2023年，多因素认证（MFA）凭借在防钓鱼攻击、提升身份安全上的巨大作用，获得了全球企业的高度认可。登录账户时扫个码、刷个脸、输个口令，成为了员工的“标配”。

看起来很简单的MFA，对厂商技术实力的要求却很高很全面。认证因子的选择、认证环境的安全、身份信息的存储、与原有IT架构的融合......厂商只有全面掌握了的底层技术，积累了丰富的项目经验，才能让MFA安全、易用，成为IT系统的“门神”，更好的守护企业的网络安全和数据安全。

项目背景

近年来，某汽车厂商通过产业链与数字技术深度融合，促进生产制造环节向研发设计、整车制造、品牌营销、客户服务等高附加值环节拓展，支撑了公司的持续快速发展。随着IT架构的日益复杂、业务应用的不断增多，某汽车厂商的身份安全问题日益突出，堡垒机和研发云桌面两个事关企业核心数字资产的IT基础设施亟需提升身份安全水平。

1.堡垒机：堡垒机是企业核心的安全运维管理设备，其账号密码不容有失。某汽车厂商的堡垒机采用账号+密码的认证方式，虽然采取了强制定期改密、提升密码强度等措施，但是身份认证的因子仍旧比较单一，安全性不足，也无法满足日趋严格的网络安全合规要求。

2.研发云桌面：某汽车厂商的某研发部门部署了云桌面，研发人员可以随时随地接入云桌面办公。但云桌面仍旧采用传统的账密认证，身份认证的安全性难以保证。一旦员工的账号被窃取，企业的研发核心资产将遭受重大损失。

方案设计

针对某汽车厂商的实际需求，芯盾时代基于完整的身份安全产品体系、丰富的大型企业身份安全项目经验，采用用户身份与访问管理平台（IAM）、身份认证App，为某汽车厂商设计了多因素身份认证系统。方案设计如下：

1.用户身份与访问管理平台（IAM）：将IAM与钉钉对接，在IAM服务端生成口令，在钉钉页面显示。利用IAM管理堡垒机、研发云桌面的身份认证环节，实施多因素认证。

2.身份认证App：基于芯盾时代自主研发的移动认证技术，为某汽车厂商提供多因素认证能力。App内置设备指纹模块、智能终端密码模块、终端威胁态势感知模块，通过对终端的唯一性识别，证书和密钥的安全生成、存储、调用，以及手机安全环境的检测，将手机打造成移动U盾，保证身份认证过程、身份信息存储的安全。

客户价值

部署芯盾时代多因素认证系统后，某汽车厂商实现了堡垒机、研发云桌面的多因素认证，提升了身份安全水平，保障了公司的核心数字资产的安全。

1.提升身份安全水平，保证核心资产安全

实施多因素后，某汽车厂商堡垒机、研发云桌面的安全性得到了提升，能够更好的防范撞库攻击、网络钓鱼等网络攻击，保障公司特权账号、研发数据等数字资产的安全。

芯盾时代凭借全面的身份认证技术，为某汽车厂商建设了安全性能强大的身份认证App：采用设备指纹为终端设备形成唯一的识别码，实现员工账号与设备的强绑定；采用智能终端密码模块，对身份进行加密存储，保证在白盒环境下身份信息的安全；使用终端威胁态势感知模块，监控终端设备的环境安全，避免App在不安全的环境中运行。

2.多种认证方式可选，安全与体验兼顾

芯盾时代的解决方案提供短信令牌、手机令牌、钉钉令牌等多种认证方式，客户可根据需求自由选择与组合。改造完成后，某汽车厂商减少了因堡垒机、云桌面强制定期改密给员工与运维人员造成的不便，既提升了员工的体验，也减低了IT运维的工作量。

3.与原有设备无缝对接，减低改造成本

凭借丰富的项目经验，芯盾时代帮助某汽车厂商顺利完成了多因素认证系统与堡垒机、研发云桌面的对接，无需改变原有的账号管理模式，大幅缩短了改造的时间与成本。

多因素认证系统还能够兼容各类网络设备、操作系统、网站及应用，可无缝支持AD/LDAP账号源、Web内建账号源，便于某汽车厂商后续拓展应用范围，对更多设备、应用实施多因素认证。

4.满足合规要求，系统可控可靠

芯盾时代的多因素认证方案具有完全知识产权，采用国产密码算法，满足网络安全等级保护和密码应用安全性测评要求，支持国产化适配，满足了某汽车厂商的合规需求。

芯盾视点

当前，我国制造业的数字化转型不断加速，制造业企业纷纷将数字技术与产业链深度结合，为业务持续赋能。制造业企业的数字化转型往往采用“小步快跑”的策略，先试点后铺开，先外围后核心，先办公后生产。“身份”作为数字化业务的基石，天然适合作为制造业企业数字化转型的突破口。某汽车厂商的此次改造，借助体系化的多因素认证系统，提升了核心资产的安全性，具有很高的参考价值。