、项目背景

随着软件信息化的发展，XX银行已经建设了银行信息监管系统、远程办公管理系统、人员OA信息管理系统，外援用户办公，管理等众多重要日常信息系统，且随着银行的不断建设与发展，应用系统的覆盖范围与用户群体也将迅速变大。

但是xx银行现阶段存在各系统用户信息不统一、登录方式不统一、验证方式不便捷不安全等问题。为节约资源，提高效率，提升用户体验，保证认证安全，XX银行拟建立集PC端和移动端多因子认证为一体的多因子认证系统，引入多种认证手段，和传统证书认证技术形成有效互补，在保证安全的前提下实现业务系统便捷的多因素强身份认证，满足信息化建设发展的需要。

二、xx银行网络部署现状

XX银行机关政务外网现在主要包括DMZ和内网两个区域，两个区域之间逻辑隔离，仅允许数据交换、不允许应用直接交互。在两个区域均部署有信息系统，DMZ网中主要部署XX银行OA、外援用户信息管理等业务系统，内网区主要有HAIYI-PAS、宁盾身份认证系统等需要与应用连接认证的系统。

为统一对XX银行重要业务系统进行管理，XX银行建设了统一用户管理系统和OA外援用户管理系统，统一用户管理系统为XX银行内部所有业务系统统一的用户基础信息的数据源，所有的用户基础数据都将从统一用户管理系统获取。实现XX银行业务应用的集中整合，在DMZ、内网建立统一的账号来源，实现用户信息统一，区分等功能。目前，还有部分早期建设信息系统未纳入统一应用和统一用户认证管理。

XX银行机关政务外网现有的认证方式主要有传统的用户名/密码和数字证书两种方式。XX银行政务外网数字证书身份认证体系分多级建设。在XX银行机关内网区域部署自主服务平台和移动办公服务平台、目录服务系统、身份认证网关，为互联网用户、移动办公用户提供数字证书的发放服务和接入的身份认证服务。

XX银行机关DMZ区部署了VMware公司的UAG产品，提供虚拟化服务。

XX银行机关DMZ区部署了Cisco公司的网络产品，提供VPN远程访问服务。

XX银行机关内网区部署了海颐特权账号安全管理系统（HAIYI-PAS)，可为IT人员提供唯一认证登录门户入口，实现特权账号的统一授权分发，审计特权操作并预警高危行为。

XX银行已建统一应用平台，整合了信息资源管理、移动办公，虚拟桌面等多个移动应用。研发，运维等系统与XX银行海颐账号安全管理系统实现集成，为移动实现远程接入，内网轻办公和轻开发员工直接访问会话管理器的应用。

三、项目目标

图：网络拓扑图

本方案包括不限于对以下进行测试，已验证宁盾产品满足当前双因素认证需求，通过在中行部署宁盾认证系统后，期望实现以下目标

1. Cisco设备对接，满足认证授权分离
2. 增加VMware密码安全，加强设备密码强度
3. 实名可审计，日志用户信息等提供导出服务，有效控制账登录及操作可实名追溯
4. 满足国家等保要求，所以账号实现静态+动态密码方式通过认证
5. 提供多种形式令牌验证方式，短信，手机令牌，并提供自助服务
6. 对接审计设备，可将日志推送到syslog服务器
7. 提供对外API接口，HAIYI-PAS系统调用该接口查询用户令牌权限，同步更新HAIYI-PAS用户状态。

四、项目价值

宁盾双因素认证平台持有商密、国密证书，是面向政府、金融、互联网、能源等中大型企业、事业单位的强身份认证平台，由动态密码生成器及认证服务器组成。支持多种令牌形式，覆盖不同应用场景，成为国内多家中大型企业的一致选择。

在与XX银行的项目中，宁盾双因素认证实现了以下应用价值：

1、加固身份认证，提升账号安全：

宁盾双因素支持手机令牌、硬件令牌、短信令牌、微信令牌等不同令牌形式，并支持与

企业现有门户客户端对接，生成H5令牌。手机令牌、硬件令牌属于时间型令牌，通过将令牌种子与UTC时间基于SM3算法生成的一次性时间令牌，该令牌每隔固定时间变化一次，任何一个动态密码能且仅能认证一次，具有防窃取、暴力穷举等优势，有效保护登陆账号安全。宁盾短信令牌是通过将员工手机号与企业身份绑定，在完成账号密码认证后，输入短信

验证码才可进入，具有较高的私密性。详细的账号登陆日志，做到用户登陆可追踪，落实企业细则处理。

2、减小密码管理成本，提升企业运维管理效率降低密码管理成本：

通过增加动态密码，可有效减少密码定期更改次数、密码强度设定困扰、减少密码遗忘而带来的管理成本；令牌绑定与派发：支持邮件扫码、自服务平台等多种方式的令牌派发与绑定，并可根据角色进行增量派发，提高运维管理的工作效率；多令牌对接：支持一个用户对应多个令牌，并支持一个令牌对接多个应用，结合SSO实现多应用认证统一管理；令牌解绑：员工离职快速现实多应用场景统一解绑，有效保护企业账号安全；风险账号预警：限制密码错误次数，通过登陆锁定，并以邮箱或短信的方式将非法账号推送给管理员。

3、直观易用易集成宁盾认证平台提供多种 API接口，平台认证，授权和管理具备完善的API接口。易与企业各类应用系统集成，如果审计联动服务器，syslog日志推送，外部访问接口，双因素认证API等。

来源：freebuf.com 2020-11-24 15:41:55 by: 宁盾nington