安盟双因素认证基础服务平台

一、需求背景

·云混合IT架构下，网络物理边界模糊，身份是新边界，帐号密码成为整个IT系统的脆弱点、突破口、末道防线与命门！

·企业网络安全和数据安全、护网、勒索病毒传播、零信任架构等对口令安全提出了新的挑战。

·《等保》2.0标准对口令安全提出了更高的要求和明确的解决建议。

二、解决方案视角

提供丰富技术接口，覆盖企业IT环境内尽可能的需求场景，实现企业全网全方位整体口令安全加固，消除每一个弱口令，避免每一个由于弱口令导致的安全问题。

三、部署示意图

四、技术特点

4.1 场景全覆盖

本方案为企业的所有IT资源提供口令加固和双因素身份认证基础服务，实现全覆盖：

1）边界：VPN／Windows桌面／网络 / WIFI

2）应用系统： Login + 交易／关键功能

3）IT运维：堡垒机／服务器主机／数据库系统／网络设备操作

4）其他IT资源和非IT资源：如IP摄像头等

 4.2.提供丰富技术接口和多种技术实现路径，为双因素认证方案全覆盖提供保障

1）账号管理服务接口

2）口令加固/多因素认证服务认证及认证要素交付接口

3）密码托管定期改密校验接口及密码交付接口

4）安全策略配置接口/日志输出接口／账号同步接口

5）丰富的接口与对接能力，始终围绕客户需求场景建立口令加固安全生态

接口类型包括：

• 账号管理接口

–完成账号（需要多因素认证的账号）的创建、变更、删除、权限等生命周期管理功能

–Webservice/Socket/API

• 认证服务接口

–提供多因素认证服务功能

–RADIUS/SecurID/AM Agent/Webservice/API

• 安全认证策略配置接口

–依据账号角色的安全策略／使用体验／技术可行性等因素，选择合适的一种／多种认证方式组合，可能的话，可以建立账号安全认证策略的标准模型。

–Webservice/API

• 日志输出接口

–可自形成日志报表，亦可通过接口输出到企业日志统一分析平台

–Webservice/API

• 其他接口

–用户自助服务功能实现接口，如设置PIN、同步令牌、激活手机令牌等

–特殊应用场景的特殊认证模式兼容支持的用户定制接口

–短信接口（发送动态密码短信／报警信息等）、邮件接口等

–Webservice/API

4.3 服务标准化、规范化

  服务规范：

–本平台提供多因素身份认证基础服务

–多因素指除了你所记忆的密码（what you know)外，增加第二身份信息要素(不可复制不可篡改）验证，如OTP（硬件／手机APP／手机短信，what you have），Bio（指纹／掌纹／脸谱／虹膜／静脉...，what you are）

–可以接入本平台实现多因素认证服务的对象包括：

 1）VPN／Windows桌面／网络接入 Login

 2）It运维Login：堡垒机／服务器主机／数据库系统／网络设备

 3）应用系统，Login + 交易／关键功能操作

  接口规范：

–账号管理接口 / 多因素认证接口

–安全策略配置接口 / 日志输出接口 ／ 账号同步接口 >>>

  账号认证安全策略规范：

–依据账号角色安全策略／使用体验／技术可行性等因素，选择合适的一种／多证方式组合

–可参考账号认证安全策略模型。

五、功能列表

5.1 资源管理

用户管理：对认证账号进行管理，如添加账号、编辑账号、删除账号、添加用户组、设置访问权限等。

令牌管理：对身份认证令牌进行管理，如启用令牌、禁用令牌、同步令牌、重置PIN码和删除令牌等。

代理主机管理：对代理主机进行管理，如添加代理主机、编辑代理主机、删除代理主机、设置访问权限等。

管理员列表：对管理员账号进行管理，如添加账号、编辑账号、删除账号、启用账号、禁用账号等。

异常账号管理：对状态异常的管理员账号进行管理，如将状态异常的管理员账号重置为可用状态。

5.2 系统设置

系统参数：对系统服务监听端口、系统备份等全局参数进行管理

运行参数：对与账号、令牌等有关的参数进行管理，如密码策略、账号生命周期、动态口令有效时间等。

组件管理：对系统的组件进行管理，如添加核心组件、添加认证网关等。

导入用户：批量导入用户功能

导入令牌：批量导入身份认证令牌授权功能

导入代理主机：批量导入认证代理主机功能

系统许可：查看与升级系统许可功能

LDAP策略：管理与LDAP对接的参数

代理主机配置文件：生成SecurID客户端所需要的配置文件

认证代理参数：管理安盟认证代理软件所需要的参数

密码策略：对改密组件的密码策略进行管理

会话管理：查看与管理在线的管理员账号

5.3 RADIUS属性

RESPOND属性：管理RADIUS服务的RESPONSE属性

CHECK属性：管理RADIUS服务的CHECK属性

IP地址池：管理RADIUS服务的IP地址池

Proxy服务：管理RADIUS代理服务器

5.4 批量操作

导出所有用户信息：导出所有用户信息

导出所有令牌信息：导出所有令牌信息

批量启用用户：批量启用用户

批量禁用用户：批量禁用用户

批量删除用户：批量删除用户

批量设置用户密码：批量设置用户密码

批量设置用户类型：批量设置用户类型

批量修改用户信息：量修改用户信息

批量分配令牌：批量分配令牌

批量回收令牌：批量回收令牌

批量设置PIN码：批量设置PIN码

批量发布令牌：批量发布令牌

批量修改令牌模式：批量修改令牌模式

六、客户价值

6.1 整体价值

–在网内构建了以口令加固和强身份认证的技术平台，提供身份安全的基础服务。

–需要实施口令加固和强身份认证的IT资源可即时按规范接入该服务，实现全方位的口令安全加固。

–消除全网内的弱口令以及由弱口令引起的安全风险，整体提升企业信息网络的安全性。

6.2 功能性价

–加强账号管控，杜绝非授权访问，保障数据安全。

–实现《等保》和《网络安全法》等合规要求。

–有效阻隔黑客/红队攻破边界和在网内横向和纵向渗透、提权，为护网提供利器。

–有效阻隔勒索病毒利用RDP、 VNC、Sql Server、Tomcat、FTP等的弱口令传播。

–解决疫情常态放控下的普遍性远程办公的口令安全性问题。

–解决零信任架构下的口令安全和身份鉴别问题。