芯盾時代助力某水利監(jiān)管機構建設多因素認證體系強化身份安全第一道防線

2023-09-08 14:04:41來源：芯盾時代閱讀量：54 評論

導讀：身份認證，既是企業(yè)網(wǎng)絡安全的第一道防線，也是員工進入業(yè)務系統(tǒng)的第一個環(huán)節(jié)。

　　【智慧城市網(wǎng) 品牌專欄】身份認證，既是企業(yè)網(wǎng)絡安全的第一道防線，也是員工進入業(yè)務系統(tǒng)的第一個環(huán)節(jié)。在企業(yè)數(shù)字化轉型持續(xù)深化、業(yè)務數(shù)字化水平不斷提升的當下，身份認證不但要提升安全性，應對層出不窮的網(wǎng)絡攻擊，還要提升易用性，讓員工操作更便利。在此背景下，多因素認證、尤其是使用移動App的多因素認證，受到了企業(yè)和員工的歡迎。但是，多因素認證遠遠不是掃個碼、刷個臉這么簡單，而是需要諸多底層技術的支撐。企業(yè)想要實施多因素認證，實現(xiàn)安全與體驗兼顧，必須從底層技術入手，構建完整的多因素認證體系。

　　案例背景

　　某水利監(jiān)管機構(以下簡稱“C機構”)是水利部派出的重要流域管理機構，在流域內(nèi)水資源管理、水資源保護、水土保持、采砂管理、河湖管控等工作中發(fā)揮著重要作用。C機構高度重視信息化建設，大力推進信息化與水利業(yè)務深度融合，建立了諸多業(yè)務應用，取得了豐碩的成果。為了統(tǒng)一管理職工身份，C機構建設了統(tǒng)一身份認證系統(tǒng)，為職工提供統(tǒng)一應用門戶和單點登錄功能，讓職工可以在PC端和移動端一站式訪問權限內(nèi)的業(yè)務應用。

　　但隨著近年來政務外網(wǎng)應用系統(tǒng)的數(shù)量和系統(tǒng)用戶不斷增加，以及業(yè)務和系統(tǒng)架構變得越發(fā)復雜，同時面臨著密碼認證帶來的“弱口令”問題，現(xiàn)有統(tǒng)一認證服務已經(jīng)難以滿足當前和未來業(yè)務和管理上的需求。為了解決這一問題，C機構迫切需要對現(xiàn)有的統(tǒng)一身份認證系統(tǒng)進行改造，計劃基于原有的身份認證App實現(xiàn)多因素認證，在提升身份認證安全性的同時，最大程度保證職工操作的便利性。

　　為了保證多因素認證的可靠性，C機構對解決方案的底層能力提出了明確的要求。

　　1.設備識別能力：改造后的身份認證App需要準確識別設備信息，為設備生成唯一ID，實現(xiàn)賬號和設備的強綁定。

　　2.身份信息的加密傳輸與存儲能力：移動端和服務端的身份信息必須加密傳輸和存儲，避免身份信息被劫持后遭破譯；身份認證App具備安全存儲密鑰的能力，并保障加密、解密過程的安全。

　　3.終端安全能力：身份認證App需要能夠檢測終端設備的安全性，識別模擬器、攻擊框架、木馬、病毒等安全威脅，保證App在安全的環(huán)境中運行。

　　方案設計

　　芯盾時代根據(jù)C機構的要求，基于自主研發(fā)的用戶身份與訪問管理平臺（IAM），結合在水利行業(yè)豐富的身份管理項目經(jīng)驗，對C機構原有的統(tǒng)一身份認證系統(tǒng)進行改造，采用設備指紋、智能終端密碼模塊、終端威脅態(tài)勢感知模塊等產(chǎn)品，將手機打造成移動U盾，大幅提升安全水準，幫助C機構構建多因素認證所需的能力基座，最終全面實現(xiàn)業(yè)務應用的多因素認證。方案功能與設計如下：

　　1.多因素認證模塊：對C機構原有的身份認證App進行改造，集成多因素認證模塊，新增App掃碼、動態(tài)口令、指紋識別等認證方式；

　　2.設備指紋模塊：以SDK形式集成在身份認證App中，自動采集設備特征，為每一臺終端設備生成唯一的設備ID；

　　3.終端密碼安全模塊：以SDK形式集成在在身份認證App中，采用多重密鑰體系、白盒算法、安全沙箱，實現(xiàn)密鑰的安全存儲，保證身份信息加密、解密過程的安全；

　　4.終端設備態(tài)勢感知模塊：在身份認證App中集成終端威脅態(tài)勢感知模塊，在事前核查終端安全基線，在事中實時檢測設備運行狀態(tài)并保證App運行環(huán)境的安全。

　　客戶價值

　　經(jīng)過此次改造，C機構全面不但實現(xiàn)了業(yè)務應用的多因素認證，身份安全水平顯著提升，還構建了堅實的身份安全基座，為后續(xù)的信息化建設奠定了基礎。

　　1.全面實現(xiàn)多因素認證，安全與便利兼顧

　　方案部署完成后，C機構的統(tǒng)一身份認證系統(tǒng)具備了多因素認證能力，諸多業(yè)務應用一站式實現(xiàn)了多因素認證，應用安全性得到了顯著提升。C機構的職工可以借助身份認證App，采用指紋識別、動態(tài)口令、手勢識別等方式完成身份認證，操作更加便利。

　　2.準確識別登錄設備，杜絕非法設備入網(wǎng)

　　芯盾時代結合機器學習技術，采用新的算法提升設備指紋的適配性，抑制傳統(tǒng)設備指紋容易發(fā)生的指紋漂移和指紋沖突，準確率高達99%以上。借助設備指紋，C機構實現(xiàn)對登錄設備的統(tǒng)一管理，將職工賬號與設備的強綁定，能夠準確識別非常用設備登錄等異常行為，提升了身份認證的安全性。

　　3.身份信息加密存儲，多重防護保障安全

　　智能終端密碼模塊采用多重密鑰體系保證加密、解密過程的安全，以白盒算法保護密鑰和數(shù)字證書存儲及運行過程安全，應用安全沙箱配合獨立進程保護，在終端形成獨立的軟件數(shù)據(jù)防護區(qū)域，防止關鍵數(shù)據(jù)被竊取、被篡改。借助智能終端密碼模塊，C機構所有的身份信息能夠以密文形式存儲和傳輸，即使信息被劫持也難以被破譯和篡改。

　　4.監(jiān)控終端運行狀態(tài)，保障運行環(huán)境安全

　　芯盾時代終端威脅態(tài)勢感知模塊內(nèi)置模擬器檢測270+款，雙開程序檢測40+，以及攻擊框架、調(diào)試狀態(tài)、高危軟件、Root/越獄、代理服務器等獨有檢測技術，能夠準確評估設備安全基線，避免帶病設備入網(wǎng)。借助模塊的環(huán)境安全清場功能，身份認證App會嘗試清除威脅進程和應用，并提醒用戶運行環(huán)境不安全，保證App在安全的終端環(huán)境下運行，避免因設備安全問題導致的安全風險。

　　芯盾視點

　　當前，網(wǎng)絡釣魚、數(shù)據(jù)泄露等安全事件頻發(fā)，員工身份憑證外泄的情況越來越多，企業(yè)迫切需要實施多因素認證，防范身份冒用。但是多因素認證是多種技術能力的整合，需要安全廠商對身份安全有深厚的技術積累和完整的解決方案。企業(yè)在選擇多因素認證產(chǎn)品方案時，應全面考察企業(yè)的技術能力，保證多因素認證產(chǎn)品自身的安全可靠。C機構此次的多因素認證項目，對有類似需求的組織和企業(yè)有著重要的借鑒意義。

上一篇：桂林橡機攜八大輪胎生產(chǎn)解決方案亮相中國國際橡膠技術展

下一篇：立林數(shù)字居家康養(yǎng)管理服務平臺，引領社區(qū)居家康養(yǎng)新范式

版權與免責聲明：1.凡本網(wǎng)注明“來源：興旺寶裝備總站”的所有作品，均為浙江興旺寶明通網(wǎng)絡有限公司-興旺寶合法擁有版權或有權使用的作品，未經(jīng)本網(wǎng)授權不得轉載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權使用作品的，應在授權范圍內(nèi)使用，并注明“來源：興旺寶裝備總站”。違反上述聲明者，本網(wǎng)將追究其相關法律責任。 2.本網(wǎng)轉載并注明自其它來源（非興旺寶裝備總站）的作品，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點或和對其真實性負責，不承擔此類作品侵權行為的直接責任及連帶責任。其他媒體、網(wǎng)站或個人從本網(wǎng)轉載時，必須保留本網(wǎng)注明的作品第一來源，并自負版權等法律責任。 3.如涉及作品內(nèi)容、版權等問題，請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系，否則視為放棄相關權利。

我來評論

昵稱驗證碼匿名