21世纪初,某人力资源科技公司试水HR SaaS赛道,以大客户为目标客群,持续深耕,稳扎稳打,如今已是一家专门为中大型企业提供一体化HR SaaS及人才管理产品/解决方案的头部企业。其产品覆盖了从员工招募、入职、管理到离职的全生命周期,让企业实现了人才数字化管理,人力资源管理效率和人才管理能力得以快速提升。

历经二十余年发展,该公司业务辐射全国,分支机构多达20家,员工总数超2500人。

VPN、堡垒机需满足安全和审计双重要求

该公司业务遍布全国,各地员工必须借助VPN才能访问公司内部应用资源,VPN通过加密办公时发送和接收的数据来保障信息安全,防止黑客入侵企业数据或通信。“由于传统静态密码因其弱密码问题具有很大的安全隐患,”该企业的安全部门负责人说,“为了保护企业网络更安全,公司需要对VPN进行身份认证加固。”

除此之外,堡垒机内部保存着企业所有的设备资产和权限关系,是企业内部信息安全的重要一环。因此,除了VPN外,该公司对堡垒机也有加强登录账号密码安全认证及登录审计的要求。

针对堡垒机这块,公司起初选择了开源的Google身份验证器Google Authenticator进行双因子认证,在静态账号密码的基础上增加一层动态口令(OTP)防护,提升账号登录安全。“虽然通过谷歌令牌暂时解决了双因子认证的问题,”安全负责人继续说道,“但令牌是开源的,没有厂商维护,出了问题都需要自己处理。另外,随着业务不断扩大,总有些应用谷歌令牌无法兼容。”

近三年该公司收入同比增速超20%,正在筹备上市。公司不断发展的同时也面临着密码合规性的问题,该公司每天需要处理上亿条数据,对安全审计的要求可谓是重中之重。而谷歌令牌作为开源的令牌,无法满足国家等保相关的要求。

一次契机,和宁盾的缘分就此开始

“为了解决这一问题,我一直关注着优秀的解决方案。”安全负责人说:“一次偶然的机会,在云安全联盟CSA看到宁盾获奖解决方案《宁盾人+端一体化身份方案助力金融企业数字化转型》,因此和宁盾结缘。”

该企业和宁盾同为CSA云安全联盟的成员,CSA云安全联盟入会门槛较高,目前,微软、Workday、SAP、Salesforece、华为、奇虎360、阿里云等国内外知名企业都是 CSA 的合作伙伴,而该企业和宁盾同在CSA专家组。在一次CSA颁奖典礼上,客户的安全负责人初步了解到宁盾双因子认证解决方案。他说:“选择合作厂商时,我还是比较谨慎的。经过安全圈多方打听,宁盾十多年来专注于双因子认证领域,产品功能完善,持有国密证书,在行业内的口碑还是不错的,这也是我选择宁盾的重要原因。”

宁盾双因子认证是面向企业全场景的强身份认证产品,满足VPN、堡垒机、Citrix、VMWare View、华为桌面云、OutLook、Oracle数据库、服务器及云服务器等多应用场景登录时的账号安全,支持与微软AD、TDS、OpenLDAP、OpenDJ等多账号源对接。

● 平均无故障时间达到99.9%以上

作为国内领先的HR SaaS及人才管理平台,该公司对SLA服务级别协议有着极高的要求,以确保系统的稳定和可控性。安全负责人说:“我们系统的平均无故障时间(MTBF)可以达到99.9%,所以我们对于合作伙伴的要求是,一定要高于此基准。”

对此,宁盾给客户提供了本地部署的解决方案,每次升级、部署的次数和时间完全由客户自行控制。比如,客户每年护网前升级漏洞补丁,1次半小时左右,全年更新1-2次的话总时长不超过2个小时,远高于99.9%的标准,而且客户可以在业务少的晚间进行更新,灵活性非常高。

●首年低成本,快速上线

在收费模式方面,安全负责人提出:“我们自己就是SaaS订阅模式收费,从财务模型的角度,对于软件我们不倾向于买固定资产。”

这和宁盾的理念一拍即合,区别于传统本地部署软件一次性高收费的模式,宁盾提供按年付费这种灵活的订阅收费模式。对于想要订阅模式的客户,可以首年付较少的金额,快速体验产品。后期通过对宁盾优质的客户服务、不断优化的产品能力的满意程度,再选择是否续费。

●从谷歌令牌到宁盾令牌,平滑过渡

由于客户的堡垒机目前仍在使用谷歌令牌,针对这种现象,基于现有业务,宁盾提供谷歌令牌系统维护接管方案和一次性替代两种解决方案。

方案一:基于现有业务,宁盾为客户提供双因子平滑过渡解决方案,接管谷歌令牌认证服务

需要继续使用第三方认证服务的客户,宁盾可为其提供双因子认证第三方令牌接管服务。通过在原认证系统中嵌入式对接宁盾系统,将企业业务导入宁盾系统,实现账号源、第三方认证系统、宁盾和客户业务场景的一体化对接,负责认证信息的传递和审计。整个过程中,用户处于无感知状态。

新用户、令牌出现故障或服务到期时,可通过绑定宁盾双因子令牌的形式对原动态令牌进行替换,同时宁盾认证服务器取代第三方认证服务器为用户动态口令进行校验和审计。实现第三方双因子认证业务到宁盾双因子认证业务的平滑过渡。采用宁盾双因子认证平滑过渡方案,可减小企业动态口令账号加固整改力度。

方案二:需要一次性替代方案的客户,宁盾提供双因子认证一次性部署方案

通过部署宁盾双因子认证服务器取代原认证服务器,与企业业务系统及账号源服务器对接,并根据员工账号绑定宁盾令牌。实现动态密码登录加固,保障企业账号身份安全。

“由于谷歌令牌主要用于堡垒机,使用的人比较少,”安全负责人反馈道,“而VPN需要针对全公司2500员工新加双因子,综合考虑所有员工的体验后,最终选择一次性替代方案。”

员工满意和企业安全,两不误!

现在,宁盾双因子认证产品已经在该公司全面使用,无论是VPN、堡垒机还是应用系统都得到了加固。

●快速部署上线

为了能尽快给客户替换原有的谷歌令牌,满足企业安全和合规的要求。宁盾技术人员专程赶赴客户总部现场完成思科VPN和堡垒机的双因子认证测试和部署。员工手机上安装宁盾令牌APP,可以生成一个随着时间变化的一次性密码,用于帐户验证。员工只有先后正确输入静态密码和动态密码,才能接入公司内网。

“我们通过邮件的形式给每位员工派发宁盾令牌,并告知员工如何激活令牌、如何用令牌登录思科VPN。现在,我们公司2500名员工已经很平滑的切换到使用双因子登录VPN了。”安全负责人说道。

●满足合规性要求

宁盾令牌提供手机APP令牌、短信令牌、邮件令牌、H5令牌、硬件令牌等多种令牌形式,出于等保要求和便捷性考虑,客户选择了手机APP令牌。

“宁盾双因子认证令牌采用国密SM3算法,拥有国密资质,满足等保合规要求。”安全负责人道。

另外,宁盾双因子认证的登录日志可详细记录用户的登录行为及操作行为,一旦发生泄露事件,可快速定位。

“我们将宁盾双因子认证产品用于公司各个业务场景,”安全负责人补充道,“现在,员工登录VPN或堡垒机时都必须使用宁盾令牌进行双重身份验证。”

●产品具有可拓展性

除了针对VPN、堡垒机进行双因子认证加固,安全负责人还提出:“目前公司用的是自己搭建的NPS,针对访客入网没做管理,后期想实现访客的上网管理和审计。”

宁盾有线无线认证通过802.1X认证或Portal上网认证方式对员工、访客、外包等不同角色提供接入网络的身份认证,确保企业办公网络接入的安全。目前,客户正在测试短信、员工协助扫码、邮件自服务等方案。

“宁盾可能具有的每一个功能,我们都在使用或考虑使用,”安全负责人总结道。

(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)

用双因子认证2FA替换Google authenticator谷歌令牌,助力准上市公司实现等保安全审计相关推荐

  1. 什么是双因子认证(2FA)

    双因子验证(2FA),有时又被称作两步验证或者双因素验证,是一种安全验证过程.在这一验证过程中,需要用户提供两种不同的认证因素来证明自己的身份,从而起到更好地保护用户证书和用户可访问的资源.双因子验证 ...

  2. 九州云腾双因素认证系统_“等保2.0”新标准落地 双因子认证(2FA)成标配...

    2019年5月13日,国家标准新闻发布会正式发布网络安全等级保护制度2.0标准(以下简称"等保2.0"),新标准将于2019年12月1日开始实施,这意味着"等保2.0&q ...

  3. 双因子认证不知不觉间已经普及大众

    今天收到一家安全厂商的邮件,告知注册账号需要启用双因子认证.这其实是必须的,也可以光明一下未来从事双因子认证的厂商会有相当不错的市场钱景了. Dear *********** Super User & ...

  4. SSH 登录添加 Google Authenticator 两步验证 双因子认证

    SSH 登录添加 Google Authenticator 两步验证 双因子认证 安装 Google Authenticator # 时间与客户端进行校验,确保服务器时间与手机时间一致,避免时差导致严 ...

  5. 2FA双因子认证之OTP算法

    2FA双因子认证之OTP算法 概述 2 Factor Authentication简称2FA,双因子认证是一种安全密码验证方式.区别于传统的密码验证,由于传统的密码验证是由一组静态信息组成,如:字符. ...

  6. 深信服上网行为管理如何配置双因素/双因子(2FA)身份认证

    上网行为管理是指帮助互联网用户控制和管理对互联网的使用.其包括对网页访问过滤.上网隐私保护.网络应用控制.带宽流量管理.信息收发审计.用户行为分析等. 深信服上网行为管理作为该领域的佼佼者,被很多企业 ...

  7. 网神防火墙如何启用双因素/双因子认证(2FA/MFA)身份认证

    网神防火墙基于多核处理器架构和自主开发的新一代多核并行操作系统 SecOS,完整实现了状态检测包过滤/应用代理防火墙.IPSec VPN/SSL VPN.抗DDoS攻击.深度内容检测.入侵检测防护.带 ...

  8. 网御数据库审计系统配置Radius启用双因素/双因子(2FA/MFA)认证

    网御数据库审计系统是针对数据库操作行为进行细粒度审计和防护的管理与监控系统.它通过对数据库管理员.业务员的数据库访问行为进行解析.记录.控制.分析,帮助用户实现事前预防.事中监控.实时响应.事后追溯, ...

  9. 指纹安全系统--双因子认证(2FA)解决方案

    双因子认证(2FA)解决方案 方案应用背景 应用需求 方案阐述 一.方案特点 二.方案设计 三.方案组成 四.环境要求 方案应用背景 随着企业日益发展的需求,企业IT管理面临越来越大的压力与挑战.得益 ...

最新文章

  1. ICRA2021|嵌入式系统的鲁棒单目视觉惯性深度补全算法
  2. 国内网络环境优化qiime2安装过程-QIIME 2安装慢或无法下载的解决方案
  3. 为什么我们需要一门新语言——Go语言
  4. 吴恩达:如何建立一个成功的人工智能创业公司
  5. C# App.config 自定义 配置节
  6. android 静态注册wifi广播,Android中BroadcastReceiver详解
  7. HDU Problem - 1969 Pie(二分,精度)
  8. 评分怎么读_英国留学本科中途被退学怎么申请硕士补救
  9. iOS开发-UIScrollView原理
  10. php做一个计算日期之间天数,PHP计算任意两个日期之间的天数
  11. pythonjava app切出后无网络连接_写了一个java的Server 用python的client访问却访问不通问题。...
  12. 玩转springboot2.x之异步调用@Async
  13. AndroidStudio打包生成apk
  14. 工业和信息化部教育考试中心职业技术证书有必要考吗?
  15. 腾讯云IM Web端支持发送语音消息
  16. android 简书饿了么,对接饿了么平台总结
  17. tf 矩阵行和列交换_tf矩阵基础
  18. 12、Kanzi插件——创建Kanzi Engine插件的方法
  19. 联想拯救者y7000p加内存条_联想 拯救者Y7000P 怎么升级内存?
  20. html项目符号正方形,HTML无序列表| HTML项目符号列表

热门文章

  1. day11_雷神_udp、多进程等
  2. Gnome桌面扩展安装
  3. JavaScript和Python时间戳转换
  4. 抓住一切机会从小事做起 优秀营销人死守的5个秘密
  5. python命令行输出彩色图
  6. CGLIB 动态代理及其原理分析
  7. 抖音怎样导流到微信?抖音跳转页引导加微信的设置
  8. 攻防世界-杂项-Misc
  9. uniapp开发app下载模板功能
  10. 有道云笔记and印象笔记