2000年左右互联网的普及带我们进入网络时代,2012年平板电脑和智能手机的普及带我们进入了即时通信时代。几年前,当我们探讨企业安全时,我们面对的环境相对单纯,涉及到的人往往仅是公司自己的员工,涉及到的设备仅仅是本地和远程办公室的部分终端,涉及到的访问点仅仅是网络或者VPN,涉及到的信息仅仅是服务器应用……而当我们刚刚设定好安全策略准备喘口气时,信息爆炸、即时通讯以及层出不穷的新型网络威胁惊扰了我们的“安枕梦”——内部外部各类用户需要使用企业数据,BYOD设备随处可见,访问点种类繁多越来越不可控,除了服务器应用外我们的很多信息还放到了公共云上……信息时代让我们体验便捷的同时让我们感到企业数据走在安全的边缘。在最近的一次“探寻可信、安全登录之谜”的技术研讨会上,记者采访了EMC信息安全事业部RSA中国区资深技术顾问冯崇彪,了解如何构建强身份认证体系以保证当今企业的信息安全。
冯崇彪介绍说,相对现在的安全手段来说,传统的威胁不足为患,但现代黑客攻击方式不断升级,鱼叉式的钓鱼工具、宙斯木马、APT的攻击,也叫高级可持续性威胁等新型攻击方式挑战着企业的安全防护体系,对企业的威胁非常之大。另外,BYOD(Bring Your Own Devices)已经成为一种新的办公方式,员工通常习惯于通过自己的智能手机、Pad等方式随时随地接入企业数据进行办公,这无疑给黑客更多的可乘之机。第三个方面就在云和可管理服务方面,云和虚拟化带来的资源共享给企业带来便利的同时也给身份认证带来了更多挑战。
面对喷涌而来的新型威胁方式,传统的认证方式自然无法招架,于是,多种身份认证手段随之而生,冯崇彪对如下的认证方式进行了一一解析:
一次性密码 (OTP):OTP是由一个静态口令加上一个令牌组成。令牌码,如时间型的令牌码,在当前这一分钟之内有效,过了这一分钟就无效,这个口令用一次别人就不能再用了,所以叫做一次性口令。总体而言,这种一次性密码在很大程度上能够加强用户的身份认证的安全,是非常好的一种认证方式。
基于风险的认证:基于风险的认证就不是一刀切,需要根据用户行为或者动作来判断他的行为或者动作风险的高低,根据他风险的高低来判别使用什么样的认证方式。在这里,冯崇彪举了一个非常贴切的例子,比如到淘宝买东西,突然有一天系统发现交易的IP地址来自于美国或者英国,是国外的一笔交易,而且这个数额还跟你平时正常的交易额差异很大,这样风险就比较高,系统会立即弹出告警,询问你,这是不是你自己做的交易,或者如果发现明显异常,就直接阻断你的交易,这就叫做基于风险的交易,即根据不同情况进行判断。
数字证书 (PKI):即公钥体系架构。冯崇彪介绍说,数字证书的技术是基于PKI的架构,用户做认证,首先需要申请证书,激活之后这个证书可以用于做邮件的加密或者做用户的认证等各种方式,如像银行的U盾或者游戏厂商的USB证书,通过这种数字证书也可以保证认证的安全。数字证书的方式也是双因素,需要有一个静态密码,一个证书,证书有软件和硬件的证书。USB这种属于硬件证书,但缺点是它在使用的时候要插到USB口,经常插拔,一是容易损坏,二是容易遗忘。现在有高级的黑客程序,对于这种U盾也可以做到对其访问,当你输入密码的时候,可以直接把你的私钥拿走,然后就可以做后面黑客动作,所以安全也是相对的。
动态的基于知识的认证:即通过询问客户问题的方式认证用户。问题库是基于现实中公共数据资源和商业数据资源,这在我们日常进行签证、论坛空间访问时也经常遇到。
介绍完四种认证方式后,冯崇彪指出,对于不同的挑战我们需要采用不同的认证技术,上面谈到了四个方面的挑战,一是不同的用户群,二是BYOD,三是迁移到云和可管理服务带来的新的问题,四是高级威胁的挑战。对于这四种不同的挑战,我们需要采用不同的认证技术。比如一次性口令,对于不同的用户群可以有不同的认证选择。BYOD的一次性口令可以内嵌到手机里边去,或者软件令牌的方式嵌到设备里边去,这种方式可以用。在针对云的挑战的时候,一种是可以用OTP联合身份做集成。联合身份是什么意思呢?企业可能有多个不同的应用,这个应用有的是公司内部的,有的是合作伙伴的,有的是门户的等等,用这种联合身份的方式,一个人在系统里边只有一个身份,原来可能有不同的用户名,但是在联合身份里边,实际上是一个身份的方式,这个集成之后,只要在进门口时做一次性口令认证,进去之后就会单点登录进去。
另外基于风险的认证,针对四个不同方面的挑战,可以去无缝的和不同的用户群采用,基于他的行为特点去判断风险的峰值,风险的峰值高,认证强度就强,低的话就用低的认证方式。用户自己要去管理认证设备。
RSA认为针对不同挑战应采用不同的安全技术
就RSA本身而言,冯崇彪介绍说,RSA提供广泛的认证技术、方法及平台,来满足客户的特定需求。每个客户对于自己的身份认证都有不同的需求,RSA可以满足提供各种认证的技术、方法。比如,RSA针对于各行各业规模不同的机构,提供不同的认证方式,同时可以保护集成最广泛的应用和设备,为不同的用户群提供强身份认证,提供不同的认证方式的因素以及认证处理的流程,而且根据客户的预算来定制,可以做客户的端到端的认证解决方案。与此同时,RSA也在持续创新,关注市场,防范新的高级威胁。
为方便企业用户,RSA推出了身份认证决策树,帮助企业理解怎么样去选择认证的方式。冯崇彪介绍说,现在市场上各种认证方式非常多,认证设备也非常多,认证技术也非常多,对于企业来说,很难判断应该用什么样的认证方式对于我来说是最合适的,这个工具可以帮助您来做这方面的决策,对于用户来说,只需回答下面四个问题:
您是否控制最终用户的环境?
访问是否仅限于web应用?
您的身份认证是否需要对文件加密?
身份认证方法是否要提供交易监控和其他检测?
完成选项之后,系统会根据作答自动给出建议的解决方案。例如,进行作答之后,系统显示这其中基于知识的身份认证、软件令牌、移动设备上的软件令牌、基于风险的身份认证、短信令牌,以上这些是适合该企业的,这样企业就可以开始考虑这些方面。
企业的风险变幻莫测,企业安全身份认证方式也要随需而变。