新闻中心

返回

宁盾数据中心网络设备、服务器、数据库密码安全管理办法

日期:2017-11-20  来源: 点击量:

1.存在问题

数据中心网络设备、服务器、数据库登录账号共享情况比较普遍,甚至还包括离职员工以及外包人员,通常一个账号多个人共同使用,这就造成了发生安全事件后难以定责的尴尬局面。且静态的口令也容易被获取和暴力破解。一般数据中心的账号密码是由IT运维人员或者开发人员手工创建的,为了能够应对紧急情况,这些密码通常尽量设置得简单易记,因此密码强度不够。

禁止对数据中心网络设备、服务器、数据库的非授权访问是数据中心安全的一项必要条件。为了获得更高的安全水平,传统的应对方式通常是要求不定期修改账号密码。但如果数据中心很大的话,修改和管理工作量很大,而且很繁琐。
因此,为保证数据中心中设备及数据的安全,需要一个能够对整体数据中心做统一认证与密码安全保护的解决方案,有效控制非授权访问,消除弱身份鉴别带来巨大安全漏洞。

2.方案描述

宁盾数据中心网络设备、服务器、数据库密码安全管理方案拓扑如下:

方案通过实施建立网络设备、服务器、数据库的统一认证平台,并通过动态密码与账号绑定,实现对入口的安全保护, 在实现密码安全合规的同时,还大大减少了定期更新口令的繁琐工作,提高密码管理效率,同时满足了系统安全性要求,避免账号共享及泄露情况,发生安全事件后,能准确定责,是目前最有效的数据中心账号密码安全管理办法。
宁盾动态密码形式有手机APP令牌、硬件令牌等。

3.应用场景

3.1交换机、路由器等网络设备登录保护

交换机、路由器等网络设备可通过设置RADIUS SERVER,将用户名和密码发送到双因素认证服务器,进行双重账号安全保护。

统一管理网络设备动态密码登录,提升账号密码强度,保护账号安全,避免定期修改密码。

3.2服务器登录保护

宁盾双因素认证可以保护Linux、Windows等系统的本地登录、远程登录。Windows服务器通过客户端内置插件实现登陆保护。Linux则通过PAM RADIUS模块为类Unix系统提供动态口令的强认证保护。
在Windows服务器将Radius Server 地址指向宁盾系统,并在宁盾系统设置被保护的服务器IP地址即可。

Windows服务器结合宁盾双因素认证登录,实现效果如下:

3.3数据库登录保护

静态密码只能对数据库用户身份的真实性进行低级认证。宁盾双因素认证在数据库系统原有静态密码认证基础上增加第二重保护,通过提供手机令牌、硬件令牌等动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。
以oracle数据库为例,以下为与oracle与宁盾双因素认证结合流程图:

登录过程:

SQL Developer连接测试