一、方案背景
ERP 系统就像企业的 “ 黑匣子 ” ,内部涵盖了应用企业最关键和最敏感的信息资源。
ERP 的特点是大而全,使用者可以从中寻找出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息。正因为如此,建立信息安全管理机制、保护 ERP 的安全已经迫在眉睫。
目前,绝大多数 B/S 结构的 ERP 系统在用户身份认证方面采用的是传统的" 用户名+静态密码" 的认证方式,这一传统认证方式存在以下缺陷:
(1)静态密码可能被盗号,增加ERP系统数据泄漏的风险。
(2)静态密码由于需要记忆,随着企业信息化程度越来越高,越来越多的应用系统被企业运用,因此存在遗忘可能性,增加企业IT管理负担和员工记忆各种系统密码的烦恼。
(3)由于ERP对于企业的重要性,企业要求员工定期修改ERP系统,而在实际操作中,很多员工为了便于记忆会将各种系统密码设置为相同或者抄在纸上,一旦某个系统密码被盗,其他应用系统也会存在威胁,无形中增加了企业的信息安全风险。
二、方案简述
针对传统“ 用户名+ 静态密码” 认证方式存在的缺陷,宁盾提出在ERP登录层面运用” 静态密码+ 动态密码” 双因素身份认证的解决方案,通过在静态密码基础之上加上动态密码进行二次认证,首先验证动态密码然后验证静态密码,防止盗号产生的ERP 系统数据失窃或者泄露,提升数据安全性。
2.1 网络拓扑
2.2 ERP系统如何对接动态密码身份认证
下面以动态密码身份认证厂商宁盾为例,ERP对接动态密码应包含以下几部分因素:
(1)动态口令牌 : 用户手持用来生成动态密码的工具。
宁盾 dKey T6 是动态口令生成工具,是一种硬件形式的动态令牌;它是基于主流时间同步技术,密码一分钟变化一次且不能重复使用;从安全和简便易用角度比较,动态口令牌作 为第二因子认证工具较为理想;动态口令牌外形小巧可爱,不用安装驱动,不用连接电脑。
(2)ERP整合动态口令身份认证API :通过该API,ERP系统即可对接动态密码身份认证,如果ERP系统内置Radius、LDAP等标准认证协议,则无需对ERP系统进行二次开发即可直接对接宁盾dKey动态密码身份认证。
(3)动态密码身份认证服务器: 它由2个部分组成,
一是动态密码验证服务,负责动态密码验证。
二是动态令牌管理服务,负责用户动态令牌状态管理,如添加令牌、绑定等。
三、动态密码的优势
(1)对接方便:系统对接非常方便,逻辑结构简单,由于宁盾dKey动态密码身份认证系统与业务逻辑无关,因此不会增加系统的复杂度。
(2)安全性:由于一分钟一个密码,大大增加了ERP系统的安全性。
(3)减轻员工烦恼:无需记忆各种密码,也无需定期修改密码,帮员工解决解决各种密码的烦恼。
(4)减少IT管理成本:减少IT处理与应用系统密码相关的工作量,节约IT管理成本,提升企业工作效率。
采用动态密码对于员工和企业都是双赢的策略。
----------------------------------------------------------