的确,IT产业将全球供应链与市场结合到一起。记者无意去研究宏观的IT环境,不过当记者把全部精力投入到安全上面的时候,有趣的结果产生了:安全也是平的。
从安全网关、防火墙、UTM、防病毒、IDS/IPS、VPN,到内网身份认证、安全客户端、安全日志、网管系统,看似独立的安全产品已经出现了改变,无论是从早先的安全联动、802.1X、还是近期的私有安全协议、安全与目录服务整合,都体现出了一个趋势:安全是密切相连的,是“你中有我,我中有你。”
信息安全的第一要素就是制定“企业安全规范”,而这个“安全规范”恰恰是企业各部分业务与各种安全产品的整合,涵盖了从存储、业务传输、行为安全、网络基础设施、运行安全、系统保护与物理连接的各个层面。
换句话说,安全已经不是传统上的单一设备,或者像某些厂商所讲的那种独立于网络的设备。事实上,近三年的发展已经证明,日后信息安全将会逐渐以用户需求的系统方案为核心。而在这套完整的安全方案之内,各部分都是有机联系的,之间呈现一种技术与需求交织的扁平网状关系。
因此当大多数人还沉迷于“不着边际”的《蓝海战略》的时候,记者则开始关注信息安全的平坦化了。同时,为了让更多的读者了解信息安全的现状,记者专门打造了“安全是平的”系列专题,与大家一起研究信息安全的新技术与新应用。
作为本系列的开篇之作,记者从“身份认证与内网安全”入手。这一对密不可分的安全要素,已经成为了当前安全界最热门的话题,很多企业用户对于两者的关联与部署充满了疑问,而记者也专门咨询了Cisco、CA、Juniper、神州数码网络、深信服、新华人寿保险集团和福建兴业银行的IT安全专家,与读者一起分享其中的心得。
【大势所趋】从双因数认证入手
目前在信息安全界有三大技术趋势:第一,可信计算;第二,身份认证与内网安全;第三,统一威胁管理(UTM)。根据IDC在今年1月份的统计报告,目前在身份认证与内网安全方面的需求最多。而IDC近期出炉的《2006~2010中国IT安全市场分析与预测》报告则显示:排名靠前的安全厂商都与身份认证与内网安全沾边。
在身份认证过程中,一般都是基于用户名和密码的做法。根据美国《Network World》今年8月份的调查结果,超过60%的企业已经对传统的认证方式不放心了。
所谓双因数认证,是针对传统身份认证而言的。深信服的安全产品经理叶宜斌向记者表示,随着各种间谍软件、键盘记录工具的泛滥,企业的IT人员发现,仅仅依靠用户名、密码的单一认证体制非常不安全。而双因数认证则基于硬件建权,通过建立证书系统来进行客户端的认证工作。
另外,采用双因数认证还可以保证客户端登录网络的唯一性。神州数码网络的安全产品经理王景辉介绍说,安全证书的生成可以提取其他一些信息,比如网卡MAC 地址、客户端CPU的序列号等。因此当一台笔记本电脑第一次进入企业网络时,第一步是认证系统产生用户名和密码,第二步则是系统收集笔记本的特征,进而提取具备唯一性的信息,以便生成一个唯一对应的证书。所有的认证信息都可以导入认证服务器,从而实现对客户端唯一性登录的检查。
根据美国和中国的统计,超过七成的政府部门都在使用证书系统保证身份认证的安全可靠。此外,大部分网络银行服务业采用了证书模式。
招商银行的IT专家透露说,目前该行已经在专业版网上银行系统中采用安全数字证书,并通过USB Key的方式进行保存。USB Key中存放的是用户个人的数字证书,银行和用户各有一份公钥和私钥,用户仅需要记忆一个密码就可以使用。
新华人寿保险集团的IT经理向记者表示,USB Key的认证模式在新华人寿已经全部实现了,主要还是为日常的OA服务。而该项目的实施方,CA的安全专家介绍说,现在很多大型企业已经开始采用证书系统,像新华人寿这样的企业,对系统数据流安全非常关注,特别是关注那些很多到桌面、到用户文件的内容。
除了数字证书,还有一种双因数认证方式,即动态令牌。动态令牌根据基于时间的算法,每分钟都产生一个5-6位的认证串号。在客户端,用户通过一个类似电子表的硬件,计算出每分钟产生的令牌串号。那么用户登录系统,只要输入用户名和相应时间段的串号,就可以安全登录。
有意思的是,记者发现很多IT安全厂商自身都在使用动态令牌技术。像神州数码网络内部的SSL VPN就采用了动态令牌的安全登录方式。动态令牌避免了记忆密码的过程,其寿命一般为三年。不过动态令牌由于内置了一个相当精确的时钟,因此成本较高。
【平坦安全】内网安全之美
前面讲过了,目前安全界的趋势是平坦化。一套认证系统做的再强大,如果仅仅孤立存在,仍然无法带来更多的价值。事实上,认证系统越来越成为内网安全的一个子系统,它确保了企业网在出现安全问题的时候,内网安全机制能够最终定位到具体的设备或者具体的人员上。
要知道,把安全问题落实到点上是多少年来企业IT人员的梦想。新华人寿的IT安全负责人向记者表示,以前企业配置了IDS,结果一旦网络出现问题,IDS 就会不停的报警,然后给网管人员发出一大堆可疑的IP地址信息。网管不是计算机,让它从一堆IP地址中定位某一台设备,这简直是在自虐。
利用认证系统,首先就可以保证网络用户的真实性与合法性。只有界定了合法用户的范围,才有定位的可能性。
[1] [2] [3] 下一页
您现在的位置: 中华软件网|中国软件导购网 >> 信息安全 >> 身份认证 >> 专家点评 >> 信息安全正文
