一、背景
国内某知名油田应信息化发展需要,前几年开发了一套基于B/S模式的OA系统满足办公要求,员工通过这套系统进行日常办公,并将OA服务器部署在公网上以满足处在不同地域的员工即时收发电子邮件、协同办公等。
为了IT管理的方便,以员工工号作为OA系统帐号,初始密码设置为123456,管理员并通知员工要修改初始密码,然而在现实应用中只有极少员工修改初始
密
码,就会导致一个很坏的情况,因为帐号是很容易猜测的,OA系统上敏感信息很容易被一些别有用心的人获取,尤其是一些高管的邮件系统信息十分重要,公司曾
经出现过由于以上原因造成信息泄漏后果,给油田造成很大损失。
因此该单位通过网络找到宁盾,希望通过动态密码方式来保护登录安全。
二、登录口设计
宁盾在登录口设计推荐了以下2种方案供选择:
(1)帐号 + 静态密码 + 动态密码,双因素更加安全。
(2)帐号 + 动态密码,无需以及任何密码,需防止口令牌丢失。
三、系统架构方案1 - OA部署在内网,通过VPN + 动态口令方案访问
在 内网部署SSL VPN,将内部应用设为禁止外部IP访问,通过部署宁盾动态身份认证服务器,与SSL VPN对接,即通过SSL VPN +
动态口令,OA不开通外网直接访问权限,用户通过IE输入SSL
VPN的地址,配合动态令牌访登录内部系统。此方案可以达到内网用户不做任何更改,外网用户需要登录VPN通过身份认证才可以访问内部应用的效果,达到保
护OA登录安全。
优点:
1. 部署方便,一天之内可以完成
2. 不对内部系统本身构成影响,不影响公司日常办公
3. 增加新系统不需再次进行投资
4. 增加了VPN功能,对公司内外网形成隔离,安全性更高
缺点:
1. 增加了VPN部署费用
2. 需要对原网络设置进行更改
四、系统架构方案2 - OA通过二次开发接口整合动态口令认证
对接步骤:
(1) 部署宁盾dKey统一动态密码认证服务器
(2) 对于不支持标准身份认证的系统需二次开发以支持动态密码身份认证
(3) 将原OA系统的用户信息导入到身份认证服务器,dKey承担统一身份认证功能
优点:
(1)此方案不需要更改公司原来的网络结构和设置
(2)对于内网和外网用户都需要通过动态身份认证才可以登录某个OA系统
(3)更方便实现多应用系统统一动态密码认证
缺点:
(1)由于需要二次开发,因此部署时间长
(2)更改了原系统配置,需进行一段时间测试
五、最终方案
考虑到未来可能接入多个应用系统如:邮件、ERP、OA、CRM、加密,统一动态密码认证且不更改现有的应用习惯,最终选择的方案如下:
(1)登录口采用 工号 + 动态密码方案,并预留双因素做扩展。
(2)系统架构采用在OA系统基础之上做二次开发方案。
(3)考虑到认证系统需要提供7×24小时服务,最终采用2台动态密码认证服务器策略。
-----------------------------------------------------
宁盾专注动态密码身份认证(动态令牌 | 短信密码)
http://www.ndkey.com.cn
电话:021 - 54263385
-------------------------------------------------------
分享到:
相关推荐
Citrix移动办公结合DKEY双因素认证方案
帮助Windows操作系统实现双因素身份认证,保护操作系统登录安全,同时讲述双因素认证实现原理、认证形式、方案优势等
使用Dkey登录 下载Dkey控
ac
上网认证客户端,设置出口IP后即可使用,在那种只能一人一个上网账号的学校尤其好用。
锐捷认证MacOS版v1.30
设备接口具备:" " "火墙 " "华为 " 4个千兆电口、2个千兆光口,1个RJ45串口,支持故障时BYPASS, " " " " " "多合一功能集成,需提供产品具备传统防火墙、流量管理、应用控制、僵尸网络检测、IPS入侵防 " " " " " ...
设备接口具备:" " "火墙 " "华为 " 4个千兆电口、2个千兆光口,1个RJ45串口,支持故障时BYPASS, " " " " " "多合一功能集成,需提供产品具备传统防火墙、流量管理、应用控制、僵尸网络检测、IPS入侵防 " " " " " ...
SANGFOR_SSL_v5.X_DKEY登陆配置指导.pdf
const dkey = this.need; response.data.dkey 这样发现获取不到数据,这是因为vue.js把dkey当成data里的某一个key了,类似于上面的”cn”。 折腾了很久才突然想起,这个data其实类似一个数组,我们可以像使用数组...
第3行为输入:sKey iKey dKey 第一行输出中序序列 第二行输出最小值、最大值 第三行输出查找sKey的结果 第四行输出查找后的中序序列 第五行输出插入iKey后的中序序列 第六行输出查找iKey的结果 第七行输出删除dKey...
JavaScript对于多项数据的请求和处理过程中,如何实现常常困扰很多程序员,如何进行动态编辑和删除而不影响其他的数据项,今天介绍一种方法,可供借鉴,例如通过XmlRequest请求到如下数据: 代码如下: ...
iphone .ipa文件。
媒体直接 使用正常的Mediafire文件下载URL,该网站应自动重定向到直接下载URL。 用法 您可以转到网站,然后输入要直接下载的Mediafire链接。 或者,您可以为下载链接添加任何格式的前缀,或者仅使用它的下载标识符,...
采用绑定机器模式,支持转绑,24小时可转绑一次,代码写得很工整,熟悉ASP可以自己扩展功能,暂时不支持多软件管理,开发到一半才想到这个功能,要修改很麻烦我就这样先凑合用 有改进建议和BUG欢迎提出!! 使用说明...
当前功能从手动定义的XML生成外部为支持JSDuck和YUIDoc的库生成JS extern 最初对绑定本机C ++库的支持用法BuildHX易于使用: haxelib run buildhx [options] build.xml...其中的选项是: -v,-verbose详细输出。 -...
广告主在落地页页面上截取访问 url 上的 dkey 参数,作为深度转化接口的参数之一回调豆盟深度转化接口。dkey 的保存方式:若广告主为用户填写表单形式触发
遵循以下步骤完成编译和安装:```shellcd Camkit_source_dirmkdir buildcd buildcmake ../ -Dkey=valuemakemake install```其中**-Dkey=value**是可以配置的选项,支持的选项如下:1. DEBUG=ON|OFF,是否打开调试...
CDKEY序列号CDKEYCDKEYCCDKEY序列号DKEY序列号序列号序列号CDKEY序列号
采用绑定机器模式,支持转绑,24小时可转绑一次,代码写得很工整,熟悉ASP可以自己扩展功能,暂时不支持多软件管理,开发到一半才想到这个功能,要修改很麻烦我就这样先凑合用 使用说明: 把压缩文件中b文件夹的...