论文部分内容阅读
企业需综合考虑多因素
“芝麻,芝麻,开门吧!”是一句广为流传的密语。阿里巴巴正是通过它,保护着自己的财富之门。而在今天,数字信息已经成为一个企业的财富源泉。显然,一句“芝麻开门”是不能够保护企业珍贵的数字信息资产的。企业需要的是更有价值的数字身份认证技术。
数字身份认证是指计算机网络系统确认用户身份的方法和过程,确保以数字身份访问信息系统的访问者就是这个数字身份的合法拥有者。如何保证用户的物理身份与数字身份的相对应?验证一个人的身份可以通过3种方式:一是根据你所知道的信息来证明身份(what you know),假设某些信息只有某人知道,如暗号、密码等,通过询问这个信息就可以确认此人的身份;二是根据你所拥有的物品来证明身份(what you have),假设某一物品只有某人才拥有,如印章、票据等,通过出示该物品也可以确认该人的身份;三是直接根据其独一无二的身体特征来证明身份(who you are),如指纹、声纹、面貌等。
数字身份认证技术按以上原理,从是否使用硬件分为软件认证和硬件认证。硬件认证是指借助硬件来完成认证的方法,如使用智能卡认证。从认证需要的验证条件来看,身份认证技术还可以分为单因子认证和双因子认证。仅通过一个条件来验证的技术称为单因子认证,如用户名密码方式的认证。双因子认证是通过组合两种不同条件(如通过密码和芯片组合)来证明一个人的身份,如USB Key方式认证。从认证信息来看,身份认证技术还可以分为静态认证和动态认证,动态认证就包括目前的动态口令认证。
三种身份方式
身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。现在计算机网络系统中常用的身份认证方式主要有以下3种。
用户名/密码方式 用户名/密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。只要能够正确输入密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。即使能保证用户密码不被泄漏,由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式是一种弱的身份认证方式。
动态口令 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫作动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认为该用户的身份是可靠的。用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒
合法用户的身份。
動态口令技术采用一次一密的方法,有效保证用户身份的安全性。用动态令牌实现的动态口令身份认证技术属于双因子认证技术,是一种中等强度的身份认证方式。
USB Key认证 基于USB Key的身份认证方式采用软硬件相结合的强双因子认证模式。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式,二是基于PKI体系的认证模式。
以USB Key认证为代表的强双因子身份认证技术还有生物特征认证,比如指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管、DNA、签名、语音、行走步态等。
选型四点建议
在数字信息化普及的今天,出现了各种数字信息应用,如电子商务、网络资源访问、电子政务、邮件系统及电子公告栏等。数字信息已经是企业越来越重要的一项资产,甚至对于某些企业来说,数字信息已经成为最核心的竞争优势,决定着企业的成功和发展。所以,在理论上,任何访问重要数字信息的时候都要进行数字身份认证。
综合考虑、避免盲从 企业在选择数字身份认证产品时,需要综合考虑安全性、易用性、稳定性、价格等几个因素,不能片面强调某个因素,同时,一定要注意避免盲从的心理。不同于科学研究,企业的投入要追求较高的投资回报率,但是前几年国内企业对数字身份认证产品的选择经历了从一个极端走向另一个极端的过程。在网络刚刚兴起和计算机正在普及时,进行信息化建设,大多数企业都选择了用户名密码方式的身份认证系统。由于的技术条件和水平的限制,用户名密码方式的认证当时可以满足大部分情况下的身份认证。但随着科技的发展,这种方式的安全漏洞暴露日益明显,带来一系列的安全问题。于是,国内许多人开始转向安全性最高的数字认证产品,比如PKI体系的证书认证方式,但由于PKI体系系统复杂,搭建和维护的成本很高,同时使用起来也非常不方便,企业和企业所处的行业、规模以及技术基础都不尽相同,所以实施的整体效果并不理想。企业花了巨额成本,但并没有得到预期效果,这是每个企业都不想看到的。
并不是每个企业都适合选择安全性最高的数字身份认证产品,也不见得用户名密码方式的认证产品都不能使用,重要的是找到适合自身需求的身份认证产品,而不是盲目改动现有的业务管理机制去套用某个解决方案。没有哪种身份认证解决方案能够普遍适用于任何企业,成功的身份认证应用通常是在小范围内展开。企业应该从削减成本、理顺工作流等问题中挑出自己希望最先解决的问题,然后从那里开始入手。对于规模较大的企业用户来说,还需要了解该项目部署可能涉及的范围。
数字身份认证产品并不是即插即用或经过简单安装就能使用的方案,而是需要与业务流程进行密切磨合,企业必须在进行方案选型之前制订战略规划,找出目前无法妥善解决的问题,对需要保护的数字信息进行安全性评估,然后决定需要投入多少。对于安全性较弱的数字信息,就没有必要投入巨大的人力物力实施安全性最高的身份认证产品。同时,对于机密性很强的信息系统,当然安全性应该放在第一位,但同时也要考虑实施和维护的成本。如果一个身份认证系统安装、维护、使用的专业性要求很高,用户在使用的时候还需要学习很长时间,那么对于中小企业来说,这未必就是一个有价值的数字身份认证产品。总之,企业应对方案能够实现哪些功能做到心里有数,而这是一个长期摸索、调整过程。
防内甚于防外 需要提醒是,目前有很多人认为,数字认证都是对外部人使用的,因为只有外部人才无法区分是否是合法的用户,这种观点是片面的。当今社会是一个流动性的社会,一个离职的员工很可能带走的就是企业核心的机密信息,一个内部人员接触信息资源的机会远远大于外部人员,如果一旦出现问题,他所带来的损失会远远大于外部的威胁,所以防内甚于防外。对于企业内部人员访问企业信息资源的时候,也应该选择一个合适的数字身份认证产品。
不要期望立刻获得回报 与实施任何大型IT项目一样,部署数字身份认证产品需要时间。企业通常需要几个月时间来搭建身份管理的基础架构,然后再用几个月时间使最早部署的几个功能模块运转起来。在系统部署两三个月之后,用户才开始看到它的价值,其价值完全呈现出来可能需要6个月或更长时间。这期间需要用户耐心、细心地发现问题和解决问题。
多选项组合 一般情况下,建议企业选择两种或多种不同安全级别的数字身份认证产品,如目前众多网上银行采取的方法,有些银行采用用户名/密码方式为大众版网上银行,而有些银行采用动态口令为大众版网上银行,同时选用USB Key/证书方式为专业版网上银行。
要想芝麻开门,企业必须投入,但投入多少还必须量身定做,对数字身份认证产品的选型也是一种平衡的艺术。
三种身份认证技术特点比较
链接:10个应该避免的安全管理误区
过分信任别人 企业IT面临的一个最大威胁是管理者过分信任员工。不良的个人习惯所带来的危害不亚于一个恶意员工给企业造成的损失。
认为一切都已经相当安全 一般来说要对企业和人生充满信心,但是对于安全还是应该更谨慎一些。
误信灾难恢复计划能够真正实施 备份内容是否全面?是否按时间定期(频繁)进行备份?能否通过备份恢复企业数据?更重要的是,备份内容是否有足够的物理安全,并且在物理上与服务器分离?
对关键资产采取错误的保护措施 在现实世界里,没有人能确保所有设备的安全,企业应该了解对于自身来说最重要的是哪些资产,以便对其进行保护。
无法说服领导批准安全需求 尽量说服企业领导层接受更好的安全方案。如果企业网络或网络程序在设计时没有将安全问题集成到设计中,或考虑得不周全,那么后续补救会更麻烦,效果也更差。
忽略移动用户不安全的无线接入 不论企业制定了怎样的网络使用规则或惩罚方式,一些习惯移动办公的企业员工很有可能为了方便而忽视整体安全方案。
没有很好地管理密码 保证密码有一定长度并且便于记忆是很重要的。即便是一个复杂的密码,长期不更换也不行。这就给了黑客充足的时间来研究密码,一旦密码被破解,企业信息系统就会遭受威胁。
电话支持时未有效验证呼叫方身份 很多黑客都用这种社会学方式直接从公司的技术支持人员处获取网络信息。
低估搜索引擎 就算公司的网页没有提供搜索功能,很多搜索引擎还是会让用户搜索到一些企业不愿与大家分享的信息。
安全措施文档化,但文档保护不力 一般而言,企业会将自身的安全策略和实施细节文档化,但确保文档安全更重要。
“芝麻,芝麻,开门吧!”是一句广为流传的密语。阿里巴巴正是通过它,保护着自己的财富之门。而在今天,数字信息已经成为一个企业的财富源泉。显然,一句“芝麻开门”是不能够保护企业珍贵的数字信息资产的。企业需要的是更有价值的数字身份认证技术。
数字身份认证是指计算机网络系统确认用户身份的方法和过程,确保以数字身份访问信息系统的访问者就是这个数字身份的合法拥有者。如何保证用户的物理身份与数字身份的相对应?验证一个人的身份可以通过3种方式:一是根据你所知道的信息来证明身份(what you know),假设某些信息只有某人知道,如暗号、密码等,通过询问这个信息就可以确认此人的身份;二是根据你所拥有的物品来证明身份(what you have),假设某一物品只有某人才拥有,如印章、票据等,通过出示该物品也可以确认该人的身份;三是直接根据其独一无二的身体特征来证明身份(who you are),如指纹、声纹、面貌等。
数字身份认证技术按以上原理,从是否使用硬件分为软件认证和硬件认证。硬件认证是指借助硬件来完成认证的方法,如使用智能卡认证。从认证需要的验证条件来看,身份认证技术还可以分为单因子认证和双因子认证。仅通过一个条件来验证的技术称为单因子认证,如用户名密码方式的认证。双因子认证是通过组合两种不同条件(如通过密码和芯片组合)来证明一个人的身份,如USB Key方式认证。从认证信息来看,身份认证技术还可以分为静态认证和动态认证,动态认证就包括目前的动态口令认证。
三种身份方式
身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。现在计算机网络系统中常用的身份认证方式主要有以下3种。
用户名/密码方式 用户名/密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。只要能够正确输入密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。即使能保证用户密码不被泄漏,由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式是一种弱的身份认证方式。
动态口令 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫作动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认为该用户的身份是可靠的。用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒
合法用户的身份。
動态口令技术采用一次一密的方法,有效保证用户身份的安全性。用动态令牌实现的动态口令身份认证技术属于双因子认证技术,是一种中等强度的身份认证方式。
USB Key认证 基于USB Key的身份认证方式采用软硬件相结合的强双因子认证模式。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式,二是基于PKI体系的认证模式。
以USB Key认证为代表的强双因子身份认证技术还有生物特征认证,比如指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管、DNA、签名、语音、行走步态等。
选型四点建议
在数字信息化普及的今天,出现了各种数字信息应用,如电子商务、网络资源访问、电子政务、邮件系统及电子公告栏等。数字信息已经是企业越来越重要的一项资产,甚至对于某些企业来说,数字信息已经成为最核心的竞争优势,决定着企业的成功和发展。所以,在理论上,任何访问重要数字信息的时候都要进行数字身份认证。
综合考虑、避免盲从 企业在选择数字身份认证产品时,需要综合考虑安全性、易用性、稳定性、价格等几个因素,不能片面强调某个因素,同时,一定要注意避免盲从的心理。不同于科学研究,企业的投入要追求较高的投资回报率,但是前几年国内企业对数字身份认证产品的选择经历了从一个极端走向另一个极端的过程。在网络刚刚兴起和计算机正在普及时,进行信息化建设,大多数企业都选择了用户名密码方式的身份认证系统。由于的技术条件和水平的限制,用户名密码方式的认证当时可以满足大部分情况下的身份认证。但随着科技的发展,这种方式的安全漏洞暴露日益明显,带来一系列的安全问题。于是,国内许多人开始转向安全性最高的数字认证产品,比如PKI体系的证书认证方式,但由于PKI体系系统复杂,搭建和维护的成本很高,同时使用起来也非常不方便,企业和企业所处的行业、规模以及技术基础都不尽相同,所以实施的整体效果并不理想。企业花了巨额成本,但并没有得到预期效果,这是每个企业都不想看到的。
并不是每个企业都适合选择安全性最高的数字身份认证产品,也不见得用户名密码方式的认证产品都不能使用,重要的是找到适合自身需求的身份认证产品,而不是盲目改动现有的业务管理机制去套用某个解决方案。没有哪种身份认证解决方案能够普遍适用于任何企业,成功的身份认证应用通常是在小范围内展开。企业应该从削减成本、理顺工作流等问题中挑出自己希望最先解决的问题,然后从那里开始入手。对于规模较大的企业用户来说,还需要了解该项目部署可能涉及的范围。
数字身份认证产品并不是即插即用或经过简单安装就能使用的方案,而是需要与业务流程进行密切磨合,企业必须在进行方案选型之前制订战略规划,找出目前无法妥善解决的问题,对需要保护的数字信息进行安全性评估,然后决定需要投入多少。对于安全性较弱的数字信息,就没有必要投入巨大的人力物力实施安全性最高的身份认证产品。同时,对于机密性很强的信息系统,当然安全性应该放在第一位,但同时也要考虑实施和维护的成本。如果一个身份认证系统安装、维护、使用的专业性要求很高,用户在使用的时候还需要学习很长时间,那么对于中小企业来说,这未必就是一个有价值的数字身份认证产品。总之,企业应对方案能够实现哪些功能做到心里有数,而这是一个长期摸索、调整过程。
防内甚于防外 需要提醒是,目前有很多人认为,数字认证都是对外部人使用的,因为只有外部人才无法区分是否是合法的用户,这种观点是片面的。当今社会是一个流动性的社会,一个离职的员工很可能带走的就是企业核心的机密信息,一个内部人员接触信息资源的机会远远大于外部人员,如果一旦出现问题,他所带来的损失会远远大于外部的威胁,所以防内甚于防外。对于企业内部人员访问企业信息资源的时候,也应该选择一个合适的数字身份认证产品。
不要期望立刻获得回报 与实施任何大型IT项目一样,部署数字身份认证产品需要时间。企业通常需要几个月时间来搭建身份管理的基础架构,然后再用几个月时间使最早部署的几个功能模块运转起来。在系统部署两三个月之后,用户才开始看到它的价值,其价值完全呈现出来可能需要6个月或更长时间。这期间需要用户耐心、细心地发现问题和解决问题。
多选项组合 一般情况下,建议企业选择两种或多种不同安全级别的数字身份认证产品,如目前众多网上银行采取的方法,有些银行采用用户名/密码方式为大众版网上银行,而有些银行采用动态口令为大众版网上银行,同时选用USB Key/证书方式为专业版网上银行。
要想芝麻开门,企业必须投入,但投入多少还必须量身定做,对数字身份认证产品的选型也是一种平衡的艺术。
三种身份认证技术特点比较
链接:10个应该避免的安全管理误区
过分信任别人 企业IT面临的一个最大威胁是管理者过分信任员工。不良的个人习惯所带来的危害不亚于一个恶意员工给企业造成的损失。
认为一切都已经相当安全 一般来说要对企业和人生充满信心,但是对于安全还是应该更谨慎一些。
误信灾难恢复计划能够真正实施 备份内容是否全面?是否按时间定期(频繁)进行备份?能否通过备份恢复企业数据?更重要的是,备份内容是否有足够的物理安全,并且在物理上与服务器分离?
对关键资产采取错误的保护措施 在现实世界里,没有人能确保所有设备的安全,企业应该了解对于自身来说最重要的是哪些资产,以便对其进行保护。
无法说服领导批准安全需求 尽量说服企业领导层接受更好的安全方案。如果企业网络或网络程序在设计时没有将安全问题集成到设计中,或考虑得不周全,那么后续补救会更麻烦,效果也更差。
忽略移动用户不安全的无线接入 不论企业制定了怎样的网络使用规则或惩罚方式,一些习惯移动办公的企业员工很有可能为了方便而忽视整体安全方案。
没有很好地管理密码 保证密码有一定长度并且便于记忆是很重要的。即便是一个复杂的密码,长期不更换也不行。这就给了黑客充足的时间来研究密码,一旦密码被破解,企业信息系统就会遭受威胁。
电话支持时未有效验证呼叫方身份 很多黑客都用这种社会学方式直接从公司的技术支持人员处获取网络信息。
低估搜索引擎 就算公司的网页没有提供搜索功能,很多搜索引擎还是会让用户搜索到一些企业不愿与大家分享的信息。
安全措施文档化,但文档保护不力 一般而言,企业会将自身的安全策略和实施细节文档化,但确保文档安全更重要。