福利彩票安全方案书

福利彩票安全方案书内容摘要：

的技巧），其中包括中间人攻击和竞争攻击。 而且一次性密码依然是单因素认证，而不是我们所说的强力用户认证。 因为这些缺陷，任何听到或窃取密码的人都会显得完全真实。 如下图： 因此有必要增加第二个物理认证因素，从而使认证的确定性按指数递增。 安盟 SecurID双因素身份认证就是这样一种强身份认证解决方案，它可确认网络连接的另一端是谁，提升企业网络资源保护的安全级别。 三、 重庆市福利彩票发行中心 网络系统安全解决方案 1 解决方案 我们认为，绝对安全与可靠的信息系统并不存在。 一个所谓的安全系统实际上应该是“使入侵者花费不可接受的时间与金钱，并且承受很高的风险才能闯入”系统。 安全性的增加通常导致企业费用的增长，这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等等。 安全是一个过程而不是目的。 弱点与威胁随时间变化。 安全的努 7 力依赖于许多因素，例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安全漏洞。 针对 福利彩票发行中心 身份认证现状， 为了达到安全、可靠、稳定的工作状态，我们建议选用 安盟双因素身 份认证技术 2 双因素身份认证介绍 1 安盟双因素身份认证技术简介 强大的用户认证系统 安盟安全解决方案建立在 “双因素认证 ”之基础上。 该方法的前提是一个单一的记忆因素，如密码 ,但密码本身只能对真实性进行低级的认证因为任何听到或盗窃密码的人都会显得完全真实。 因此需要增加第二个物理认证因素 ,以使认证的确定性按指数递增。 例如，银行 ATM 卡就是一个广泛采用的双因素认证机制， ATM 卡需要将有效卡和PIN（个人身份号码）结合使用，提供了足够的安全级别，以支持用户对银行服务及资金的访问。 借助强大的用户认证系统 SecurID 安盟安全解决方案，可以向授权的员工和 投注站 发放单独登记的设备 ,以生成个人使用的令牌代码，这一代码可以根据时间码算法而变化。 每 60秒就会生成一个不同的令牌代码 ,保护网络的认证服务器能够验证这个变化的代码是否有效。 每个认证设备都是唯一的。 别人不能通过记录以前的令牌代码来预测将来的代码值。 这样，如果某个用户提供了一个正确的令牌代码 ,就可以高度确信该用户即拥有安盟安全认证令牌的合法用户。 2 SecurID 双因素身份认证 解决方案图 在 福 利彩票发行中心 网络 系统与外界连接处进行网络访问控制，正确区分外部网络用户的身份，区分其是进行查询，修改还是管理维护，提供基于用户的访问规则，针对不同的用户和用户的不同存取要求授予其不同权限，禁止非法用户进入 福利彩票发行中心 网络 系统。 网络访问控制系统不仅能够按照来访者的 IP 地址区分用户，还应该对来访者的身份进行验 证。 如图： ACE/ Agent ACE/Server Token 8 安盟 SecurID 双因素身份认证针对重庆福利彩票发行中心的解决方案由三部分构成： （ 1）、安盟 SecurID 身份认证令牌 它是分发给最终用户的，是安盟 SecurID 双因素身 份认证的一个因素（您所拥有的），产生一分钟变化一次的动态令牌码。 （ 2）、安盟 ACE/Agent 代理软件 安盟 ACE/Agent 就象安全卫士，它已经嵌入了目前大多主流 VPN/防火墙产品中，它实施安盟 ACE/Server 建立的安全策略。 通过安盟 ACE/Agent 的远程访问认证组件，可以 保护 企业 Intra 资源不被非法访问。 在远程 VPN 用户与企业网络建立安全隧道前，安盟 ACE/Agent 截取访问请求，要求指定用户或组织在获准访问被保护的企业Intra 资源之前，通过一个安盟 SecurID 身份认证令牌向 安盟 ACE/Server 证明其合法身份。 （ 3）、安盟 ACE/Server 安盟 ACE/Server 是安盟 SecurID 双因素身份认证解决方案中的安全服务器，包括三个主要部分：包含用户、令牌和客户机信息的数据库；身份认证引擎以及一个管理程序。 安盟ACE/Server 用来在选定的网络资源周围建立一个保护环境，对要求访问企业 Intra 资源的远程 VPN 用户进行身份认证。 除了处理远程 VPN 用户的访问请求认证，安盟 ACE/Server还可进行企业网安全策略管理，它提供了集中式安全管理能力，向信任的个人签发认证 令牌证；设置并实施安全策略，保护对专用网络系统、文件及应用的访问，其中包括可以根据每天的时间、周几或根据小组或用户定义的权限来确定访问权限；创建用户访问日志，进行审计跟踪；定义和报告报警情况，如某个网络端口访问失败重试次数等。 3 双因素身份认证原理 9 整个解决方案是由服务器、客户端和中间代理软件协同完成的：企业的安全管理员根据自己的实际情况在安盟 ACE/Server 中进行安全策略的设置，对安盟 ACE/Agent 进行适当配置。 当远程用户试图访问受保护的系统时，防火墙设备中内置的安盟 ACE/Agent 代理软件将启动一个安盟 ACE/Server 认证会话，而不是传统的基本密码会话。 在强大而又简便的认证会话中，用户只需输入用户名及由安盟 SecurID 身份认证令牌生成的用来代替密码的令牌代码，外加一 PIN 号码即可。 认证步骤少，不会给用户造成负担。 安盟 ACE/Agent 会实施安盟 ACE/Server 中根据用户实际情况建立的安全策略，它先使用只有保护的设备才知道的其他数据。 把用户提供的信息打乱，然后再一部分一部分地传输给安盟 ACE/Server。 安盟ACE/Server 接到用户的认证请求后，将查询本地用户数据库， 在定位用户名后，它把接到的令牌代码和 PIN 码与本身记录进行比较。 如果发现令牌代码和。