宁盾科技+美年大|宁盾双因素认证 多场景覆盖  高效保障企业账户安全 – 作者:宁盾nington

美年大健康产业集团（以下称美年大）有限公司始创于2004年，是中国专业健康体检和医疗服务企业 ，总部位于上海 ，于2018年正式完成中国版图的全覆盖（除港、澳、台地区），在全国拥有逾400家专业体检中心 ，拥有专家团队、医护及管理人员共计60000余名员工 ，是医疗和大健康板块中市值和影响力杰出的上市公司 。

一、项目背景：

随着美年大市场的拓展，其业务系统和员工组织愈加庞大，如何保障不同场景下的账号密码安全成为公司IT部门需要面临的不小挑战：

• 总部员工、分公司员工、出差员工外出办公连接VPN、虚拟化访问公司内部资料，如何解决弱密码安全隐患？
• 大量业务系统如何防范账号密码泄露，防止敏感信息外泄？
• 无线网络成为企业办公的刚需，员工、外包人员、访客接入网络，如何对不同角色的上网行为进行审计？
• 内部运维人员需要通过堡垒机登录到服务器server进行运维，承载着公司海量数据的数据中心基础设施账号密码安全又要如何保障安全？

美年大以往采用“账号+密码”传统的单一认证方式已经适应不了公司信息化发展的等保要求，企业随时面临着弱口令、账号密码泄漏、暴力破解等带来的账号安全威胁，一旦账号被攻破，任何人都可以登录账号访问窃取各种数据和业务，给企业带来巨大损失。

宁盾科技在和美年大沟通后，了解到了客户需求，美年大希望在部署宁盾双因素认证后能够实现：

1. 提升账号安全：为企业内部应用、网络设备、服务器提供动态口令认证，同时面向认证服务器限制登录账号的权限；
2. 统一身份认证，面向数据中心基础设施，通过Radius协议实现多种设备场景的集中管理及安全认证；面向应用系统，借助API实现应用的统一管理和认证。

二、项目方案：

宁盾双因素认证由一体化认证平台（认证服务器）和动态令牌两部分组成。认证服务器拥有灵活的服务扩展能力，能够覆盖数据中心基础设施、云、应用、网络等全部应用场景的身份认证。动态令牌形式丰富多样，既包括市面上常用的软、硬件动态令牌，又自主创新了H5令牌、企业微信/钉钉“扫一扫”、推送认证等

项目组经过商议后，决定美年大双因素认证方案分四步展开：

1. 部署宁盾一体化认证平台，进行数据库同步，并结合keepalived对外提供虚拟IP进行服务，提升了认证服务器高可用性；
2. 同步AD域控制器，确定主账号数据源；
3. 对接windowsserver2003/2008/2012 服务器系统，通过DKEYwinlodin组件实现员工通过堡垒机远程到系统时，输入动态密码进行认证；
4. 通过在深信服VPN配置第三方Radius认证，指向宁盾一体化认证平台，在员工拨入VPN时进行域账号密码+动态密码验证方式，通过后方可放行。

项目部署后，宁盾双因素认证方案展现出其灵活的安全扩展能力：

1. 联动齐治堡垒机实现内部serverPC在远程时增加安全认证管理
2. 员工在拨入深信服VPN时，进行域账号+动态密码方式实现安全登录
3. 业务系统集中管理，统一身份，以便二期针对销售系统联调实现双因素认证

图：方案拓扑图

图：深信服VPN电脑端登录

图：移动端登录

三、方案优势

1、多种认证方式：短信令牌、手机令牌、硬件令牌、H5/企业微信/钉钉多种动态密码形式各有优势，客户跟进需求自由选择，也可多种组合，满足员工在不同场景下的认证需求。

2、与现有应用无缝集成，快速上线：宁盾双因素认证内置Radius模块，可与AD、LDAP等标准账号源结合，同时提供API接口与企业本地应用对接，大大缩减了系统的上线时间。

3、简化管理：减少企业因VPN静态密码定期强制更改，给员工及IT运维人员带来麻烦，同时节约VPN账号管理成本。

4、实名追溯：详尽的登录日志，发生安全事件时可定位到个人，做到用户认证可审计，满足了等保要求。

5、体验优化：通过简化移动安全接入，优化用户体验，为企业应用提供安全认证的同时，提升了使用的便捷性，有助于企业移动化转变。

来源：freebuf.com 2020-11-24 14:28:26 by: 宁盾nington