用双因子认证2FA替换Google authenticator谷歌令牌,助力准上市公司实现等保安全审计

21世纪初,某人力资源科技公司试水HR SaaS赛道,以大客户为目标客群,持续深耕,稳扎稳打,如今已是一家专门为中大型企业提供一体化HR SaaS及人才管理产品/解决方案的头部企业。其产品覆盖了从员工招募、入职、管理到离职的全生命周期,让企业实现了人才数字化管理,人力资源管理效率和人才管理能力得以快速提升。

历经二十余年发展,该公司业务辐射全国,分支机构多达20家,员工总数超2500人。


VPN、堡垒机需满足安全和审计双重要求

该公司业务遍布全国,各地员工必须借助VPN才能访问公司内部应用资源,VPN通过加密办公时发送和接收的数据来保障信息安全,防止黑客入侵企业数据或通信。“由于传统静态密码因其弱密码问题具有很大的安全隐患,”该企业的安全部门负责人说,“为了保护企业网络更安全,公司需要对VPN进行身份认证加固。”

除此之外,堡垒机内部保存着企业所有的设备资产和权限关系,是企业内部信息安全的重要一环。因此,除了VPN外,该公司对堡垒机也有加强登录账号密码安全认证及登录审计的要求。

针对堡垒机这块,公司起初选择了开源的Google身份验证器Google Authenticator进行双因子认证,在静态账号密码的基础上增加一层动态口令(OTP)防护,提升账号登录安全。“虽然通过谷歌令牌暂时解决了双因子认证的问题,”安全负责人继续说道,“但令牌是开源的,没有厂商维护,出了问题都需要自己处理。另外,随着业务不断扩大,总有些应用谷歌令牌无法兼容。”

近三年该公司收入同比增速超20%,正在筹备上市。公司不断发展的同时也面临着密码合规性的问题,该公司每天需要处理上亿条数据,对安全审计的要求可谓是重中之重。而谷歌令牌作为开源的令牌,无法满足国家等保相关的要求。


一次契机,和宁盾的缘分就此开始

“为了解决这一问题,我一直关注着优秀的解决方案。”安全负责人说:“一次偶然的机会,在云安全联盟CSA看到宁盾获奖解决方案《宁盾人+端一体化身份方案助力金融企业数字化转型》,因此和宁盾结缘。”

该企业和宁盾同为CSA云安全联盟的成员,CSA云安全联盟入会门槛较高,目前,微软、Workday、SAP、Salesforece、华为、奇虎360、阿里云等国内外知名企业都是 CSA 的合作伙伴,而该企业和宁盾同在CSA专家组。在一次CSA颁奖典礼上,客户的安全负责人初步了解到宁盾双因子认证解决方案。他说:“选择合作厂商时,我还是比较谨慎的。经过安全圈多方打听,宁盾十多年来专注于双因子认证领域,产品功能完善,持有国密证书,在行业内的口碑还是不错的,这也是我选择宁盾的重要原因。”

宁盾双因子认证是面向企业全场景的强身份认证产品,满足VPN、堡垒机、Citrix、VMWare View、华为桌面云、OutLook、Oracle数据库、服务器及云服务器等多应用场景登录时的账号安全,支持与微软AD、TDS、OpenLDAP、OpenDJ等多账号源对接。

● 平均无故障时间达到99.9%以上

作为国内领先的HR SaaS及人才管理平台,该公司对SLA服务级别协议有着极高的要求,以确保系统的稳定和可控性。安全负责人说:“我们系统的平均无故障时间(MTBF)可以达到99.9%,所以我们对于合作伙伴的要求是,一定要高于此基准。”

对此,宁盾给客户提供了本地部署的解决方案,每次升级、部署的次数和时间完全由客户自行控制。比如,客户每年护网前升级漏洞补丁,1次半小时左右,全年更新1-2次的话总时长不超过2个小时,远高于99.9%的标准,而且客户可以在业务少的晚间进行更新,灵活性非常高。

●首年低成本,快速上线

在收费模式方面,安全负责人提出:“我们自己就是SaaS订阅模式收费,从财务模型的角度,对于软件我们不倾向于买固定资产。”

这和宁盾的理念一拍即合,区别于传统本地部署软件一次性高收费的模式,宁盾提供按年付费这种灵活的订阅收费模式。对于想要订阅模式的客户,可以首年付较少的金额,快速体验产品。后期通过对宁盾优质的客户服务、不断优化的产品能力的满意程度,再选择是否续费。

●从谷歌令牌到宁盾令牌,平滑过渡

由于客户的堡垒机目前仍在使用谷歌令牌,针对这种现象,基于现有业务,宁盾提供谷歌令牌系统维护接管方案和一次性替代两种解决方案。

方案一:基于现有业务,宁盾为客户提供双因子平滑过渡解决方案,接管谷歌令牌认证服务

需要继续使用第三方认证服务的客户,宁盾可为其提供双因子认证第三方令牌接管服务。通过在原认证系统中嵌入式对接宁盾系统,将企业业务导入宁盾系统,实现账号源、第三方认证系统、宁盾和客户业务场景的一体化对接,负责认证信息的传递和审计。整个过程中,用户处于无感知状态。

新用户、令牌出现故障或服务到期时,可通过绑定宁盾双因子令牌的形式对原动态令牌进行替换,同时宁盾认证服务器取代第三方认证服务器为用户动态口令进行校验和审计。实现第三方双因子认证业务到宁盾双因子认证业务的平滑过渡。采用宁盾双因子认证平滑过渡方案,可减小企业动态口令账号加固整改力度。

方案二:需要一次性替代方案的客户,宁盾提供双因子认证一次性部署方案

通过部署宁盾双因子认证服务器取代原认证服务器,与企业业务系统及账号源服务器对接,并根据员工账号绑定宁盾令牌。实现动态密码登录加固,保障企业账号身份安全。

“由于谷歌令牌主要用于堡垒机,使用的人比较少,”安全负责人反馈道,“而VPN需要针对全公司2500员工新加双因子,综合考虑所有员工的体验后,最终选择一次性替代方案。”


 

员工满意和企业安全,两不误!

现在,宁盾双因子认证产品已经在该公司全面使用,无论是VPN、堡垒机还是应用系统都得到了加固。

●快速部署上线

为了能尽快给客户替换原有的谷歌令牌,满足企业安全和合规的要求。宁盾技术人员专程赶赴客户总部现场完成思科VPN和堡垒机的双因子认证测试和部署。员工手机上安装宁盾令牌APP,可以生成一个随着时间变化的一次性密码,用于帐户验证。员工只有先后正确输入静态密码和动态密码,才能接入公司内网。

8c14aa5338180cb6edf9f03559a1d931.jpeg

e1326259d5a1b08a245bfcb20cabecf4.jpeg

“我们通过邮件的形式给每位员工派发宁盾令牌,并告知员工如何激活令牌、如何用令牌登录思科VPN。现在,我们公司2500名员工已经很平滑的切换到使用双因子登录VPN了。”安全负责人说道。

●满足合规性要求

宁盾令牌提供手机APP令牌、短信令牌、邮件令牌、H5令牌、硬件令牌等多种令牌形式,出于等保要求和便捷性考虑,客户选择了手机APP令牌。

“宁盾双因子认证令牌采用国密SM3算法,拥有国密资质,满足等保合规要求。”安全负责人道。

另外,宁盾双因子认证的登录日志可详细记录用户的登录行为及操作行为,一旦发生泄露事件,可快速定位。

“我们将宁盾双因子认证产品用于公司各个业务场景,”安全负责人补充道,“现在,员工登录VPN或堡垒机时都必须使用宁盾令牌进行双重身份验证。”

●产品具有可拓展性

除了针对VPN、堡垒机进行双因子认证加固,安全负责人还提出:“目前公司用的是自己搭建的NPS,针对访客入网没做管理,后期想实现访客的上网管理和审计。”

宁盾有线无线认证通过802.1X认证或Portal上网认证方式对员工、访客、外包等不同角色提供接入网络的身份认证,确保企业办公网络接入的安全。目前,客户正在测试短信、员工协助扫码、邮件自服务等方案。

81181070eda81e56d8f1f72f929729b6.jpeg

“宁盾可能具有的每一个功能,我们都在使用或考虑使用,”安全负责人总结道。

(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/27152.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

5 客户端认证 OAuth2ClientAuthenticationFilter

客户端认证 https://openid.net/specs/openid-connect-core-1_0.html#ClientAuthentication https://www.iana.org/assignments/oauth-parameters/oauth-parameters.xhtml#token-endpoint-auth-method 当访问 OAuth2 相关接口时(/oauth2/token、/oauth2/introspect、…

outlook突然变得很慢很卡

​outlook之前用的好好的,突然有一天变得很卡,特别是在上传附件后。 可能原因:没有勾选使用缓存Exchange模式,导致没有生成本地的同步ost文件,而是直接从服务器存取数据。 对应解决办法:到账户设置里&#…

学术海报Poster-- 模板分享

学术海报Poster-- 模板分享 0、引言1、下载地址百度网盘链接地址CSDN托管 2、模板样例 ⚠申明: 未经许可,禁止以任何形式转载,若要引用,请标注链接地址。 全文共计3077字,阅读大概需要3分钟 🌈更多学习内容…

世界杯球队分析

文章目录 1. 本文思路2.数据介绍2.1 results.csv数据集2.2 shootouts.csv数据集 3. 数据分析3.1 多维度分析3.2 数据分析案例3.2.1 导入模块3.2.2 导入数据1.遍历目录2.读取数据 3.2.3 查看描述数据1.查看数据2. 获取所有世界杯比赛的数据3. 查看包含FIFA的类型4. 获取世界杯数…

NBA比赛数据分析与预测

我的任务利用13到16年的NBA比赛统计数据,去预测17年的每场NBA比赛。数据是从http://www.basketball-reference.com/这个网站获得的。前期参考了https://www.shiyanlou.com/courses/782/labs/2647/document这里的分析与实现方法。这个实验楼里实现用了LogisticRegres…

使用python爬取足球比赛数据,关于足球预测策略模型,这是我见过唯一三年都盈利的

市场上有很多基于程序自动化的足球预测模型,我本人也不断摸索,自学python,最终实现了程序预测的自动化,并且验证了很多策略,几乎所有的模型都是阶段性表现很不错,但是长期总体下来,都达不到预期…

大数据+NCAA=?球迷情绪预测体育赛事结果

点击上方蓝字关注我们 每年三月,有一项赛事将吸引全世界篮球迷的眼光,那就是全国大学篮球联赛(NCAA)的“疯狂三月”。 “疯狂三月”指的是NCAA男子甲组(Division 1)篮球锦标赛,赛程从3月中旬持…

生成模型的2022年——人工智能AIGC顶级论文回顾

2022年是生成模型奇幻发展的一年,Stable Diffusion🎨创造了超现实主义的艺术, ChatGPT 💬回答了生命意义的问题,Make a Video🎥从文本生成了栩栩如生的马儿,DreamFusion✨生成了不可思议的三维模…

大语言模型

前言: Open AI推出Chat GPT后,风靡全球。AI的强大表现让人折服,带来的商业效应已经逐渐扩散开来。随着人工智能越来越强,未来人们的生活受到影响也会越来越广泛。 继 OpenAI 推出 ChatGPT 后,微软迅速上线基于 GPT 模型…

OpenAI 利用基于“一致性”的图像生成器超越扩散模型

图像生成领域发展迅速。 尽管 Midjourney 和 Stable Diffusion 等流行工具使用的扩散模型可能看起来是我们所拥有的最好的,但下一个东西总是会出现——OpenAI 可能会用“一致性模型”来解决它,它已经可以完成简单的任务和 数量级比 DALL-E 之类的快。 该…

扩散模型和Transformer梦幻联动!替换U-Net,一举拿下新SOTA!

点击下方卡片,关注“CVer”公众号 AI/CV重磅干货,第一时间送达 点击进入—>扩散模型微信技术交流群 转载自:量子位 “U-Net已死,Transformer成为扩散模型新SOTA了!” 就在ChatGPT占尽AI圈风头时,纽约大学…

扩散模型diffusion model用于图像恢复任务详细原理 (去雨,去雾等皆可),附实现代码

文章目录 1. 去噪扩散概率模型2. 前向扩散3. 反向采样3. 图像条件扩散模型4. 可以考虑改进的点5. 实现代码 话不多说,先上代码: 扩散模型diffusion model用于图像恢复完整可运行代码,附详细实验操作流程 令外一篇简化超分扩散模型SR3来实现图…

0基础学习diffusion_model扩散模型【易理解的公式推导】Denoising Diffusion Probabilistic Models

0基础学习diffusion_model扩散模型【易理解的公式推导】 一、概述二、扩散过程(已知X0求Xt)三、逆扩散过程(已知Xt求Xt-1)1。算法流程图四、结论五、损失函数六、心得体会(优缺点分析)一、概述 DDPM论文链接: Jonathan Ho_Denoising Diffusion Probabilistic Models(NeurIPS…

07.04.2023 日语笔记

貰『もら』える(可以……吗?) コーヒーをテイクアウトでもらえますか。(可以打包咖啡吗?) マグカップで、飲み物をもらえますか。(可以自带杯子吗?) マグカップ&#x…

红蓝宝书1000题 新日本语能力考试N1文字.词汇.文法 练习+详解

红蓝宝书1000题 新日本语能力考试N1文字.词汇.文法 练习详解pdf百度云免费下载 本书是继《新版中日交流标准日本语》初、中级后,由人民教育出版社与日本光村图书出版株式会社通力合作、精心编写的一套日语自学读本。 本书由知名的日本语学、汉学以及日语教育界的学者执笔,充分…

apple watch可以使用第三方表盘了,Apple Watch 更换第三方表盘需求

apple watch可以使用第三方表盘了,Apple Watch 更换第三方表盘需求 对于 Apple Watch 用户来说,表盘的选择太少而且过于单调。那么,自带的表盘看腻了如何更换第三方表盘呢? 前几代apple watch无法使用新表盘,想要实现更…

Applewatch6/ Applese价格曝光 苹果最新款手表参数区别对比

价格方面,Apple Watch Series 6GPS 版 3199 元起售,蜂窝网络版 3999 元起售。Apple Watch SE GPS 版 2199 元起售,蜂窝网络版 2499 元起售。 Apple Watch Series 6 新品活动 优惠空前机会不容错过 https://www.apple.com.cn/6 Apple Watch Se…

苹果手表计算机功能键,Apple Watch上的2个按键是这么玩的

原标题:Apple Watch上的2个按键是这么玩的 点评:苹果不说,但是你要知道的用法。 Apple Watch是苹果全新的产品,代表了苹果全新的设计理念,如此一来,操作和交互方式就与手机自然也有所不同。结果有的小伙伴把…

如何设置并将你的iWatch和iPhone配对

如何设置并将你的iWatch和iPhone配对 一旦你买到一个iWatch,拿回家并拆封,下面教你如何设置。 iWatch是这样一个装置,它被设计出来和你的iPhone一起使用。它可以说是一个iPhone配件,它们的关系非常亲密。这也是为什么设置iWatch感…

Apple Watch发售在即 苹果门店大变脸

本周五,苹果公司将正式发售人气如虹的智能手表Apple Watch,有意购买者将有机会尝试不同尺寸、表带款式和设定,并在4月24日正式铺货前先行预订。 苹果零售业务主管安吉拉阿伦茨(Angela Ahrendts)一直在和首席设计师乔尼…