1.项目背景

随着软件信息化的发展,该银行已经建设了银行信息监管系统、远程办公管理系统、人员OA信息管理系统,外援用户办公,管理等众多重要日常信息系统,且随着银行的不断建设与发展,应用系统的覆盖范围与用户群体也会迅速变大。现阶段存在各系统用户信息不统一、登录方式不统一、验证方式不便捷不安全等问题。为节约资源,提高效率,提升用户体验,保证认证安全,该银行拟建立集PC端和移动端多因子认证为一体的多因子认证系统,引入多种认证手段,和传统证书认证技术形成有效互补,在保证安全的前提下实现业务系统便捷的多因素强身份认证,满足信息化建设发展的需要。


2.现状

  • 该银行机关政务外网现在主要包括DMZ和内网两个区域,两个区域之间逻辑隔离,仅允许数据交换、不允许应用直接交互。在两个区域均部署有信息系统,DMZ网中主要部署XX银行OA、外援用户信息管理等业务系统,内网区主要有HAIYI-PAS、宁盾身份认证系统等需要与应用连接认证的系统。
  • 为统一对该银行重要业务系统进行管理,银行建设了统一用户管理系统和OA外援用户管理系统,统一用户管理系统为银行内部所有业务系统统一的用户基础信息的数据源,所有的用户基础数据都将从统一用户管理系统获取。实现银行业务应用的集中整合,在DMZ、内网建立统一的账号来源,实现用户信息统一,区分等功能。目前,还有部分早期建设信息系统未纳入统一应用和统一用户认证管理。
  • 银行机关政务外网现有的认证方式主要有传统的用户名/密码和数字证书两种方式。XX银行政务外网数字证书身份认证体系分多级建设。在XX银行机关内网区域部署自主服务平台和移动办公服务平台、目录服务系统、身份认证网关,为互联网用户、移动办公用户提供数字证书的发放服务和接入的身份认证服务。
  • a. 银行机关DMZ区部署了VMware公司的UAG产品,提供虚拟化服务。
  • b. 银行机关DMZ区部署了Cisco公司的网络产品,提供***远程访问服务。
  • c. 银行机关内网区部署了海颐特权账号安全管理系统(HAIYI-PAS),可为IT人员提供唯一的认证登录门户入口,实现特权账号的统一授权分发,审计特权操作并预警高危行为。
  • d. 银行已建统一应用平台,整合了信息资源管理、移动办公,虚拟桌面等多个移动应用。研发,运维等系统与XX银行海颐账号安全管理系统实现集成,为移动实现远程接入,内网轻办公和轻开发员工直接访问会话管理器的应用。

3.项目目标

  • 本方案包括不限于对以下进行测试,已验证宁盾产品满足当前双因素认证需求,通过在中行部署宁盾认证系统后,期望实现以下目标
  • a. Cisco设备对接,满足认证授权分离;
  • b. 增加VMware密码安全,加强设备密码强度;
  • c. 实名可审计,日志用户信息等提供导出服务,有效控制账登录及操作可实名追溯;
  • d. 满足国家等保要求,所以账号实现静态+动态密码方式通过认证;
  • e. 提供多种形式令牌验证方式,短信,手机令牌,并提供自助服务;
  • f. 对接审计设备,可将日志推送到syslog服务器;
  • g. 提供对外API接口,HAIYI-PAS系统调用该接口查询用户令牌权限,同步更新HAIYI-PAS用户状态。

4.网络拓扑
中国某银行|多场景双因素认证_多场景双因素认证

5.应用价值

      • 宁盾双因素认证平台持有商密、国密证书,是面向政府、金融、互联网、能源等中大型企业、事业单位的强身份认证平台,由动态密码生成器及认证服务器组成。支持多种令牌形式,覆盖不同应用场景,成为国内多家中大型企业的一致选择。与XX银行应用价值如下:
      • a. 加固身份认证,提升账号安全:
      • 宁盾双因素支持手机令牌、硬件令牌、短信令牌、微信令牌等不同令牌形式,并支持与企业现有门户客户端对接,生成H5令牌。
      • 手机令牌、硬件令牌属于时间型令牌,通过将令牌种子与UTC时间基于SM3算法生成的一次性时间令牌,该令牌每隔固定时间变化一次,任何一个动态密码能且仅能认证一次,具有防窃取、暴力穷举等优势,有效保护登陆账号安全。
      • 宁盾短信令牌是通过将员工手机号与企业身份绑定,在完成账号密码认证后,输入短信验证码才可进入,具有较高的私密性。
      • b. 减小密码管理成本,提升企业运维管理效率:
      • 降低密码管理成本:通过增加动态密码,可有效减少密码定期更改次数、密码强度设定困扰、减少密码遗忘而带来的管理成本;
      • 令牌绑定与派发:支持邮件扫码、自服务平台等多种方式的令牌派发与绑定,并可根据角色进行增量派发,提高运维管理的工作效率;
      • 多令牌对接:支持一个用户对应多个令牌,并支持一个令牌对接多个应用,结合SSO实现多应用认证统一管理;
      • 令牌解绑:员工离职快速现实多应用场景统一解绑,有效保护企业账号安全;
      • 风险账号预警:限制密码错误次数,通过登陆锁定,并以邮箱或短信的方式将非法账号推送给管理员。
      • c. 直观易用易集成:
      • 宁盾认证平台提供多种 API接口,平台认证,授权和管理具备完善的API接口。易与企业各类应用系统集成,如果审计联动服务器,syslog日志推送,外部访问接口,双因素认证API等。