萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 安全是平的 從身份認證與內網安全說起

安全是平的 從身份認證與內網安全說起

  《世界是平的》是美國《紐約時報》專欄作家托馬斯·弗裡德曼今年最轟動的著作,繼早年的《凌志汽車與橄榄樹》之後,弗裡德曼再一次將全球化的平坦之路呈現在全球讀者面前,只不過,這次的主角是IT。

的確,IT產業將全球供應鏈與市場結合到一起。記者無意去研究宏觀的IT環境,不過當記者把全部精力投入到安全上面的時候,有趣的結果產生了:安全也是平的。

從安全網關、防火牆、UTM、防病毒、IDS/IPS、VPN,到內網身份認證、安全客戶端、安全日志、網管系統,看似獨立的安全產品已經出現了改變,無論是從早先的安全聯動、802.1X、還是近期的私有安全協議、安全與目錄服務整合,都體現出了一個趨勢:安全是密切相連的,是“你中有我,我中有你。”

信息安全的第一要素就是制定“企業安全規范”,而這個“安全規范”恰恰是企業各部分業務與各種安全產品的整合,涵蓋了從存儲、業務傳輸、行為安全、網絡基礎設施、運行安全、系統保護與物理連接的各個層面。

換句話說,安全已經不是傳統上的單一設備,或者像某些廠商所講的那種獨立於網絡的設備。事實上,近三年的發展已經證明,日後信息安全將會逐漸以用戶需求的系統方案為核心。而在這套完整的安全方案之內,各部分都是有機聯系的,之間呈現一種技術與需求交織的扁平網狀關系。

因此當大多數人還沉迷於“不著邊際”的《藍海戰略》的時候,記者則開始關注信息安全的平坦化了。同時,為了讓更多的讀者了解信息安全的現狀,記者專門打造了“安全是平的”系列專題,與大家一起研究信息安全的新技術與新應用。

作為本系列的開篇之作,記者從“身份認證與內網安全”入手。這一對密不可分的安全要素,已經成為了當前安全界最熱門的話題,很多企業用戶對於兩者的關聯與部署充滿了疑問,而記者也專門咨詢了Cisco、CA、Juniper、神州數碼網絡、深信服、新華人壽保險集團和福建興業銀行的IT安全專家,與讀者一起分享其中的心得。

【大勢所趨】從雙因數認證入手

目前在信息安全界有三大技術趨勢:第一,可信計算;第二,身份認證與內網安全;第三,統一威脅管理(UTM)。根據IDC在今年1月份的統計報告,目前在身份認證與內網安全方面的需求最多。而IDC近期出爐的《2006~2010中國IT安全市場分析與預測》報告則顯示:排名靠前的安全廠商都與身份認證與內網安全沾邊。

在身份認證過程中,一般都是基於用戶名和密碼的做法。根據美國《Network World》今年8月份的調查結果,超過60%的企業已經對傳統的認證方式不放心了。

所謂雙因數認證,是針對傳統身份認證而言的。深信服的安全產品經理葉宜斌向記者表示,隨著各種間諜軟件、鍵盤記錄工具的泛濫,企業的IT人員發現,僅僅依靠用戶名、密碼的單一認證體制非常不安全。而雙因數認證則基於硬件建權,通過建立證書系統來進行客戶端的認證工作。

另外,采用雙因數認證還可以保證客戶端登錄網絡的唯一性。神州數碼網絡的安全產品經理王景輝介紹說,安全證書的生成可以提取其他一些信息,比如網卡MAC 地址、客戶端CPU的序列號等。因此當一台筆記本電腦第一次進入企業網絡時,第一步是認證系統產生用戶名和密碼,第二步則是系統收集筆記本的特征,進而提取具備唯一性的信息,以便生成一個唯一對應的證書。所有的認證信息都可以導入認證服務器,從而實現對客戶端唯一性登錄的檢查。

根據美國和中國的統計,超過七成的政府部門都在使用證書系統保證身份認證的安全可靠。此外,大部分網絡銀行服務業采用了證書模式。

招商銀行的IT專家透露說,目前該行已經在專業版網上銀行系統中采用安全數字證書,並通過USB Key的方式進行保存。USB Key中存放的是用戶個人的數字證書,銀行和用戶各有一份公鑰和私鑰,用戶僅需要記憶一個密碼就可以使用。

新華人壽保險集團的IT經理向記者表示,USB Key的認證模式在新華人壽已經全部實現了,主要還是為日常的OA服務。而該項目的實施方,CA的安全專家介紹說,現在很多大型企業已經開始采用證書系統,像新華人壽這樣的企業,對系統數據流安全非常關注,特別是關注那些很多到桌面、到用戶文件的內容。

除了數字證書,還有一種雙因數認證方式,即動態令牌。動態令牌根據基於時間的算法,每分鐘都產生一個5-6位的認證串號。在客戶端,用戶通過一個類似電子表的硬件,計算出每分鐘產生的令牌串號。那麼用戶登錄系統,只要輸入用戶名和相應時間段的串號,就可以安全登錄。

有意思的是,記者發現很多IT安全廠商自身都在使用動態令牌技術。像神州數碼網絡內部的SSL VPN就采用了動態令牌的安全登錄方式。動態令牌避免了記憶密碼的過程,其壽命一般為三年。不過動態令牌由於內置了一個相當精確的時鐘,因此成本較高。
  《世界是平的》是美國《紐約時報》專欄作家托馬斯·弗裡德曼今年最轟動的著作,繼早年的《凌志汽車與橄榄樹》之後,弗裡德曼再一次將全球化的平坦之路呈現在全球讀者面前,只不過,這次的主角是IT。

【平坦安全】內網安全之美

前面講過了,目前安全界的趨勢是平坦化。一套認證系統做的再強大,如果僅僅孤立存在,仍然無法帶來更多的價值。事實上,認證系統越來越成為內網安全的一個子系統,它確保了企業網在出現安全問題的時候,內網安全機制能夠最終定位到具體的設備或者具體的人員上。

要知道,把安全問題落實到點上是多少年來企業IT人員的夢想。新華人壽的IT安全負責人向記者表示,以前企業配置了IDS,結果一旦網絡出現問題,IDS 就會不停的報警,然後給網管人員發出一大堆可疑的IP地址信息。網管不是計算機,讓它從一堆IP地址中定位某一台設備,這簡直是在自虐。

利用認證系統,首先就可以保證網絡用戶的真實性與合法性。只有界定了合法用戶的范圍,才有定位的可能性。

目前,不少安全廠商已經開始完善自身的內網安全技術,並與身份認證系統做到有機結合。王景輝介紹說,他們已經把防水牆(客戶端系統)、DCBI認證系統、 IDS、防火牆結合在一起組成了DCSM內網安全管理技術,作為3DSMP技術的具體化。而在DCSM技術中,提出了五元素控制:即用戶名、用戶賬號、 IP地址、交換機端口、VLAN綁定在一起,進一步去做訪問控制。

在此基礎上,內網安全機制可以根據IDS/IPS的報警,對用戶進行判斷:比如是否為某個用戶發動了攻擊?或者某個用戶是否感染了特定的病毒,比如發現該用戶掃描特定端口號就可以判斷感染了蠕蟲病毒。此時,DCBI控制中心就會進行實時告警。若告警無效,系統就可以阻斷某個用戶的網絡聯結。

由於通過完整的認證過程,系統可以知道用戶所在交換機端口和所在的VLAN,封殺就會非常精確。

不難看出,一套安全的認證系統,在內網安全方案中扮演著網絡准入控制NAC的角色。Cisco的安全工程師介紹,一套完善的認證機制與內網安全管理軟件組合在一起,就可以實現豐富的准入控制功能。此外,一般這類管理軟件本身不需要安裝,只要通過服務器進行分發,就可以推給每一台試圖接入網絡的計算機上。

而Juniper的安全產品經理梁小東也表示,把認證系統與內網安全系統結合起來,可以確保總體的網絡設計更加安全。而且通過內置的安全協議,可以最大程度地讓更多的安全產品,如防火牆、IDS/IPS、UTM、VPN等互動起來。而用戶也可以根據自己的預算和資金情況,選配不同的模塊,具備了安全部署的靈活性。

在采訪的過程中,記者發現各個安全廠商已經在內網安全的問題上達成了共識。也許正如王景輝所講的,雖然企業用戶都擁有完善的基礎設施,包括全套防病毒系統,可近兩年的狀況是,病毒大規模爆發的次數不但沒有減少,反而更多了,而且大量安全事件都是從內網突破的。

因此總結起來看,要實現一套完善的內網安全機制,第一步就需要一個集中的安全認證;第二步是部署監控系統。讓IDS/IPS來監控網絡中的行為,去判斷是否存在某種攻擊或者遭遇某種病毒;第三步是具體執行。當問題判斷出來以後,讓系統合理地執行很重要。傳統上封堵IP的做法,對於現在的攻擊和病毒效果不好,因為現在的攻擊和病毒MAC地址及IP地址都可以變化。因此有效的方式,就是在安全認證通過以後,系統就可以定位到某一個IP的用戶是誰,然後確定相關事件發生在哪一個交換機端口上。這樣在采取行動的時候,就可以避免阻斷整個IP子網的情況。此外,通過利用802.1X協議,整套安全系統可以把交換機也互動起來,這樣就可以更加精確地定位發生安全事件的客戶機在哪裡。

主流安全認證技術一瞥

屬性

類型

主要特點

應用領域

主要問題

單因數認證

用戶名密碼體制

靜態的認證方式,實現簡單

常見於辦公網絡

安全性較差

短信認證

動態的認證方式,部署方便,成本較低,安全性較高

常用於企業IT部門或部分金融機構

無法與AD結合

雙因數認證

數字證書

安全性很高,可以與AD結合使用。

常見於金融機構,政府部門

系統開發的復雜度高,存在一定的證書安全隱患

動態令牌

具有最高的安全性,基本不會有單點安全的困擾

IT安全廠商有使用

成本高昂


  《世界是平的》是美國《紐約時報》專欄作家托馬斯·弗裡德曼今年最轟動的著作,繼早年的《凌志汽車與橄榄樹》之後,弗裡德曼再一次將全球化的平坦之路呈現在全球讀者面前,只不過,這次的主角是IT。

【精明用戶】混合認證模式

的確,純粹的雙因數認證對於安全起到了很高的保障作用。但不可否認的是,其帶來的IT管理問題也無法忽視。

美國《Network World》的安全編輯撰文指出,美國很多年營業額在1.5億到10億美元的中型企業用戶,很多都不考慮雙因數認證的問題。因為他們認為,雙因數認證系統不僅難於配置,而且花費在購

copyright © 萬盛學電腦網 all rights reserved