特权账号是通往 IT 核心资产的钥匙。在网络攻击事件中,特权账号已成为不法分子攻击入侵的首要目标。尤其在金融、电力、医疗等行业中,服务器、数据库等网络设备规模庞大,行业监管机构通过出台相关政策以强制性手段加强企事业单位对数据中心IT资产的安全防护。例如,国家金融监督管理总局办公厅曾发布《关于加强银行保险机构境内外分支附属机构网络和数据安全管理防范勒索病毒攻击的通知-金办发〔2023〕41号》,其中就要求采用双因素认证措施加强安全防护。

在特权账号管理领域,CyberArk作为领导者,被广泛应用于各大金融机构里,尤其以外资金融公司为主。基于国内行业监管要求,外资金融公司需要借助商用密码技术对堡垒机、服务器、数据库等进行双因素认证,加强安全防护,实现现有用户名/密码认证基础上再加OTP令牌认证来鉴别登录人员身份的真实性。

CyberArk系统集成宁盾双因素认证系统后,运维人员在手机端下载安装宁盾APP令牌并激活后,可获取随机的OTP动态码。运维人员登录CyberArk系统日常运维时,首次用户名/密码认证,再次OTP认证,二次验证通过后方可进入CyberArk系统。

CyberArk系统登录开启OTP二次验证,守护特权账号安全性_运维

 CyberArk系统集成宁盾双因素认证示意图


宁盾双因素认证由两个组件构成:认证服务端和令牌客户端。

  • 认证服务端:主要负责跟设备/应用对接,同步账号源、管理认证策略、令牌派发/解绑、授权、审计管理,及与第三方系统集成对接,如日志服务器、邮件服务器等。
  • 令牌客户端:由终端用户持有,OTP令牌形式多样,如手机APP令牌、硬件令牌、短信令牌、H5令牌等。

 

CyberArk系统登录开启OTP二次验证,守护特权账号安全性_双因素认证_02

宁盾双因素认证OTP令牌形式


宁盾双因素认证平台是一套全场景身份一体化安全认证管理平台,可应用于网络、应用、设备的集中管理认证。不止内置了RADIUS认证协议,同时还支持TACACS+协议、SAML、OAuth、OIDC、CAS、LDAP等协议及支持API接口调用,可支持跟设备、网络、应用对接实现双因素认证。


金融行业对于系统的可靠性、灾备设计均有严格的要求。宁盾双因素认证系统支持高可靠部署、自动(手动)备份数据等,以保障业务不受故障影响而中断。