一、背景
国内某知名油田应信息化发展需要,前几年开发了一套基于B/S模式的OA系统满足办公要求,员工通过这套系统进行日常办公,并将OA服务器部署在公网上以满足处在不同地域的员工即时收发电子邮件、协同办公等。
为了IT管理的方便,以员工工号作为OA系统帐号,初始密码设置为123456,管理员并通知员工要修改初始密码,然而在现实应用中只有极少员工修改初始 密 码,就会导致一个很坏的情况,因为帐号是很容易猜测的,OA系统上敏感信息很容易被一些别有用心的人获取,尤其是一些高管的邮件系统信息十分重要,公司曾 经出现过由于以上原因造成信息泄漏后果,给油田造成很大损失。
因此该单位通过网络找到宁盾,希望通过动态密码方式来保护登录安全。
二、登录口设计
宁盾在登录口设计推荐了以下2种方案供选择:
(1)帐号 + 静态密码 + 动态密码,双因素更加安全。
(2)帐号 + 动态密码,无需以及任何密码,需防止口令牌丢失。
三、系统架构方案1 - OA部署在内网,通过VPN + 动态口令方案访问
在 内网部署SSL VPN,将内部应用设为禁止外部IP访问,通过部署宁盾动态身份认证服务器,与SSL VPN对接,即通过SSL VPN + 动态口令,OA不开通外网直接访问权限,用户通过IE输入SSL VPN的地址,配合动态令牌访登录内部系统。此方案可以达到内网用户不做任何更改,外网用户需要登录VPN通过身份认证才可以访问内部应用的效果,达到保 护OA登录安全。
优点:
1. 部署方便,一天之内可以完成
2. 不对内部系统本身构成影响,不影响公司日常办公
3. 增加新系统不需再次进行投资
4. 增加了VPN功能,对公司内外网形成隔离,安全性更高
缺点:
1. 增加了VPN部署费用
2. 需要对原网络设置进行更改
四、系统架构方案2 - OA通过二次开发接口整合动态口令认证
对接步骤:
(1) 部署宁盾dKey统一动态密码认证服务器
(2) 对于不支持标准身份认证的系统需二次开发以支持动态密码身份认证
(3) 将原OA系统的用户信息导入到身份认证服务器,dKey承担统一身份认证功能
优点:
(1)此方案不需要更改公司原来的网络结构和设置
(2)对于内网和外网用户都需要通过动态身份认证才可以登录某个OA系统
(3)更方便实现多应用系统统一动态密码认证
缺点:
(1)由于需要二次开发,因此部署时间长
(2)更改了原系统配置,需进行一段时间测试
五、最终方案
考虑到未来可能接入多个应用系统如:邮件、ERP、OA、CRM、加密,统一动态密码认证且不更改现有的应用习惯,最终选择的方案如下:
(1)登录口采用 工号 + 动态密码方案,并预留双因素做扩展。
(2)系统架构采用在OA系统基础之上做二次开发方案。
(3)考虑到认证系统需要提供7×24小时服务,最终采用2台动态密码认证服务器策略。
-----------------------------------------------------
宁盾专注动态密码身份认证(动态令牌 | 短信密码)
http://www.ndkey.com.cn
电话:021 - 54263385
-------------------------------------------------------