記者把全部精力投入到安全上面的時候,有趣的結果產生了:安全也是平的。
從安全網關、防火墻、UTM、防病毒、IDS/IPS、VPN,到內網身份認證、安全客戶端、安
全日誌、網管系統,看似獨立的安全產品已經出現了改變,無論是從早先的安全聯動、802.1X、還是
近期的私有安全協議、安全與目錄服務整合,都體現出了壹個趨勢:安全是密切相連的,是“妳中有
我,我中有妳。”
信息安全的第壹要素就是制定“企業安全規範”,而這個“安全規範”恰恰是企業各部
分業務與各種安全產品的整合,涵蓋了從存儲、業務傳輸、行為安全、網絡基礎設施、運行安全、系
統保護與物理連接的各個層面。
換句話說,安全已經不是傳統上的單壹設備,或者像某些廠商所講的那種獨立於網絡的
設備。事實上,近三年的發展已經證明,日後信息安全將會逐漸以用戶需求的系統方案為核心。而在
這套完整的安全方案之內,各部分都是有機聯系的,之間呈現壹種技術與需求交織的扁平網狀關系。
因此當大多數人還沈迷於“不著邊際”的《藍海戰略》的時候,記者則開始關註信息安
全的平坦化了。同時,為了讓更多的讀者了解信息安全的現狀,記者專門打造了“安全是平的”系列
專題,與大家壹起研究信息安全的新技術與新應用。
作為本系列的開篇之作,記者從“身份認證與內網安全”入手。這壹對密不可分的安全
要素,已經成為了當前安全界最熱門的話題,很多企業用戶對於兩者的關聯與部署充滿了疑問,而記
者也專門咨詢了Cisco、CA、Juniper、神州數碼網絡、深信服、新華人壽保險集團和福建興業銀行的
IT安全專家,與讀者壹起分享其中的心得。
大勢所趨從雙因數認證入手
目前在信息安全界有三大技術趨勢:第壹,可信計算;第二,身份認證與內網安全;第三,
統壹威脅管理(UTM)。根據IDC在今年1月份的統計報告,目前在身份認證與內網安全方面的需求最多
。而IDC近期出爐的《2006~2010中國IT安全市場分析與預測》報告則顯示:排名靠前的安全廠商都與
身份認證與內網安全沾邊。
在身份認證過程中,壹般都是基於用戶名和密碼的做法。根據美國《Network World》今
年8月份的調查結果,超過60%的企業已經對傳統的認證方式不放心了。
所謂雙因數認證,是針對傳統身份認證而言的。深信服的安全產品經理葉宜斌向記者表
示,隨著各種間諜軟件、鍵盤記錄工具的泛濫,企業的IT人員發現,僅僅依靠用戶名、密碼的單壹認
證體制非常不安全。而雙因數認證則基於硬件建權,通過建立證書系統來進行客戶端的認證工作。
另外,采用雙因數認證還可以保證客戶端登錄網絡的唯壹性。神州數碼網絡的安全產品
經理王景輝介紹說,安全證書的生成可以提取其他壹些信息,比如網卡MAC 地址、客戶端CPU的序列
號等。因此當壹臺筆記本電腦第壹次進入企業網絡時,第壹步是認證系統產生用戶名和密碼,第二步
則是系統收集筆記本的特征,進而提取具備唯壹性的信息,以便生成壹個唯壹對應的證書。所有的認
證信息都可以導入認證服務器,從而實現對客戶端唯壹性登錄的檢查。
根據美國和中國的統計,超過七成的政府部門都在使用證書系統保證身份認證的安全可
靠。此外,大部分網絡銀行服務業采用了證書模式。
招商銀行的IT專家透露說,目前該行已經在專業版網上銀行系統中采用安全數字證書,
並通過USB Key的方式進行保存。USB Key中存放的是用戶個人的數字證書,銀行和用戶各有壹份公鑰
和私鑰,用戶僅需要記憶壹個密碼就可以使用。
新華人壽保險集團的IT經理向記者表示,USB Key的認證模式在新華人壽已經全部實現了
,主要還是為日常的OA服務。而該項目的實施方,CA的安全專家介紹說,現在很多大型企業已經開始
采用證書系統,像新華人壽這樣的企業,對系統數據流安全非常關註,特別是關註那些很多到桌面、
到用戶文件的內容。
除了數字證書,還有壹種雙因數認證方式,即動態令牌。動態令牌根據基於時間的算法
,每分鐘都產生壹個5-6位的認證串號。在客戶端,用戶通過壹個類似電子表的硬件,計算出每分鐘
產生的令牌串號。那麽用戶登錄系統,只要輸入用戶名和相應時間段的串號,就可以安全登錄。
有意思的是,記者發現很多IT安全廠商自身都在使用動態令牌技術。像神州數碼網絡內
部的SSL VPN就采用了動態令牌的安全登錄方式。動態令牌避免了記憶密碼的過程,其壽命壹般為三
年。不過動態令牌由於內置了壹個相當精確的時鐘,因此成本較高。
2006-11-17 12:51 Namebus
平坦安全內網安全之美
前面講過了,目前安全界的趨勢是平坦化。壹套認證系統做的再強大,如果僅僅孤立存
在,仍然無法帶來更多的價值。事實上,認證系統越來越成為內網安全的壹個子系統,它確保了企業
網在出現安全問題的時候,內網安全機制能夠最終定位到具體的設備或者具體的人員上。
要知道,把安全問題落實到點上是多少年來企業IT人員的夢想。新華人壽的IT安全負責人向記者表示
,以前企業配置了IDS,結果壹旦網絡出現問題,IDS 就會不停的報警,然後給網管人員發出壹大堆
可疑的IP地址信息。網管不是計算機,讓它從壹堆IP地址中定位某壹臺設備,這簡直是在自虐。
利用認證系統,首先就可以保證網絡用戶的真實性與合法性。只有界定了合法用戶的範圍,才有定位
的可能性。
目前,不少安全廠商已經開始完善自身的內網安全技術,並與身份認證系統做到有機結合。王景輝介
紹說,他們已經把防水墻(客戶端系統)、DCBI認證系統、 IDS、防火墻結合在壹起組成了DCSM內網安
全管理技術,作為3DSMP技術的具體化。而在DCSM技術中,提出了五元素控制:即用戶名、用戶賬號、
IP地址、交換機端口、VLAN綁定在壹起,進壹步去做訪問控制。
在此基礎上,內網安全機制可以根據IDS/IPS的報警,對用戶進行判斷:比如是否為某個用戶發動了攻
擊?或者某個用戶是否感染了特定的病毒,比如發現該用戶掃描特定端口號就可以判斷感染了蠕蟲病
毒。此時,DCBI控制中心就會進行實時告警。若告警無效,系統就可以阻斷某個用戶的網絡聯結。
由於通過完整的認證過程,系統可以知道用戶所在交換機端口和所在的VLAN,封殺就會非常精確。
不難看出,壹套安全的認證系統,在內網安全方案中扮演著網絡準入控制NAC的角色。Cisco的安全工
程師介紹,壹套完善的認證機制與內網安全管理軟件組合在壹起,就可以實現豐富的準入控制功能。
此外,壹般這類管理軟件本身不需要安裝,只要通過服務器進行分發,就可以推給每壹臺試圖接入網
絡的計算機上。
而Juniper的安全產品經理梁小東也表示,把認證系統與內網安全系統結合起來,可以確保總體的網
絡設計更加安全。而且通過內置的安全協議,可以最大程度地讓更多的安全產品,如防火墻、
IDS/IPS、UTM、VPN等互動起來。而用戶也可以根據自己的預算和資金情況,選配不同的模塊,具備
了安全部署的靈活性。
在采訪的過程中,記者發現各個安全廠商已經在內網安全的問題上達成了***識。也許正如王景輝所講
的,雖然企業用戶都擁有完善的基礎設施,包括全套防病毒系統,可近兩年的狀況是,病毒大規模爆
發的次數不但沒有減少,反而更多了,而且大量安全事件都是從內網突破的。
因此總結起來看,要實現壹套完善的內網安全機制,第壹步就需要壹個集中的安全認證;第二步是部
署監控系統。讓IDS/IPS來監控網絡中的行為,去判斷是否存在某種攻擊或者遭遇某種病毒;第三步是
具體執行。當問題判斷出來以後,讓系統合理地執行很重要。傳統上封堵IP的做法,對於現在的攻擊
和病毒效果不好,因為現在的攻擊和病毒MAC地址及IP地址都可以變化。因此有效的方式,就是在安
全認證通過以後,系統就可以定位到某壹個IP的用戶是誰,然後確定相關事件發生在哪壹個交換機端
口上。這樣在采取行動的時候,就可以避免阻斷整個IP子網的情況。此外,通過利用802.1X協議,整
套安全系統可以把交換機也互動起來,這樣就可以更加精確地定位發生安全事件的客戶機在哪裏。
[table=80%][tr][td=5,1][align=center]主流安全認證技術壹瞥
[/align][/td][/tr][tr][td][align=center]屬性
[/align][/td][td][align=center]類型[/align][/td][td]
[align=center]主要特點[/align][/td][td][align=center]
應用領域[/align][/td][td][align=center]
主要問題[/align][/td][/tr][tr][td=1,2][align=center]
單因數認證[/align][/td][td][align=center]用戶名
密碼體制[/align][/td][td][align=center]靜態的認證方式,
實現簡單[/align][/td][td][align=center]常見於辦公網絡
[/align][/td][td][align=center]安全性較差
[/align][/td][/tr][tr][td][align=center]短信認證
[/align][/td][td][align=center]動態的認證方式,部署方便,成本
較低,安全性較高[/align][/td][td][align=center]常用於企
業IT部門或部分金融機構[/align][/td][td][align=center]無
法與AD結合[/align][/td][/tr][tr][td=1,2][align=center]
雙因數認證[/align][/td][td][align=center]數字證書
[/align][/td][td][align=center]安全性很高,可以與AD結合
使用。[/align][/td][td][align=center]常見於金融機構,政
府部門[/align][/td][td][align=center]系統開發的復雜度高
,存在壹定的證書安全隱患[/align][/td][/tr][tr][td][align=center]動態令牌[/align][/td][td][align=center]具有最
高的安全性,基本不會有單點安全的困擾[/align][/td][td][align=center]IT安全廠商有使用[/align][/td][td][align=center]
成本高昂[/align][/td][/tr][/table]
2006-11-17 12:54 Namebus
精明用戶混合認證模式
的確,純粹的雙因數認證對於安全起到了很高的保障作用。但不可否認的是,其帶來的IT管理問題也
無法忽視。
美國《Network World》的安全編輯撰文指出,美國很多年營業額在1.5億到10億美元的中型企業用戶
,很多都不考慮雙因數認證的問題。因為他們認為,雙因數認證系統不僅難於配置,而且花費在購買
和實施上的資金也較高,特別是其管理和維護的復雜度也過高。
回到國內,記者發現類似的問題確實也有不少。這個問題的關鍵在於,這些中型企業恰好處於市場的
成長期,用戶的賬號像兔子繁殖壹樣增加。因此認證需要的安全預算和人力不成正比。在此模式下,
部署最安全的雙因數認證體系固然會給企業的IT部分增加較大的壓力。
不過,這並不意味著認證安全無法解決。事實上,很多企業已經開始行動了。在此,記者很高興地看
到了壹種具有中國特色的“混合認證”模式已經投入了使用。
顧名思義,“混合認證”就是把傳統的身份認證與雙因數認證進行了整合,以求獲得最佳性價比。在
此,請跟隨記者去看看福建興業銀行的典型應用。福建興業銀行在認證系統中,將對人的認證和對機
器的認證進行了有機結合。在OA辦公領域,采用的都是傳統的“用戶名+密碼”的方式,而在分散各
地的ATM機器中,采用了雙因數認證,通過收集ATM機器的序列號與後臺的Radius服務器進行自動無線
認證,從而確保了安全監管的需求。
“我們通過這種混合認證模式,既保證了OA系統的簡單、高效,同時又在安全的基礎上,降低了企業
網的運營成本。”福建興業銀行的IT安全負責 人解釋說,“這是把有限的資金用在生產網上。”
對於類似的認證,確實可以確保企業的安全與利益。神州數碼網絡的安全產品經理顏世峰曾向記者坦
言,如果國內企業普遍采用了混合認證模式,那麽可以極大地規範企業網中的隱性安全問題,包括壹
些私有設備和無線設備的準入控制,都可以低成本地解決。
事實上,中國特色的模式還不僅如此。葉宜斌曾經和記者開玩笑地說道:“在這個世界上,沒有哪個
國家的人比中國人更喜歡發短信了。”因此,利用短信進行安全認證也成為了壹大特色。
短信認證的成本很低,客戶端只需要壹部手機,服務器端類似壹部具備SIM卡的短信群發機。用戶登
錄時用手機接收用戶名和密碼,這種模式甚至可以規定用戶安全認證的期限。不過葉宜斌也指出,短
信認證雖然安全、成本低,但是其無法與企業目錄服務(AD)進行整合,因此易用性受到挑戰。
2006-11-17 12:57 Namebus
系統整合平坦概念出爐
近年來,在美國安全界壹直有壹個困擾:就是如何避免內網安全的泥石流問題。所謂泥石流問題,其
根源還是多重賬戶密碼現象。要知道,無論是多麽完善的認證系統,或者認證系統與內網安全技術結
合的多麽好,用戶都難以避免多賬戶密碼的輸入問題。
登錄賬戶、密碼,郵件賬戶、密碼,辦公賬戶、密碼等等,還有多賬戶、多密碼的問題已經引起企業
IT人員的重視。因為人們難以記憶不同的賬戶名和密碼,而這往往導致安全隱患的出現。事實上,在
2004年8月歐洲的InfoSecurity大會期間,有70%的倫敦往返者欣然地和其他在會議中的人士***享他們
的登錄信息,其初衷僅僅是為了少記憶壹點賬戶名和密碼。
為此,將安全認證、內網安全、包括VPN信息中的賬戶密碼統壹起來,已經是不可忽視的問題了。王
景輝介紹說,目前各家廠商都希望將認證系統、內網安全設備,包括VPN、UTM等,與企業的AD整合到
壹起。他認為,這樣做絕對是壹個很好的思路。
因為目前企業用AD的很多,微軟的產品多,因此安全技術中的所有模塊都可以進行整合,包括認證系
統與AD的深度開發。在很多情況下,讓企業的IT人員維護兩套甚至更多的賬號系統壹樣也是不現實的
,而且相當麻煩。
合理的方法是與用戶既有的認證系統結合起來,而目前使用最多的就是域賬號。對此,企業的VPN、
動態VPN包括認證系統都可以使用相同的AD賬戶,從而實現單點登錄(Single Sign On)。
從更大的方面說,整個網絡準入控制階段都可以與AD結合。正如Cisco的安全工程師所說的,現在的
整體安全技術,最起碼都要做到與AD結合,做到與Radius認證結合,因為這兩個是最常用的。
有意思的是,根據美國《Network World》和本報在2005年的統計,無論是中國用戶還是美國用戶,
企業網中部署AD的都相當多,從中也反映出Windows認證的規模最廣。但要把AD與內網安全進行整合
,目前最大挑戰在於,安全廠商必須對微軟的產品特別了解,需要壹定的技術支持才能做相應的開發
以新華人壽的認證系統為例,傳統的Windows登錄域界面已經被修改,新的界面已經與後臺AD和企業
郵件系統作了整合,壹次登錄就可以實現訪問所有應用。
此外,根據用戶的具體需求,王景輝表示內網安全技術還可以進壹步與LDAP、X.509證書進行結合。
記者了解到,目前國內的很多政府部門都在做類似的工作。以河南計生委的安全系統為例。河南計生
委的數字證書都是基於原CA公司的認證系統生成的。因此,他們在部署其他安全設備的時候,不能另
起爐竈再搞壹套,否則會出現多次認證的問題。這就要求安全廠商需要同原CA廠商合作,壹起做認證
接口的數據交換——安全廠商負責認證信息提交,CA廠商負責認證與返還信息。最後,與CA證書結合
後的安全系統同樣可以實現壹次性的三點認證(身份、域、VPN)。
記者註意到,美國《Network World》的安全編輯近期非常熱衷於統壹認證管理UIM的概念,他認為將
雙因數認證、企業中央AD、後臺認證服務器和信任倉庫、以及部分網絡準入控制的模塊整合在壹起,
就可以形成最完善的UIM體制。
其理由也很簡單—認證幾乎無可避免:很多應用使用權力分配的、或者所有權的認證方法和數據庫,
因此想要利用壹個簡單的認證平臺去支持所有的應用幾乎是不可能的。而這正是UIM存在的基礎。
對此,國內安全廠商的看法是,UIM很重要,可以解決企業用戶的認證管理問題,不過從更大的內網
安全方向看,UIM仍不是全部。顏世峰的看法是,壹套完善的內網安全技術至少包括三方面:第壹網絡
準入控制NAC(也可以算是UIM)。它保證了只有合法的、健康的主機才可以接入網絡,其中包括用戶身
份認證與接入設備的準入控制管理;第二,網絡終端管理NTM。它解決企業辦公終端的易用性、統壹管
理、終端安全等問題;第三,網絡安全運行管理NSRM。它可以動態保證網絡設備、網絡線路的安全、
穩定運行,自動發現網絡故障、自動解決並報警。
看到了麽,壹套身份認證系統,就牽扯出整個內網安全的各個組成部分。現在應該沒有人會懷疑安全
的平坦化了,但請記住,平坦才剛剛開始。
編看編想:平坦的安全缺乏標準
安全是平的,但在平坦的技術中缺乏標準。不論是身份認證還是更加龐大的內網安全,各個國家都沒
有對應的通用標準。事實上,即便是802.1X協議,各個安全廠家之間也無法完全通用。
對內網安全技術來說,現在國內外沒有壹個廠商大到有很強的實力,把不同的專業安全廠商的產品集
成到壹起,因此很多還要靠大家壹起來做。因此業界有天融信的TOPSEC,也有CheckPoint的OPSEC,
也有神州數碼自己定義的協議SOAP。
業界需要標準,但是沒有。王景輝無奈地向記者表示,各家廠商不得不定義自己的通信接口和密鑰協
商機制,其中還要確保協議隧道中的所有數據都是加密的。不過他同時認為,目前的狀態可以滿足市
場需求。
記得有印象,早在2000年就有人提出統壹安全標準的問題,但是做不到。退壹步說,目前安全市場的
趨勢是變化和更新速度非常快。開發壹個安全協議要考慮保護用戶現有和既有的投資,要讓過去的設
備能用起來。但現在的情況是,還沒有等協議出來,過去的設備已經過時了,從這個角度上說,統壹
所有廠家的安全協議沒有價值。
而且,各國政府在安全上是有自己的想法的,國際廠商出壹個協議,不壹定能夠認同。
__________________
I came, I saw, then I left.
囧~~~~~
手都麻了 , 不對 也要給啊