分享 | 多因素认证让某汽车厂商的数字资产更安全
2023 年,多因素认证(MFA)凭借在防钓鱼攻击、提升身份安全上的巨大作用,获得了全球企业的高度认可。登录账户时扫个码、刷个脸、输个口令,成为了员工的“标配”。
看起来很简单的 MFA,对厂商技术实力的要求却很高很全面。认证因子的选择、认证环境的安全、身份信息的存储、与原有 IT 架构的融合......厂商只有全面掌握了的底层技术,积累了丰富的项目经验,才能让 MFA 安全、易用,成为 IT 系统的“门神”,更好的守护企业的网络安全和数据安全。
项目背景
近年来,某汽车厂商通过产业链与数字技术深度融合,促进生产制造环节向研发设计、整车制造、品牌营销、客户服务等高附加值环节拓展,支撑了公司的持续快速发展。随着 IT 架构的日益复杂、业务应用的不断增多,某汽车厂商的身份安全问题日益突出,堡垒机和研发云桌面两个事关企业核心数字资产的 IT 基础设施亟需提升身份安全水平。
堡垒机:堡垒机是企业核心的安全运维管理设备,其账号密码不容有失。某汽车厂商的堡垒机采用账号+密码的认证方式,虽然采取了强制定期改密、提升密码强度等措施,但是身份认证的因子仍旧比较单一,安全性不足,也无法满足日趋严格的网络安全合规要求。
研发云桌面:某汽车厂商的某研发部门部署了云桌面,研发人员可以随时随地接入云桌面办公。但云桌面仍旧采用传统的账密认证,身份认证的安全性难以保证。一旦员工的账号被窃取,企业的研发核心资产将遭受重大损失。
方案设计
针对某汽车厂商的实际需求,芯盾时代基于完整的身份安全产品体系、丰富的大型企业身份安全项目经验,采用用户身份与访问管理平台(IAM)、身份认证 App,为某汽车厂商设计了多因素身份认证系统。方案设计如下:
用户身份与访问管理平台(IAM):将 IAM 与钉钉对接,在 IAM 服务端生成口令,在钉钉页面显示。利用 IAM 管理堡垒机、研发云桌面的身份认证环节,实施多因素认证。
身份认证 App:基于芯盾时代自主研发的移动认证技术,为某汽车厂商提供多因素认证能力。App 内置设备指纹模块、智能终端密码模块、终端威胁态势感知模块,通过对终端的唯一性识别,证书和密钥的安全生成、存储、调用,以及手机安全环境的检测,将手机打造成移动 U 盾,保证身份认证过程、身份信息存储的安全。
客户价值
部署芯盾时代多因素认证系统后,某汽车厂商实现了堡垒机、研发云桌面的多因素认证,提升了身份安全水平,保障了公司的核心数字资产的安全。
1.提升身份安全水平,保证核心资产安全
实施多因素后,某汽车厂商堡垒机、研发云桌面的安全性得到了提升,能够更好的防范撞库攻击、网络钓鱼等网络攻击,保障公司特权账号、研发数据等数字资产的安全。
芯盾时代凭借全面的身份认证技术,为某汽车厂商建设了安全性能强大的身份认证 App:采用设备指纹为终端设备形成唯一的识别码,实现员工账号与设备的强绑定;采用智能终端密码模块,对身份进行加密存储,保证在白盒环境下身份信息的安全;使用终端威胁态势感知模块,监控终端设备的环境安全,避免 App 在不安全的环境中运行。
2.多种认证方式可选,安全与体验兼顾
芯盾时代的解决方案提供短信令牌、手机令牌、钉钉令牌等多种认证方式,客户可根据需求自由选择与组合。改造完成后,某汽车厂商减少了因堡垒机、云桌面强制定期改密给员工与运维人员造成的不便,既提升了员工的体验,也减低了 IT 运维的工作量。
3.与原有设备无缝对接,减低改造成本
凭借丰富的项目经验,芯盾时代帮助某汽车厂商顺利完成了多因素认证系统与堡垒机、研发云桌面的对接,无需改变原有的账号管理模式,大幅缩短了改造的时间与成本。
多因素认证系统还能够兼容各类网络设备、操作系统、网站及应用,可无缝支持 AD/LDAP 账号源、Web 内建账号源,便于某汽车厂商后续拓展应用范围,对更多设备、应用实施多因素认证。
4.满足合规要求,系统可控可靠
芯盾时代的多因素认证方案具有完全知识产权,采用国产密码算法,满足网络安全等级保护和密码应用安全性测评要求,支持国产化适配,满足了某汽车厂商的合规需求。
芯盾视点
当前,我国制造业的数字化转型不断加速,制造业企业纷纷将数字技术与产业链深度结合,为业务持续赋能。制造业企业的数字化转型往往采用“小步快跑”的策略,先试点后铺开,先外围后核心,先办公后生产。“身份”作为数字化业务的基石,天然适合作为制造业企业数字化转型的突破口。某汽车厂商的此次改造,借助体系化的多因素认证系统,提升了核心资产的安全性,具有很高的参考价值。
版权声明: 本文为 InfoQ 作者【芯盾时代】的原创文章。
原文链接:【http://xie.infoq.cn/article/9eea03d5445e4d26b95adc0e2】。文章转载请联系作者。
评论