您现在的位置是:首页 > IT基础架构 > 网络与安全 >

安全是平的:从身份认证与内网安全说起

2009-12-08 23:04:00作者: 来源:

摘要《世界是平的》是美国《纽约时报》专栏作家托马斯。弗里德曼今年最轰动的著作,继早年的《凌志汽车与橄榄树》之后,弗里德曼再一次将全球化的平坦之路呈现在全球读者面前,只不过,这次的主角是IT。...

《世界是平的》是美国《纽约时报》专栏作家托马斯。弗里德曼今年最轰动的著作,继早年的《凌志汽车与橄榄树》之后,弗里德曼再一次将全球化的平坦之路呈现在全球读者面前,只不过,这次的主角是IT。

  的确,IT产业将全球供应连与市场结合到一起。记者无意去研究宏观IT环境,不过当记者把全部精力投入到安全上面的时候,有趣的结果产生了:安全也是平的。

  从安全网关、防火墙、UTM、防病毒、IDS/IPS、VPN,到内网身份认证、安全客户端、安全日至、网管系统,看似独立的安全产品已经出现了改变,无论是从早先的安全联动、802.1X还是近期的私有安全协议、安全与企业AD整合,都体现出了一个趋势:安全是密切相连的,是“你中有我,我中有你”。

  还记得记者上期写的《悬棋落子----做信息安全必修的五步绝招》一文么?其中信息安全的第一要素就是制定“企业安全规范”,而这个“安全规范”恰恰是企业各部分业务与各种安全产品的整合,涵盖了从存储、业务传输、行为安全、网络基础设施、运行安全、系统保护与物理连接的各个层面。

  换句话说,安全已经不是传统上的单一设备,或者像某些厂商所讲的那种独立于网络的设备。事实上,近三年的发展已经证明,日后信息安全将会逐渐以用户需求的系统方案为核心,而在这套完整的安全方案之内,各部分都是有机联系的,之间呈现一种技术与需求交织的扁平网状关系。

  因此当大多数人还沉迷于“不着边际”的《蓝海战略》的时候,记者则开始关注信息安全的平坦化了。同时为了让更多的读者了解信息安全的现状,记者专门打造了“安全是平的”系列专题,与大家一起研究信息安全的新技术与新应用。

  作为本系列的开篇之作,记者从“身份认证与内网安全”入手。这一对密不可分的安全要素,已经成为了当前安全界最热门的话题,很多企业用户对于两者的关联与部署充满了疑问,而记者也专门咨询了Cisco、CA、Juniper、神州数码网络、深信服、新华人寿保险集团和福建兴业银行的IT安全专家,与读者一起分享其中的心得。

  大势所趋:从双因数认证入手

  目前在信息安全界,有三大技术趋势:第一,可信计算;第二,身份认证与内网安全;第三,统一威胁管理(UTM)。根据IDC在今年1月份的统计报告,目前在身份认证与内网安全方面的需求最多。而IDC近期出炉的《2006----2010中国IT安全市场分析与预测》报告则显示:排名靠前的安全厂商都与身份认证与内网安全沾边。

  在身份认证过程中,传统上都是基于用户账户名和密码的做法。根据美国《Network World》今年8月份的调查结果,超过60%的企业已经对传统的认证方式不放心了,而有超过40%的企业打算在年内建立双因数认证机制。

  所谓双因数认证,是针对传统身份认证而言的。深信服的安全产品经理叶宜斌向记者表示,随着各种间谍软件键盘记录工具的泛滥,不少企业的IT人员发现,仅仅依靠用户名、密码的单一认证体制非常不安全。而双因数认证则基于硬件建权,通过建立证书系统来进行客户端的认证工作。

  另外,采用双因数认证还可以保证客户端登录网络的唯一性。神州数码网络的安全产品经理王景辉介绍说,安全证书的生成可以提取其他一些信息,比如网卡MAC地址、客户端CPU的序列号等。因此当一台笔记本电脑第一次进入企业网络时,第一步是认证系统产生用户名和密码,第二步则是系统收集笔记本的特征,进而提取具备唯一性的信息,以便生成一个唯一对应的证书。所有的认证信息都可以导入认证服务器,从而实现对客户端唯一性登录的检查,以便杜绝私有设备进入企业网。

  根据美国和中国的统计,超过七成的政府部门都在使用证书系统保证身份认证的安全可靠。此外,大部分网络银行服务业采用了证书模式。

  对此,招商银行的IT工程师透露说,目前招商银行已经在专业版网上银行系统中采用安全数字证书,并通过USB Key的方式进行保存。USB Key中存放的是用户个人的数字证书,银行和用户各有一份公钥和私钥,用户仅仅需要记忆一个密码就可以使用了。

  而新华人寿保险集团的IT经理向记者表示,USB Key的证书认证模式在新华人寿已经全部实现了,主要还是为日常的OA服务。而改项目的实施方CA的安全专家介绍说,现在很多大型企业已经开始采用证书系统,像新华人寿这样的企业,对系统数据流安全非常关注,特别是很多到桌面、到用户文件的内容。

  除了数字证书,还有一种双因数认证方式,即动态令牌。动态令牌根据基于时间的算法,每分钟都产生一个5-6位的认证串号。在客户端,用户通过一个类似电子表的硬件,计算出每分钟产生的令牌串号。那么用户登录系统,只要输入用户名和相应时间段的串号,就可以安全登录。

  有意思的是,记者发现很多IT安全厂商自身都在使用动态令牌技术。像神州数码网络内部的SSL VPN就采用了动态令牌的安全登录方式。动态令牌避免了记忆密码的过程,其寿命一般为三年。不过动态令牌由于内置了一个相当精确的时钟,因此成本较高,目前一个动态令牌的客户端硬件都要在三百元人民币左右。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们