中国某银行｜多场景双因素认证

中国某银行｜多场景双因素认证

1.项目背景

随着软件信息化的发展，该银行已经建设了银行信息监管系统、远程办公管理系统、人员OA信息管理系统，外援用户办公，管理等众多重要日常信息系统，且随着银行的不断建设与发展，应用系统的覆盖范围与用户群体也会迅速变大。现阶段存在各系统用户信息不统一、登录方式不统一、验证方式不便捷不安全等问题。为节约资源，提高效率，提升用户体验，保证认证安全，该银行拟建立集PC端和移动端多因子认证为一体的多因子认证系统，引入多种认证手段，和传统证书认证技术形成有效互补，在保证安全的前提下实现业务系统便捷的多因素强身份认证，满足信息化建设发展的需要。

2.现状

该银行机关政务外网现在主要包括DMZ和内网两个区域，两个区域之间逻辑隔离，仅允许数据交换、不允许应用直接交互。在两个区域均部署有信息系统，DMZ网中主要部署XX银行OA、外援用户信息管理等业务系统，内网区主要有HAIYI-PAS、宁盾身份认证系统等需要与应用连接认证的系统。 为统一对该银行重要业务系统进行管理，银行建设了统一用户管理系统和OA外援用户管理系统，统一用户管理系统为银行内部所有业务系统统一的用户基础信息的数据源，所有的用户基础数据都将从统一用户管理系统获取。实现银行业务应用的集中整合，在DMZ、内网建立统一的账号来源，实现用户信息统一，区分等功能。目前，还有部分早期建设信息系统未纳入统一应用和统一用户认证管理。 银行机关政务外网现有的认证方式主要有传统的用户名/密码和数字证书两种方式。XX银行政务外网数字证书身份认证体系分多级建设。在XX银行机关内网区域部署自主服务平台和移动办公服务平台、目录服务系统、身份认证网关，为互联网用户、移动办公用户提供数字证书的发放服务和接入的身份认证服务。 a. 银行机关DMZ区部署了VMware公司的UAG产品，提供虚拟化服务。 b. 银行机关DMZ区部署了Cisco公司的网络产品，提供***远程访问服务。 c. 银行机关内网区部署了海颐特权账号安全管理系统（HAIYI-PAS)，可为IT人员提供唯一的认证登录门户入口，实现特权账号的统一授权分发，审计特权操作并预警高危行为。 d. 银行已建统一应用平台，整合了信息资源管理、移动办公，虚拟桌面等多个移动应用。研发，运维等系统与XX银行海颐账号安全管理系统实现集成，为移动实现远程接入，内网轻办公和轻开发员工直接访问会话管理器的应用。

3.项目目标

本方案包括不限于对以下进行测试，已验证宁盾产品满足当前双因素认证需求，通过在中行部署宁盾认证系统后，期望实现以下目标 a. Cisco设备对接，满足认证授权分离; b. 增加VMware密码安全，加强设备密码强度; c. 实名可审计，日志用户信息等提供导出服务，有效控制账登录及操作可实名追溯; d. 满足国家等保要求，所以账号实现静态+动态密码方式通过认证; e. 提供多种形式令牌验证方式，短信，手机令牌，并提供自助服务; f. 对接审计设备，可将日志推送到syslog服务器; g. 提供对外API接口，HAIYI-PAS系统调用该接口查询用户令牌权限，同步更新HAIYI-PAS用户状态。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。