在制造業(yè)中，NPI（New Product Introduction，新產(chǎn)品導入）區(qū)域是指專門負責新產(chǎn)品從概念到市場推出全過程的部門或團隊。NPI 的目標是確保新產(chǎn)品能夠高效、高質(zhì)量地投入生產(chǎn)，并順利滿足市場需求。在支撐企業(yè)持續(xù)創(chuàng)新和競爭力提升方面扮演著關鍵角色。由于 NPI 區(qū)域涉及大量敏感數(shù)據(jù)和設計信息，企業(yè)往往會采取嚴格的安全措施保護數(shù)據(jù)免受未授權訪問和泄露。

以某制造企業(yè)為例，分享一下寧盾對?NPI 區(qū)域郵件系統(tǒng)結合?2FA?雙因素身份驗證進行安全管控的方案思路。

某大型制造企業(yè)針對 NPI 區(qū)域的郵件管控采用?UserLock?訪問控制軟件進行管理，由于預算縮減，打算尋找替換產(chǎn)品。經(jīng)過售前溝通，客戶認為寧盾?2FA?雙因素身份驗證在投入成本及功能上符合需求，且能根據(jù)客戶需求靈活地設置條件和策略，如篩選用戶組、角色、終端類型、IP、主機名稱等實現(xiàn)用戶過濾、終端過濾、動態(tài)口令暗語前綴、登錄時間限制、登錄日志審計等目的，讓客戶借助雙因素身份驗證技術因地制宜地滿足安全管控目標。

圖源：寧盾

基于“動態(tài)口令”二次驗證的賬號加固方案

雙因素身份驗證（Multi-Factor Authentication,?2FA）是一種安全機制，通過要求用戶在登錄系統(tǒng)/設備時提供兩種及以上的身份驗證因素，以增強賬戶的安全性。在寧盾?2FA?雙因素身份驗證解決方案中，第二種身份驗證因素通常為動態(tài)口令（Dynamic Password，OTP、TOTP）。動態(tài)口令生成器不同，也就有了多種多樣的動態(tài)令牌形式。

圖源：寧盾

其工作原理簡單概述如下：

軟件部署完成后，將需要啟用?2FA?雙因素身份驗證的應用/設備 RADIUS 認證地址指向寧盾?2FA?雙因素身份驗證服務端地址，對接客戶賬號源，兩邊配置完后，給作用域內(nèi)的用戶派發(fā)動態(tài)令牌，用戶激活令牌方可正常使用。

• 認證服務器動態(tài)口令：認證服務器存儲令牌種子，將其與用戶賬號綁定，在服務器內(nèi)生成該用戶可用的“動態(tài)口令”；
• 動態(tài)令牌口令：動態(tài)令牌激活令牌種子，生成動態(tài)口令。當用戶登錄認證時，輸入賬號、靜態(tài)密碼和動態(tài)口令，認證服務器與服務器內(nèi)動態(tài)口令進行對比，完成整個校驗過程。

圖源：寧盾

相較于賬號和靜態(tài)密碼單一認證，基于“動態(tài)口令”的二次驗證加固了賬號密碼的安全性，每一個動態(tài)口令都是唯一且一次性的，有效防止不法分子利用泄露的應用/設備賬號密碼訪問企業(yè)重要數(shù)據(jù)，實現(xiàn)安全管控的目標。

在易受攻擊的場景，加強動態(tài)口令身份鑒別

除了 NPI 區(qū)域的郵件需要安全管控，最容易受到不法分子攻擊的通常是網(wǎng)絡邊界處，如 VPN、虛擬化、網(wǎng)絡連接入口、郵箱等，一旦進入企業(yè)網(wǎng)絡，業(yè)務系統(tǒng)、服務器、數(shù)據(jù)庫等重要資產(chǎn)均會成為下個攻擊目標。因此，無論是網(wǎng)絡邊界處還是內(nèi)部重要資源的的安全防護，均可以通過?2FA?雙因素身份驗證對訪問這些資源的用戶身份進行增強鑒別，確保該訪問人的身份安全可信。

圖源：寧盾

從用戶維度出發(fā)，多措并舉提升用戶體驗

圖源：寧盾

盡管安全與體驗無法并存，但用戶使用過程中的環(huán)節(jié)優(yōu)化卻實打實地為寧盾?2FA?雙因素身份驗證贏得客戶尊重。例如，大型制造業(yè)員工規(guī)模龐大，建議企業(yè)開啟用戶自服務及云端同步備份功能，原因在于：

• 用戶不可避免地存在令牌誤刪、更換手機等問題，常規(guī)途徑是需要企業(yè) IT 管理員幫助操作解換綁令牌，不僅造成 IT 任務繁重，也會影響用戶的使用體驗乃至辦公效率；
• 云端同步備份適用于事前預防：開啟云端同步備份后，手機APP令牌里的動態(tài)口令會備份到微信小程序中，當用戶誤刪了已激活的動態(tài)口令或更換手機后，通過云端同步可找回之前的令牌；
• 用戶自服務平臺適用于事中處理：開啟用戶自服務平臺后，用戶可在平臺上自行解換綁令牌、修改手機號/密碼等，無需管理員協(xié)助；
• 用戶賬號密碼若依據(jù)密碼定期修改策略，存在過期修改/重置現(xiàn)象，用戶可在自服務平臺或在動態(tài)口令認證界面自助修改/重置密碼，大大提升用戶體驗，釋放運維人效。詳情可點擊：新功能揭曉！寧盾RADIUS認證提供自助改密快速通道

在已知的因賬號密碼泄露或被破解導致的惡意攻擊事件里，采用?2FA?雙因素身份驗證技術可以顯著降低賬戶被非法訪問的風險，且相比于其他安全措施，2FA?方案成本投入更低，效果更明顯。在涉及到需要保護企業(yè)重要信息資產(chǎn)的辦公、研發(fā)、生產(chǎn)、運維環(huán)境，2FA?雙因素身份驗證可以廣泛覆蓋，全面提升賬戶安全。