制造业NPI区域的邮件安全管控如何借助MFA多因素认证实现？

在制造业中，NPI（New Product Introduction，新产品导入）区域是指专门负责新产品从概念到市场推出全过程的部门或团队。NPI 的目标是确保新产品能够高效、高质量地投入生产，并顺利满足市场需求。在支撑企业持续创新和竞争力提升方面扮演着关键角色。由于 NPI 区域涉及大量敏感数据和设计信息，企业往往会采取严格的安全措施保护数据免受未授权访问和泄露。

以某制造企业为例，分享一下宁盾对 NPI 区域邮件系统结合 MFA 多因素认证进行安全管控的方案思路。

某大型制造企业针对 NPI 区域的邮件管控采用 UserLock 访问控制软件进行管理，由于预算缩减，打算寻找替换产品。经过售前沟通，客户认为宁盾 MFA 多因素认证在投入成本及功能上符合需求，且能根据客户需求灵活地设置条件和策略，如筛选用户组、角色、终端类型、IP、主机名称等实现用户过滤、终端过滤、动态口令暗语前缀、登录时间限制、登录日志审计等目的，让客户借助多因素认证技术因地制宜地满足安全管控目标。

图源：宁盾

基于“动态口令”二次验证的账号加固方案

多因素认证（Multi-Factor Authentication, MFA）是一种安全机制，通过要求用户在登录系统/设备时提供两种及以上的身份验证因素，以增强账户的安全性。在宁盾 MFA 多因素认证解决方案中，第二种身份验证因素通常为动态口令（Dynamic Password，OTP、TOTP）。动态口令生成器不同，也就有了多种多样的动态令牌形式。

图源：宁盾

其工作原理简单概述如下：

软件部署完成后，将需要启用 MFA 多因素认证的应用/设备 RADIUS 认证地址指向宁盾 MFA 多因素认证服务端地址，对接客户账号源，两边配置完后，给作用域内的用户派发动态令牌，用户激活令牌方可正常使用。

1. 认证服务器动态口令：认证服务器存储令牌种子，将其与用户账号绑定，在服务器内生成该用户可用的“动态口令”；
2. 动态令牌口令：动态令牌激活令牌种子，生成动态口令。当用户登录认证时，输入账号、静态密码和动态口令，认证服务器与服务器内动态口令进行对比，完成整个校验过程。

图源：宁盾

相较于账号和静态密码单一认证，基于“动态口令”的二次验证加固了账号密码的安全性，每一个动态口令都是唯一且一次性的，有效防止不法分子利用泄露的应用/设备账号密码访问企业重要数据，实现安全管控的目标。

在易受攻击的场景，加强动态口令身份鉴别

除了 NPI 区域的邮件需要安全管控，最容易受到不法分子攻击的通常是网络边界处，如 VPN、虚拟化、网络连接入口、邮箱等，一旦进入企业网络，业务系统、服务器、数据库等重要资产均会成为下个攻击目标。因此，无论是网络边界处还是内部重要资源的的安全防护，均可以通过 MFA 多因素认证对访问这些资源的用户身份进行增强鉴别，确保该访问人的身份安全可信。

图源：宁盾

从用户维度出发，多措并举提升用户体验

图源：宁盾

尽管安全与体验无法并存，但用户使用过程中的环节优化却实打实地为宁盾 MFA 多因素认证赢得客户尊重。例如，大型制造业员工规模庞大，建议企业开启用户自服务及云端同步备份功能，原因在于：

1. 用户不可避免地存在令牌误删、更换手机等问题，常规途径是需要企业 IT 管理员帮助操作解换绑令牌，不仅造成 IT 任务繁重，也会影响用户的使用体验乃至办公效率；
2. 云端同步备份适用于事前预防：开启云端同步备份后，手机APP令牌里的动态口令会备份到微信小程序中，当用户误删了已激活的动态口令或更换手机后，通过云端同步可找回之前的令牌；
3. 用户自服务平台适用于事中处理：开启用户自服务平台后，用户可在平台上自行解换绑令牌、修改手机号/密码等，无需管理员协助；
4. 用户账号密码若依据密码定期修改策略，存在过期修改/重置现象，用户可在自服务平台或在动态口令认证界面自助修改/重置密码，大大提升用户体验，释放运维人效。详情可点击：新功能揭晓！宁盾RADIUS认证提供自助改密快速通道

在已知的因账号密码泄露或被破解导致的恶意攻击事件里，采用 MFA 多因素认证技术可以显著降低账户被非法访问的风险，且相比于其他安全措施，MFA 方案成本投入更低，效果更明显。在涉及到需要保护企业重要信息资产的办公、研发、生产、运维环境，MFA 多因素认证可以广泛覆盖，全面提升账户安全。