成功案例 SUCCESS STORIES
案例背景
河北省某电力公司原有的机房服务器登录均是使用系统默认静态密码登录的方式,用户名+静态密码即可登录系统,通常多名员工均知晓该登录信息,导致无法控制管理服务器登陆,存在巨大隐患。目前多项国家文件和政策均提到了等级保护工作的重要性。对此,该电力公司希望对登陆服务器的员工身份进行认证,确保是本人登陆,并有据可查。
客户需求
实现服务器登陆员工身份认证,同时为了满足国家等级保护要求,该电力公司提出以下需求:
对服务器登陆员工进行身份认证,最大程度确保为本人登陆;每一次登陆均有据可查;需要提供令牌管理平台,该平台做绑定、解绑、挂失、解挂、同步、解锁等操作。
安术方案
按照国家标准GB17859-1999《计算机信息系统安全等级保护划分准则》要求,针对该电力公司的需求,对登陆服务器的员工身份认证,确保本人登陆。《信息系统安全等级保护实施指南》明确指出需要从物理安全、网络安全、主机系统安全以及应用安全方面着手于身份鉴别,身份鉴别在任何级别中,任何层面都是必不可少的。为服务器安装客户端Agent,更改操作系统认证核心,操作系统变更为安术登陆对话框,例如Windows系统,更改Windows登陆Agent,以安术登陆对话框替代,可输入动态密码进行认证,如下图:
部署安术认证服务器,通过Agent软件配置登陆机制,将客户端认证地址指向安术身份认证服务器,配置为动态密码登陆的用户组中所有用户均必须通过管理中心绑定动态令牌,当该用户进入操作系统时必须输入其绑定令牌当前动态口令才允许登陆操作系统,最大程度确保为本人登陆,且安术身份认证系统日志中会记录每一次登陆,有据可查。
安术在认证服务器上部署令牌管理中心,提供令牌管理操作,能够完成令牌的绑定、解绑、挂失、解挂、同步、解锁等操作。