安全是平的 從身份認證與內網安全說起

　　《世界是平的》是美國《紐約時報》專欄作家托馬斯·弗裡德曼今年最轟動的著作，繼早年的《凌志汽車與橄榄樹》之後，弗裡德曼再一次將全球化的平坦之路呈現在全球讀者面前，只不過，這次的主角是IT。

的確，IT產業將全球供應鏈與市場結合到一起。記者無意去研究宏觀的IT環境，不過當記者把全部精力投入到安全上面的時候，有趣的結果產生了:安全也是平的。

從安全網關、防火牆、UTM、防病毒、IDS/IPS、VPN，到內網身份認證、安全客戶端、安全日志、網管系統，看似獨立的安全產品已經出現了改變，無論是從早先的安全聯動、802.1X、還是近期的私有安全協議、安全與目錄服務整合，都體現出了一個趨勢:安全是密切相連的，是“你中有我，我中有你。”

信息安全的第一要素就是制定“企業安全規范”，而這個“安全規范”恰恰是企業各部分業務與各種安全產品的整合，涵蓋了從存儲、業務傳輸、行為安全、網絡基礎設施、運行安全、系統保護與物理連接的各個層面。

換句話說，安全已經不是傳統上的單一設備，或者像某些廠商所講的那種獨立於網絡的設備。事實上，近三年的發展已經證明，日後信息安全將會逐漸以用戶需求的系統方案為核心。而在這套完整的安全方案之內，各部分都是有機聯系的，之間呈現一種技術與需求交織的扁平網狀關系。

因此當大多數人還沉迷於“不著邊際”的《藍海戰略》的時候，記者則開始關注信息安全的平坦化了。同時，為了讓更多的讀者了解信息安全的現狀，記者專門打造了“安全是平的”系列專題，與大家一起研究信息安全的新技術與新應用。

作為本系列的開篇之作，記者從“身份認證與內網安全”入手。這一對密不可分的安全要素，已經成為了當前安全界最熱門的話題，很多企業用戶對於兩者的關聯與部署充滿了疑問，而記者也專門咨詢了Cisco、CA、Juniper、神州數碼網絡、深信服、新華人壽保險集團和福建興業銀行的IT安全專家，與讀者一起分享其中的心得。

【大勢所趨】從雙因數認證入手

目前在信息安全界有三大技術趨勢:第一，可信計算;第二，身份認證與內網安全;第三，統一威脅管理(UTM)。根據IDC在今年1月份的統計報告，目前在身份認證與內網安全方面的需求最多。而IDC近期出爐的《2006～2010中國IT安全市場分析與預測》報告則顯示:排名靠前的安全廠商都與身份認證與內網安全沾邊。

在身份認證過程中，一般都是基於用戶名和密碼的做法。根據美國《Network World》今年8月份的調查結果，超過60%的企業已經對傳統的認證方式不放心了。

所謂雙因數認證，是針對傳統身份認證而言的。深信服的安全產品經理葉宜斌向記者表示，隨著各種間諜軟件、鍵盤記錄工具的泛濫，企業的IT人員發現，僅僅依靠用戶名、密碼的單一認證體制非常不安全。而雙因數認證則基於硬件建權，通過建立證書系統來進行客戶端的認證工作。

另外，采用雙因數認證還可以保證客戶端登錄網絡的唯一性。神州數碼網絡的安全產品經理王景輝介紹說，安全證書的生成可以提取其他一些信息，比如網卡MAC 地址、客戶端CPU的序列號等。因此當一台筆記本電腦第一次進入企業網絡時，第一步是認證系統產生用戶名和密碼，第二步則是系統收集筆記本的特征，進而提取具備唯一性的信息，以便生成一個唯一對應的證書。所有的認證信息都可以導入認證服務器，從而實現對客戶端唯一性登錄的檢查。

根據美國和中國的統計，超過七成的政府部門都在使用證書系統保證身份認證的安全可靠。此外，大部分網絡銀行服務業采用了證書模式。

招商銀行的IT專家透露說，目前該行已經在專業版網上銀行系統中采用安全數字證書，並通過USB Key的方式進行保存。USB Key中存放的是用戶個人的數字證書，銀行和用戶各有一份公鑰和私鑰，用戶僅需要記憶一個密碼就可以使用。

新華人壽保險集團的IT經理向記者表示，USB Key的認證模式在新華人壽已經全部實現了，主要還是為日常的OA服務。而該項目的實施方，CA的安全專家介紹說，現在很多大型企業已經開始采用證書系統，像新華人壽這樣的企業，對系統數據流安全非常關注，特別是關注那些很多到桌面、到用戶文件的內容。

除了數字證書，還有一種雙因數認證方式，即動態令牌。動態令牌根據基於時間的算法，每分鐘都產生一個5-6位的認證串號。在客戶端，用戶通過一個類似電子表的硬件，計算出每分鐘產生的令牌串號。那麼用戶登錄系統，只要輸入用戶名和相應時間段的串號，就可以安全登錄。

有意思的是，記者發現很多IT安全廠商自身都在使用動態令牌技術。像神州數碼網絡內部的SSL VPN就采用了動態令牌的安全登錄方式。動態令牌避免了記憶密碼的過程，其壽命一般為三年。不過動態令牌由於內置了一個相當精確的時鐘，因此成本較高。
　　《世界是平的》是美國《紐約時報》專欄作家托馬斯·弗裡德曼今年最轟動的著作，繼早年的《凌志汽車與橄榄樹》之後，弗裡德曼再一次將全球化的平坦之路呈現在全球讀者面前，只不過，這次的主角是IT。

【平坦安全】內網安全之美

前面講過了，目前安全界的趨勢是平坦化。一套認證系統做的再強大，如果僅僅孤立存在，仍然無法帶來更多的價值。事實上，認證系統越來越成為內網安全的一個子系統，它確保了企業網在出現安全問題的時候，內網安全機制能夠最終定位到具體的設備或者具體的人員上。

要知道，把安全問題落實到點上是多少年來企業IT人員的夢想。新華人壽的IT安全負責人向記者表示，以前企業配置了IDS，結果一旦網絡出現問題，IDS 就會不停的報警，然後給網管人員發出一大堆可疑的IP地址信息。網管不是計算機，讓它從一堆IP地址中定位某一台設備，這簡直是在自虐。

利用認證系統，首先就可以保證網絡用戶的真實性與合法性。只有界定了合法用戶的范圍，才有定位的可能性。

目前，不少安全廠商已經開始完善自身的內網安全技術，並與身份認證系統做到有機結合。王景輝介紹說，他們已經把防水牆(客戶端系統)、DCBI認證系統、 IDS、防火牆結合在一起組成了DCSM內網安全管理技術，作為3DSMP技術的具體化。而在DCSM技術中，提出了五元素控制:即用戶名、用戶賬號、 IP地址、交換機端口、VLAN綁定在一起，進一步去做訪問控制。

在此基礎上，內網安全機制可以根據IDS/IPS的報警，對用戶進行判斷:比如是否為某個用戶發動了攻擊?或者某個用戶是否感染了特定的病毒，比如發現該用戶掃描特定端口號就可以判斷感染了蠕蟲病毒。此時，DCBI控制中心就會進行實時告警。若告警無效，系統就可以阻斷某個用戶的網絡聯結。

由於通過完整的認證過程，系統可以知道用戶所在交換機端口和所在的VLAN，封殺就會非常精確。

不難看出，一套安全的認證系統，在內網安全方案中扮演著網絡准入控制NAC的角色。Cisco的安全工程師介紹，一套完善的認證機制與內網安全管理軟件組合在一起，就可以實現豐富的准入控制功能。此外，一般這類管理軟件本身不需要安裝，只要通過服務器進行分發，就可以推給每一台試圖接入網絡的計算機上。

而Juniper的安全產品經理梁小東也表示，把認證系統與內網安全系統結合起來，可以確保總體的網絡設計更加安全。而且通過內置的安全協議，可以最大程度地讓更多的安全產品，如防火牆、IDS/IPS、UTM、VPN等互動起來。而用戶也可以根據自己的預算和資金情況，選配不同的模塊，具備了安全部署的靈活性。

在采訪的過程中，記者發現各個安全廠商已經在內網安全的問題上達成了共識。也許正如王景輝所講的，雖然企業用戶都擁有完善的基礎設施，包括全套防病毒系統，可近兩年的狀況是，病毒大規模爆發的次數不但沒有減少，反而更多了，而且大量安全事件都是從內網突破的。

因此總結起來看，要實現一套完善的內網安全機制，第一步就需要一個集中的安全認證;第二步是部署監控系統。讓IDS/IPS來監控網絡中的行為，去判斷是否存在某種攻擊或者遭遇某種病毒;第三步是具體執行。當問題判斷出來以後，讓系統合理地執行很重要。傳統上封堵IP的做法，對於現在的攻擊和病毒效果不好，因為現在的攻擊和病毒MAC地址及IP地址都可以變化。因此有效的方式，就是在安全認證通過以後，系統就可以定位到某一個IP的用戶是誰，然後確定相關事件發生在哪一個交換機端口上。這樣在采取行動的時候，就可以避免阻斷整個IP子網的情況。此外，通過利用802.1X協議，整套安全系統可以把交換機也互動起來，這樣就可以更加精確地定位發生安全事件的客戶機在哪裡。

主流安全認證技術一瞥

屬性

類型

主要特點

應用領域

主要問題

單因數認證

用戶名密碼體制

靜態的認證方式，實現簡單

常見於辦公網絡

安全性較差

短信認證

動態的認證方式，部署方便，成本較低，安全性較高

常用於企業IT部門或部分金融機構

無法與AD結合

雙因數認證

數字證書

安全性很高，可以與AD結合使用。

常見於金融機構，政府部門

系統開發的復雜度高，存在一定的證書安全隱患

動態令牌

具有最高的安全性，基本不會有單點安全的困擾

IT安全廠商有使用

成本高昂

　　《世界是平的》是美國《紐約時報》專欄作家托馬斯·弗裡德曼今年最轟動的著作，繼早年的《凌志汽車與橄榄樹》之後，弗裡德曼再一次將全球化的平坦之路呈現在全球讀者面前，只不過，這次的主角是IT。

【精明用戶】混合認證模式

的確，純粹的雙因數認證對於安全起到了很高的保障作用。但不可否認的是，其帶來的IT管理問題也無法忽視。

美國《Network World》的安全編輯撰文指出，美國很多年營業額在1.5億到10億美元的中型企業用戶，很多都不考慮雙因數認證的問題。因為他們認為，雙因數認證系統不僅難於配置，而且花費在購