芯盾时代助力某水利监管机构建设多因素认证体系强化身份安全第一道防线

2023-09-08 14:04:41来源：芯盾时代阅读量：45 评论

导读：身份认证，既是企业网络安全的第一道防线，也是员工进入业务系统的第一个环节。

　　【智慧城市网品牌专栏】身份认证，既是企业网络安全的第一道防线，也是员工进入业务系统的第一个环节。在企业数字化转型持续深化、业务数字化水平不断提升的当下，身份认证不但要提升安全性，应对层出不穷的网络攻击，还要提升易用性，让员工操作更便利。在此背景下，多因素认证、尤其是使用移动App的多因素认证，受到了企业和员工的欢迎。但是，多因素认证远远不是扫个码、刷个脸这么简单，而是需要诸多底层技术的支撑。企业想要实施多因素认证，实现安全与体验兼顾，必须从底层技术入手，构建完整的多因素认证体系。

　　案例背景

　　某水利监管机构(以下简称“C机构”)是水利部派出的重要流域管理机构，在流域内水资源管理、水资源保护、水土保持、采砂管理、河湖管控等工作中发挥着重要作用。C机构高度重视信息化建设，大力推进信息化与水利业务深度融合，建立了诸多业务应用，取得了丰硕的成果。为了统一管理职工身份，C机构建设了统一身份认证系统，为职工提供统一应用门户和单点登录功能，让职工可以在PC端和移动端一站式访问权限内的业务应用。

　　但随着近年来政务外网应用系统的数量和系统用户不断增加，以及业务和系统架构变得越发复杂，同时面临着密码认证带来的“弱口令”问题，现有统一认证服务已经难以满足当前和未来业务和管理上的需求。为了解决这一问题，C机构迫切需要对现有的统一身份认证系统进行改造，计划基于原有的身份认证App实现多因素认证，在提升身份认证安全性的同时，最大程度保证职工操作的便利性。

　　为了保证多因素认证的可靠性，C机构对解决方案的底层能力提出了明确的要求。

　　1.设备识别能力：改造后的身份认证App需要准确识别设备信息，为设备生成唯一ID，实现账号和设备的强绑定。

　　2.身份信息的加密传输与存储能力：移动端和服务端的身份信息必须加密传输和存储，避免身份信息被劫持后遭破译；身份认证App具备安全存储密钥的能力，并保障加密、解密过程的安全。

　　3.终端安全能力：身份认证App需要能够检测终端设备的安全性，识别模拟器、攻击框架、木马、病毒等安全威胁，保证App在安全的环境中运行。

　　方案设计

　　芯盾时代根据C机构的要求，基于自主研发的用户身份与访问管理平台（IAM），结合在水利行业丰富的身份管理项目经验，对C机构原有的统一身份认证系统进行改造，采用设备指纹、智能终端密码模块、终端威胁态势感知模块等产品，将手机打造成移动U盾，大幅提升安全水准，帮助C机构构建多因素认证所需的能力基座，最终全面实现业务应用的多因素认证。方案功能与设计如下：

　　1.多因素认证模块：对C机构原有的身份认证App进行改造，集成多因素认证模块，新增App扫码、动态口令、指纹识别等认证方式；

　　2.设备指纹模块：以SDK形式集成在身份认证App中，自动采集设备特征，为每一台终端设备生成唯一的设备ID；

　　3.终端密码安全模块：以SDK形式集成在在身份认证App中，采用多重密钥体系、白盒算法、安全沙箱，实现密钥的安全存储，保证身份信息加密、解密过程的安全；

　　4.终端设备态势感知模块：在身份认证App中集成终端威胁态势感知模块，在事前核查终端安全基线，在事中实时检测设备运行状态并保证App运行环境的安全。

　　客户价值

　　经过此次改造，C机构全面不但实现了业务应用的多因素认证，身份安全水平显著提升，还构建了坚实的身份安全基座，为后续的信息化建设奠定了基础。

　　1.全面实现多因素认证，安全与便利兼顾

　　方案部署完成后，C机构的统一身份认证系统具备了多因素认证能力，诸多业务应用一站式实现了多因素认证，应用安全性得到了显著提升。C机构的职工可以借助身份认证App，采用指纹识别、动态口令、手势识别等方式完成身份认证，操作更加便利。

　　2.准确识别登录设备，杜绝非法设备入网

　　芯盾时代结合机器学习技术，采用新的算法提升设备指纹的适配性，抑制传统设备指纹容易发生的指纹漂移和指纹冲突，准确率高达99%以上。借助设备指纹，C机构实现对登录设备的统一管理，将职工账号与设备的强绑定，能够准确识别非常用设备登录等异常行为，提升了身份认证的安全性。

　　3.身份信息加密存储，多重防护保障安全

　　智能终端密码模块采用多重密钥体系保证加密、解密过程的安全，以白盒算法保护密钥和数字证书存储及运行过程安全，应用安全沙箱配合独立进程保护，在终端形成独立的软件数据防护区域，防止关键数据被窃取、被篡改。借助智能终端密码模块，C机构所有的身份信息能够以密文形式存储和传输，即使信息被劫持也难以被破译和篡改。

　　4.监控终端运行状态，保障运行环境安全

　　芯盾时代终端威胁态势感知模块内置模拟器检测270+款，双开程序检测40+，以及攻击框架、调试状态、高危软件、Root/越狱、代理服务器等独有检测技术，能够准确评估设备安全基线，避免带病设备入网。借助模块的环境安全清场功能，身份认证App会尝试清除威胁进程和应用，并提醒用户运行环境不安全，保证App在安全的终端环境下运行，避免因设备安全问题导致的安全风险。

　　芯盾视点

　　当前，网络钓鱼、数据泄露等安全事件频发，员工身份凭证外泄的情况越来越多，企业迫切需要实施多因素认证，防范身份冒用。但是多因素认证是多种技术能力的整合，需要安全厂商对身份安全有深厚的技术积累和完整的解决方案。企业在选择多因素认证产品方案时，应全面考察企业的技术能力，保证多因素认证产品自身的安全可靠。C机构此次的多因素认证项目，对有类似需求的组织和企业有着重要的借鉴意义。

上一篇：桂林橡机携八大轮胎生产解决方案亮相中国国际橡胶技术展

下一篇：立林数字居家康养管理服务平台，引领社区居家康养新范式

版权与免责声明：1.凡本网注明“来源：兴旺宝装备总站”的所有作品，均为浙江兴旺宝明通网络有限公司-兴旺宝合法拥有版权或有权使用的作品，未经本网授权不得转载、摘编或利用其它方式使用上述作品。已经本网授权使用作品的，应在授权范围内使用，并注明“来源：兴旺宝装备总站”。违反上述声明者，本网将追究其相关法律责任。 2.本网转载并注明自其它来源（非兴旺宝装备总站）的作品，目的在于传递更多信息，并不代表本网赞同其观点或和对其真实性负责，不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时，必须保留本网注明的作品第一来源，并自负版权等法律责任。 3.如涉及作品内容、版权等问题，请在作品发表之日起一周内与本网联系，否则视为放弃相关权利。

我来评论

昵称验证码匿名