摘要:OA系统、企业私有云等信息系统及关键信息基础设施在商用密码应用安全性评估(密评)过程中不合格以及需进一步提高的环节,需要对其进行密码改造(密改)。密码改造产品主要包括服务器密码机、安全网关、签名验签服务器等。其中,安全网关能为用户提供可信身份认证、访问控制、传
OA系统、企业私有云等信息系统及关键信息基础设施在商用密码应用安全性评估(密评)过程中不合格以及需进一步提高的环节,需要对其进行密码改造(密改)。密码改造产品主要包括服务器密码机、安全网关、签名验签服务器等。其中,安全网关能为用户提供可信身份认证、访问控制、传输加密等密码安全服务,而常见的动态口令、生物识别等均属于可信身份认证技术的一种。
什么是动态口令?
在OA系统登录入口集成动态口令可以有效保障账号密码安全性,尤其是符合国密资质的商用密码产品。那么,首先需要明白什么是动态口令?
1. 基于特定算法生成的一次性动态密码(4位或6位数字),密码每隔60秒变化一次;
2. 生成动态口令的工具通常称为动态令牌(也可称为身份验证器,如微软/谷歌身份验证器),形式多种多样,有硬件形式也有软件形式,例如硬件令牌、手机APP令牌、短信令牌等;
3. 密评、密改中的商用密码通常指采用国密算法的动态口令令牌。
4. 动态口令由Sever端(即RADIUS认证服务器)和客户端(动态令牌)两部分组成。
动态口令二次认证原理
其作用原理为:将动态口令Sever端部署到企业内网或私有云服务器上,同步OA系统对应的账号源到动态口令Sever端后台后,为需要开启动态口令验证的用户派发动态令牌,用户凭借激活后的有效令牌登录OA系统时,需输入用户名、静态密码、动态口令方能正常访问。
集成了动态口令的OA系统有两种登录验证方式选择:
• 账号+静态密码+动态口令,双重验证更加安全;
• 账号+动态口令,免去输入及记忆静态密码的过程,更加方便。
部署方案设计
方案1:OA系统在内网,通过VPN+动态口令访问
在内网部署 VPN,将内部应用设为禁止外部 IP 访问,部署宁盾动态口令Sever端(RADIUS认证服务器),与 VPN 对接,通过 VPN + 动态口令访问 OA 系统,OA 系统不开通外网直接访问权限。此方案可以达到内网用户不做任何更改,外网用户需要登录 VPN 通过二次身份认证才可以访问内部应用的效果,达到保护 OA 系统访问安全。
方案优点:
• 部署方便,一天之内可以完成;
• 不对内部系统本身构成影响,不影响公司日常办公;
• 增加新系统不需再次进行投资;
• 增加了 VPN 功能,对公司内外网形成隔离,安全性更高。
方案缺点:
• 增加了 VPN 部署费用;
• 需要对原网络设置进行更改。
方案2:OA系统通过接口集成动态口令认证
部署宁盾动态口令身份认证Sever端,对于不支持标准身份认证协议(如RADIUS、LDAP)的系统需二次开发以支持动态口令身份认证。将原 OA 系统的用户信息导入到动态口令身份认证服务端,宁盾承担统一身份认证功能。
方案优点:
• 此方案不需要更改公司原来的网络结构和设置;
• 对于内网和外网用户都需要通过动态口令身份认证才可以登录某个 OA 系统;
• 更方便实现多个应用系统统一动态口令认证。
缺点:
• 由于需要二次开发,因此部署时间长;
• 更改了原系统配置,需进行一段时间测试。
方案3:将OA系统集成到SSO单点登录平台,在登录门户上开启动态口令认证
将包含 OA 系统在内需要实现单点登录 SSO 的应用系统集成到单点登录平台,在单点登录统一登录门户上开启动态口令二次认证,以此实现多个应用系统统一身份认证及动态口令安全认证目标。
方案优点:
• 无需对原有系统、网络进行改造;
• 多个应用可以实现统一身份认证、安全认证,访问更安全便捷。
方案缺点:
• 应用系统需支持 SSO 协议,反之二次开发成本高昂;
• 由 OA 系统扩展到其他多个系统,整体投入成本较之前上升。
以上方案是宁盾动态口令身份认证对接 OA 等系统进行商用密码改造的思考。根据《商用密码管理条例》和《密码法》等相关法律法规,关键信息基础设施和重要信息系统必须使用商用密码进行保护。《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)规定了信息系统密码应用的基本要求,涉及物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等多个层面。
通过密改,可以确保信息系统在处理非涉密信息时采用合规的密码技术,实现信息的安全保护和认证,从而提高整体的网络安全性。未来,随着技术的不断进步和法律法规的完善,密改工作将更加规范化和标准化,成为保障信息安全的重要手段。宁盾动态口令身份认证已累计为众多企业信息系统(OA、自研系统等)提供密码改造应对方案,经过检验,为信息系统集成国密动态口令是行之有效的密改方案之一。
来源:發哒哒哒财
