随着信息技术的迅速发展，企业应用架构不断创新，员工移动办公的需要、远程分支机构的建立、信息网络的建设等等，导致了另外一个问题的出现：企业提供服务的接入环境日趋复杂化、危险化。

企业使用了办公系统、内部邮件系统，上了财务软件、ERP，CRM等N多系统。这些应用系统可能来自不同的供应商，有基于C/S结构开发的，也有 基于B/S结构开发的；应用系统有基于WINDOWS平台的，也有基于LINUX平台的。

 

企业在不同时期，针对不同岗位采购的设备千差万别，有台式电脑、 笔记本以及其它终端设备；各地的上网方式也是五花八门，有专线、VPN、ADSL，还有无线等。企业的远程分支机构、出差移动人员或合作伙伴，却需要能够 安全、快速随时随地接入，保证对企业的关键应用程序和信息资源的实时访问。

 

成功的企业接入方案将会使企业的应用系统发挥出更大的价值。

 提及网络安全，人们都倾向于关心防火墙、防病毒、入侵检测和系统漏洞等方面。实际上网络设备的口令安全更为突出(有些还可能是初始密码)，一旦这些设备被攻破。无异于控制了整个防御系统。

 

解决网络设备的安全登录，并实现对网络设备的安全管理，是企业目前要考虑的安全问题。

VPN（Virtual Private Network）虚拟专用网络，是通过在公共的网络环境中建立专用通道进行数据传输的一种技术。虚拟专用网不是真的专用网络，但却能够实现专用网络的功 能，在公共网络环境中虚拟通道，可以达到降低成本的目的。

 

据估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%-45%，基于这一优势，近几年的VPN在企业中应用越来越多。但是，由于VPN是在不 安全的Internet中进行通信，而通信的内容可能涉及到企业的机密数据，企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户 对网络资源或私有信息的访问，因此VPN存在的安全隐患问题就显得非常重要。

 

 信息安全问题是信息化系统建设必须考量的问题之一。从网络到应用，各种各样的安全保障机制随着安全的需要不断的更新着。各种应用系统的正常运行都离不开其所依赖的操作系统，操作系统的安全隐患可能会导致应用系统安全的失效。

 

操作系统的安全涉及身份认证、边界防护、补丁更新、关闭没有使用的服务、数据加密、备份、不间断电源支持以及入侵检测等很多方面。其中，身份认证是取得系统管理权限的手段，一般使用比较普通的“用户名＋口令”的方式登录，这种基 于静态口令的登录认证存在很多的隐患，《2008年度全球密码调查报告》结果显示：为了防止遗忘，50%的员工仍将他们的密码记录下来；超过三分之一的被 调查者与别人共享密码；超过80%的员工有三个或更多密码；67%的被调查者用一个密码访问五个或五个以上的程序或系统，另有31%访问九个或更多程序或系统。

 

从安全角度考虑，我们很容易理解和接受密码，不过，随着密码应用范围的增多，密码被忘记、丢失、偷听、窃取的几率也在增加。随着信息数据的增多和重要性加强，需要更好的技术来保证密码的安全和增强操作系统的登录安全。

 

ESS是宏基恒信自主开发的用于企业内部网络身份认证的安全服务平台，该平台提供了用于企业内部网络应用的统一认证、交易授权、交易鉴别、日志管理、业务管理等综合的内网安全解决方案。

 

企业可利用ESS内网安全解决方案，快速建成适用于企业内网的统一安全服务系统，该系统应可提供如下功能及特性：

1      提供统一的身份认证管理；

2    支持主流的网络设备（如路由器、交换机、防火墙、VPN等），通过RADIUS的第三方转发认证, 进行网络设备的CONSOLE口令设置，实现对网络设备的管理；

3       支持网络设备自身的用户登录和远程用户登录（拨号用户、VPN用户、TELNET、FTP 等）；

4       提供Radius认证服务，支持VPN安全认证；

5      支持Winodws XP/2003，LINUX、AIX等主流操作系统安全认证；

 

传统的“用户名”＋“静态密码”的身份认证方式又存在着极大的安全隐患，密码容易被窃。采用生物识别技术的身份认证，其成本偏高，且对使用 环境有比较高的要求。针对这一现状，宏基恒信推出了基于动态口令认证技术的双因素身份认证解决方案（ESS），可以有效解决企业远程接入身份认证、企业网络设备登录、VPN安全身份认证及操作系统身份认证等内网登录安全问题。。

 

无论用户登录公司的业务系统，还是网络设备都可以集中进行身份认证处理，同时支持本地访问用户和远程访问用户。对于网络设备，只需做简单配置即可；对于应用系统，只需进行简单的改造也可以和身份认证服务器互联。

 

 

 

 

 

 

     1、网络管理员可以通过Telnet方式连接到网络设备时，输入用户名后，系统将在登录窗口要求用户输入动态口令，用户打开自己的动态口令牌，生成动态一次性口令作为登陆网络设备的密码。

 

   2、网络设备使用Radius通用协议到双因素身份认证服务器请求该用户当次密码是否能授权该用户进入网络设备，双因素身份认证服务器返回认证结果给网络设备。

    

   同理VPN登录用户打开的VPN Client，在登录界面输入用户名，并用自己的动态口令令牌生成一个一次性的口令，作为密码填写在登录窗口中，进行登录即可。

 

   采用双因素身份认证登录应用系统时，需要业务操作员输入“用户名”、“静态密码”以及“动态密码”，动态密码来自令牌显示，实时变化。输入这三项内容后即可进行登录验证了。

 

 

 

该方案充分利用动态密码技术，口令一经使用即刻失效，保证每一次都是新的口令。通过认证服务器，统一认证来自网关设备的VPN用户认证请求。

 

    在远程用户获准访问内部网络资源前，必须对用户进行强身份认证。应用集联双因素身份认证解决方案，可确认远程拨号访问的那一端是谁，确保只有合法的用户才能够 访问内部网络资源，从而提升网络资源保护的安全级别。

 

  
     主流的网络设备（如路由器、交换机、防火墙、VPN等）都兼容动态口令令牌，通过RADIUS的第三方转发认证, 进行网络设备的CONSOLE口令设置，实现对网络设备的管理。

 

   网络设备自身的用户登录和远程用户登录（拨号用户、VPN用户、TELNET、FTP 等）,也可以采用动态口令令牌技术。

 

   企业开放远程接入，极大提高了企业系统的应用范围，同时也等于把企业核心信息暴露了出来，因此，加强对访问者身份的鉴别成了至关重要的一环。宏基恒信推出的ESS企业认证服务平台真是基于动态口令认证技术的双因素身份认证系统，可以有效避免传统登录模式的安全隐患。

   认证客户端认证信息的输入及认证流程符合传统的习惯既用户ID+口令的一次性认证，用户使用时不需要在交易客户端输入其他的附加信息，使用方便； 并有方便、安全的应急交易系统。

   中心认证系统采用基于标准认证协议与网络接入设备连接，系统实施方便易于扩展，既保证了系统的运行效率，也不会减低系统的稳定性、可靠性。

 

   认证客户端认证信息的输入符合原固定口令模式及长度，所有的交易客户端不需要改造，大大降低了实施成本，缩短了改造周期同时降低了系统改造的风险

 

  北京宏基恒信科技有限责任公司是国家认定的高新技术企业、软件企业，致力于为金融机构提供安全服务、产品和技术。公司是国家密码管理局批准的密码产品生产单位、销售单位。拥有多项知识产权和专利，自主开发了企业认证服务平台和电子交易安全服务平台，其中电子交易安全服务平台已在中国银行、光大银行、国泰君安证券、中信金通证券等企业得到了应用，是国内现今唯一的千万级的多介质，多通道综合认证交易运行平台。