更安全 企业需要构建可信身份认证环境

 

目前，很多企业已建立一套服务于业务，驱动业务发展的IT系统架构、OA系统及各种业务系统，同时也部署了诸如防火墙、VPN等技术来保护IT系统。

 

尽管网络的硬件和软件环境看上去都受到了保护，达到理论的安全标准。但事实上，在整个IT系统架构中依然存在一个很容易被忽视的部分——“用户身份认证”。如果“身份”问题不能得到解决，黑客将会很容易冒充正常用户进入到公司系统，窃取公司内部的机密信息，使貌似安全的环境，却成为“网络安全最薄弱环节”。

 

许多公司仅用静态密码对他们重要的信息和交易业务进行保护，这是完全不够的。静态密码很容易被黑客破解，对于一些重要的、机密的数据信息，只使用静态密码保护是绝对不足够的。

 

20011年3月，RSA公司透露其受到网络攻击，攻击造成SecurID的关键信息丢失。6月2日，RSA确认了在3月份的被盗的数据被用来攻击洛克希德-马丁公司和其他美国国防承包商。6月6日，该公司在全球范围召回4000万只SecurID。

 

针对这一事件的一项调查发现，越来越多的安全令牌用户对双因素认证技术感到焦虑。在接受调查的400名IT专业人士中，该事件让他们有所觉醒，其中，44%的人正重新评估他们目前使用的令牌，15%的人加快了已经计划好的令牌选项评估。

 

由此可见，加密是确保认证安全性的关键。身份认证、数据传输安全、后台系统安全性，这些都与加密息息相关。

 

来自SafeNet的一位技术专家表示，即使是窃取数据，一个攻击者使用SecurID技术入侵一个公司也需要高超的技术和好运气。

 

目前，加强用户的身份管理，防止用户身份的泄露，是公认的预防认证安全隐患的最有效措施。一方面是对使用用户的认证，即使用认证服务的这个人是不是合法用户？另一方面访问的站点是不是合法站点，这个站点是否是合法站点，通过用户自定义密码和动态密码结合的方式更保证了密码的安全性。

 

来自SafeNet的亚太区副总裁陈泓先生，对这一事件表示非常遗憾和震惊，同时他自己也做了相关的分析，如下图所示：

 

他认为通常身份认证供应商采用对称算法，在每一个OTP（一次性密码）里放置一个种子文件，认证的时候该种子文件需要与OTP服务器进行签名，这一在给所有的客户分发发Token令牌时，供应商会自己做编程然后把种子文件放在OTP认证的服务器上。

 

显然，如果种子文件被偷了，将意味着整个安全系统的崩溃，任何拿到该种子文件的黑客可以轻易地仿冒任何客户的身份，后果之严重可想而知。陈泓分析认为，SecurID事件很可能是因为这样造成的，同时他也强调，对所有供应商来说，种子文件是令牌的核心。

对于可编程的种子，陈泓也给出了另一种解决方案，这也是SafeNet的解决方案，与前面那种方式相比而言，种子的生成不是在SafeNet这边完成的，而是在客户端做的，这样做的最大优势在于，即使一个客户存在安全风险并出现问题，也不会影响到其他客户。同时，陈泓也强调，客户为了保证种子文件的安全，需要建立一整套的安全机制。

 

不过在记者看来，将可编程的种子放在客户端，虽然可以避免整体受损，但并非所有客户都能做到安全的保护，需要很专业的IT人员和完善的安全策略。所以，陈泓分析的这两种方案各有千秋，都会存在一定的风险，客户在选择时也应该慎重考虑。

 

对于SecurID事件，RSA官方一直未就种子文件是否被攻破而表态，不过陈泓认为，种子文件是令牌的核心，如果不是核心出现问题，RSA也不太可能全部召回，因为RSA要把所有的种子文件都换掉，才能保证安全，保证网路不会再被黑客侵入。

 

值得一提的是，目前市场上有很多一次性密码（OTP）身份验证解决方案，虽然这些解决方案的特点无非是上述陈泓所说的那两种，但用户可选择的供应商依然有很多，如Safenet就是一家比较专业的身份认证解决方案提供商。

 

在基于智能卡的身份验证、密码管理和公钥基础设施（PKI）方案等领域内，SafeNet都取得了相当不错的市场份额，该公司提供基于一次性密码技术的身份验证解决方案基于eToken NG-OTP设备，是SafeNet独创的基于智能卡的混合Token令牌。可以在连通模式（采用USB连接）或分离模式（采用one-time密码）下访问网络和应用程序。

 

SecurID事件的影响还在继续，随着多家供应商表示愿意为客户更换使用RSA SecurID的解决方案，构建可信的身份认证环境就显得越来越重要。对于可信的身份认证，希望以下四个方面对用户在选择身份认证解决方案时，有所帮助：

◆可控性: 客户能够控制令牌种子值数据，并对令牌进行设置。

◆选择性: 一个好的Token令牌认证服务提供商，应该有不同的选择给客户。

◆集中管理：更好地进行控制，实现统一平台管理。

◆为云部署做好准备，无需改变现有平台。

 

原文链接：http://netsecurity.51cto.com/art/201107/276094.htm

标签： 安全 防火墙 服务器 网络 网络安全 选择

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。