21世紀初，某人力資源科技公司試水HR SaaS賽道，以大客戶為目標(biāo)客群，持續(xù)深耕，穩(wěn)扎穩(wěn)打，如今已是一家專門為中大型企業(yè)提供一體化HR SaaS及人才管理產(chǎn)品/解決方案的頭部企業(yè)。其產(chǎn)品覆蓋了從員工招募、入職、管理到離職的全生命周期，讓企業(yè)實現(xiàn)了人才數(shù)字化管理，人力資源管理效率和人才管理能力得以快速提升。

歷經(jīng)二十余年發(fā)展，該公司業(yè)務(wù)輻射全國，分支機構(gòu)多達20家，員工總數(shù)超2500人。

VPN、堡壘機需滿足安全和審計雙重要求

該公司業(yè)務(wù)遍布全國，各地員工必須借助VPN才能訪問公司內(nèi)部應(yīng)用資源，VPN通過加密辦公時發(fā)送和接收的數(shù)據(jù)來保障信息安全，防止黑客入侵企業(yè)數(shù)據(jù)或通信?！坝捎趥鹘y(tǒng)靜態(tài)密碼因其弱密碼問題具有很大的安全隱患，”該企業(yè)的安全部門負責(zé)人說，“為了保護企業(yè)網(wǎng)絡(luò)更安全，公司需要對VPN進行身份認證加固?！?/p>

除此之外，堡壘機內(nèi)部保存著企業(yè)所有的設(shè)備資產(chǎn)和權(quán)限關(guān)系，是企業(yè)內(nèi)部信息安全的重要一環(huán)。因此，除了VPN外，該公司對堡壘機也有加強登錄賬號密碼安全認證及登錄審計的要求。

針對堡壘機這塊，公司起初選擇了開源的Google身份驗證器Google Authenticator進行雙因子認證，在靜態(tài)賬號密碼的基礎(chǔ)上增加一層動態(tài)口令（OTP）防護，提升賬號登錄安全。“雖然通過谷歌令牌暫時解決了雙因子認證的問題，”安全負責(zé)人繼續(xù)說道，“但令牌是開源的，沒有廠商維護，出了問題都需要自己處理。另外，隨著業(yè)務(wù)不斷擴大，總有些應(yīng)用谷歌令牌無法兼容?！?/p>

近三年該公司收入同比增速超20%，正在籌備上市。公司不斷發(fā)展的同時也面臨著密碼合規(guī)性的問題，該公司每天需要處理上億條數(shù)據(jù)，對安全審計的要求可謂是重中之重。而谷歌令牌作為開源的令牌，無法滿足國家等保相關(guān)的要求。

一次契機，和寧盾的緣分就此開始

“為了解決這一問題，我一直關(guān)注著優(yōu)秀的解決方案。”安全負責(zé)人說：“一次偶然的機會，在云安全聯(lián)盟CSA看到寧盾獲獎解決方案《寧盾人+端一體化身份方案助力金融企業(yè)數(shù)字化轉(zhuǎn)型》，因此和寧盾結(jié)緣?！?/p>

該企業(yè)和寧盾同為CSA云安全聯(lián)盟的成員，CSA云安全聯(lián)盟入會門檻較高，目前，微軟、Workday、SAP、Salesforece、華為、奇虎360、阿里云等國內(nèi)外知名企業(yè)都是 CSA 的合作伙伴，而該企業(yè)和寧盾同在CSA專家組。在一次CSA頒獎典禮上，客戶的安全負責(zé)人初步了解到寧盾雙因子認證解決方案。他說：“選擇合作廠商時，我還是比較謹慎的。經(jīng)過安全圈多方打聽，寧盾十多年來專注于雙因子認證領(lǐng)域，產(chǎn)品功能完善，持有國密證書，在行業(yè)內(nèi)的口碑還是不錯的，這也是我選擇寧盾的重要原因?！?/p>

寧盾雙因子認證是面向企業(yè)全場景的強身份認證產(chǎn)品，滿足 VPN、堡壘機、Citrix、VMWare View、華為桌面云、OutLook、Oracle數(shù)據(jù)庫、服務(wù)器及云服務(wù)器等多應(yīng)用場景登錄時的賬號安全，支持與微軟AD、TDS、OpenLDAP、OpenDJ等多賬號源對接。

● 平均無故障時間達到99.9%以上

作為國內(nèi)領(lǐng)先的HR SaaS及人才管理平臺，該公司對SLA服務(wù)級別協(xié)議有著極高的要求，以確保系統(tǒng)的穩(wěn)定和可控性。安全負責(zé)人說：“我們系統(tǒng)的平均無故障時間（MTBF）可以達到99.9%，所以我們對于合作伙伴的要求是，一定要高于此基準。”

對此，寧盾給客戶提供了本地部署的解決方案，每次升級、部署的次數(shù)和時間完全由客戶自行控制。比如，客戶每年護網(wǎng)前升級漏洞補丁，1次半小時左右，全年更新1-2次的話總時長不超過2個小時，遠高于99.9%的標(biāo)準，而且客戶可以在業(yè)務(wù)少的晚間進行更新，靈活性非常高。

● 首年低成本，快速上線

在收費模式方面，安全負責(zé)人提出：“我們自己就是SaaS訂閱模式收費，從財務(wù)模型的角度，對于軟件我們不傾向于買固定資產(chǎn)。”

這和寧盾的理念一拍即合，區(qū)別于傳統(tǒng)本地部署軟件一次性高收費的模式，寧盾提供按年付費這種靈活的訂閱收費模式。對于想要訂閱模式的客戶，可以首年付較少的金額，快速體驗產(chǎn)品。后期通過對寧盾優(yōu)質(zhì)的客戶服務(wù)、不斷優(yōu)化的產(chǎn)品能力的滿意程度，再選擇是否續(xù)費。

● 從谷歌令牌到寧盾令牌，平滑過渡

由于客戶的堡壘機目前仍在使用谷歌令牌，針對這種現(xiàn)象，基于現(xiàn)有業(yè)務(wù)，寧盾提供谷歌令牌系統(tǒng)維護接管方案和一次性替代兩種解決方案。

方案一：基于現(xiàn)有業(yè)務(wù)，寧盾為客戶提供雙因子平滑過渡解決方案，接管谷歌令牌認證服務(wù)

需要繼續(xù)使用第三方認證服務(wù)的客戶，寧盾可為其提供雙因子認證第三方令牌接管服務(wù)。通過在原認證系統(tǒng)中嵌入式對接寧盾系統(tǒng)，將企業(yè)業(yè)務(wù)導(dǎo)入寧盾系統(tǒng)，實現(xiàn)賬號源、第三方認證系統(tǒng)、寧盾和客戶業(yè)務(wù)場景的一體化對接，負責(zé)認證信息的傳遞和審計。整個過程中，用戶處于無感知狀態(tài)。

新用戶、令牌出現(xiàn)故障或服務(wù)到期時，可通過綁定寧盾雙因子令牌的形式對原動態(tài)令牌進行替換，同時寧盾認證服務(wù)器取代第三方認證服務(wù)器為用戶動態(tài)口令進行校驗和審計。實現(xiàn)第三方雙因子認證業(yè)務(wù)到寧盾雙因子認證業(yè)務(wù)的平滑過渡。采用寧盾雙因子認證平滑過渡方案，可減小企業(yè)動態(tài)口令賬號加固整改力度。

方案二：需要一次性替代方案的客戶，寧盾提供雙因子認證一次性部署方案

通過部署寧盾雙因子認證服務(wù)器取代原認證服務(wù)器，與企業(yè)業(yè)務(wù)系統(tǒng)及賬號源服務(wù)器對接，并根據(jù)員工賬號綁定寧盾令牌。實現(xiàn)動態(tài)密碼登錄加固，保障企業(yè)賬號身份安全。

“由于谷歌令牌主要用于堡壘機，使用的人比較少，”安全負責(zé)人反饋道，“而VPN需要針對全公司2500員工新加雙因子，綜合考慮所有員工的體驗后，最終選擇一次性替代方案?！?/p>

員工滿意和企業(yè)安全，兩不誤！

現(xiàn)在，寧盾雙因子認證產(chǎn)品已經(jīng)在該公司全面使用，無論是VPN、堡壘機還是應(yīng)用系統(tǒng)都得到了加固。

● 快速部署上線

為了能盡快給客戶替換原有的谷歌令牌，滿足企業(yè)安全和合規(guī)的要求。寧盾技術(shù)人員專程趕赴客戶總部現(xiàn)場完成思科VPN和堡壘機的雙因子認證測試和部署。員工手機上安裝寧盾令牌APP，可以生成一個隨著時間變化的一次性密碼，用于帳戶驗證。員工只有先后正確輸入靜態(tài)密碼和動態(tài)密碼，才能接入公司內(nèi)網(wǎng)。

“我們通過郵件的形式給每位員工派發(fā)寧盾令牌，并告知員工如何激活令牌、如何用令牌登錄思科VPN。現(xiàn)在，我們公司2500名員工已經(jīng)很平滑的切換到使用雙因素登錄VPN了?！卑踩撠?zé)人說道。

● 滿足合規(guī)性要求

寧盾令牌提供手機APP令牌、短信令牌、郵件令牌、H5令牌、硬件令牌等多種令牌形式，出于等保要求和便捷性考慮，客戶選擇了手機APP令牌。

“寧盾雙因子認證令牌采用國密SM3算法，擁有國密資質(zhì)，滿足等保合規(guī)要求。”安全負責(zé)人道。

另外，寧盾雙因子認證的登錄日志可詳細記錄用戶的登錄行為及操作行為，一旦發(fā)生泄露事件，可快速定位。

“我們將寧盾雙因子認證產(chǎn)品用于公司各個業(yè)務(wù)場景，”安全負責(zé)人補充道，“現(xiàn)在，員工登錄VPN或堡壘機時都必須使用寧盾令牌進行雙重身份驗證?！?/p>

● 產(chǎn)品具有可拓展性

除了針對VPN、堡壘機進行雙因子認證加固，安全負責(zé)人還提出：“目前公司用的是自己搭建的NPS，針對訪客入網(wǎng)沒做管理，后期想實現(xiàn)訪客的上網(wǎng)管理和審計。”

寧盾有線無線認證通過802.1X認證或Portal上網(wǎng)認證方式對員工、訪客、外包等不同角色提供接入網(wǎng)絡(luò)的身份認證，確保企業(yè)辦公網(wǎng)絡(luò)接入的安全。目前，客戶正在測試短信、員工協(xié)助掃碼、郵件自服務(wù)等方案。

“寧盾可能具有的每一個功能，我們都在使用或考慮使用，”安全負責(zé)人總結(jié)道。

（本文來源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）