一、背景分析

水利部办公厅印发《2020年水利网信工作要点》，要求补水利网络安全短板，包括实施网络安全能力提升工程，开展关键信息基础设施保护专项行动。在网络安全能力提升方面具体要求为建成基于大数据的水利部机关网络安全威胁感知和决策指挥平台，提升网络安全监测预警和应急响应能力；推进实施七个流域管理机构网络安全能力提升工程；推动地方开展水利网络安全威胁感知能力建设。完成水利政务外网 身份认证体系改造。

首当其冲的就是身份相关的威胁，这些威胁如果不能很好的防御，极易导致账号泄露、数据泄露等重大安全事件，给带来难以挽回的损失。要解决新形势下的身份安全问题，靠传统的功能，传统的技术手段是远远不够的，企业单位迫切需要采用新型的身份认证解决方案。

福建水利厅很早就认识到很少定期更改口令所存在的安全隐患最基本、最简单的口令问题已经成为网络安全最薄弱、最容易被忽视的问题；率先在业务系统中应用强认证动态口令硬件令牌，采用OTP（One Time Password）方式为用户提供安全认证，现水利厅内部采用硬件令牌进行安全认证。

二、建设内容

1）定制硬件令牌，实现统一的认证管理；系统满足1万用户使用；系统应用的场景包括信息化软件、网络设备、服务器、等，应用场景无限制。

2）系统支持系统内自建用户，支持集成LDAP、AD协议用户，支持集成自建用户系统，具有用户同步功能，实现统一用户管理。

3）系统集成短信网关，支持短信认证。在现有业务系统帐号+密码基础上增加动态口令认证，提升认证安全，减少密码管理开销，满足多业务系统、多帐号源管理及复杂网络部署环境；

三、技术突破

中科恒伦协助福建水利厅建设统一安全的双因素身份认证系统（硬件令牌），以便确保合适的人在合适的时间访问适当资源；解决由口令泄露导致的入侵问题，在静态口令的基础上，增加动态密码进行认证，避免口令泄密带来的安全隐患。

四、应用价值

• 提供多种动态令牌形式，按需组合使用，多种组合方式可以为同一客户多个应用系统或者同一应用混合使用。

  
  

• 支持多种异构账号源满足大型组织多账号源认证，可以统一维护管理；同时支持RADIUS、TACACS+协议、LDAP协议。

  
  

• 支持多种应用、多种网络设备、多种操作系统的统一接入，具备良好的扩展性，支持国内、国际多种算法。内置指纹及人脸识别算法，便于后期生物识别的应用扩展。

  
  

• 支持跨平台部署，总拥成本及管理成本低，支持HA。并支持国产化操作系统部署。

  
  

• 自定义认证策略，实现安全、管理、成本三者合理平衡；有独立用户自服务平台，管理更加灵活；支持在线和离线两种认证方式。

  
  

• 详细的记录用户的管理日志、认证日志、命令授权日志、授权日志等，并支持SQLlog日志上传。

  
  

• 能够与现有企业应用系统无缝 集成，提供API、SDK、源代码等多种集成方式，并提供各种开发语言的代码示例。

  
  

• 可以灵活的实现各种策略下发、管理、授权，并可以对特定的组、角色等进行分组、分角色进行管理