目前，很多企業(yè)已建立一套服務于業(yè)務，驅(qū)動業(yè)務發(fā)展的IT系統(tǒng)架構(gòu)、OA系統(tǒng)及各種業(yè)務系統(tǒng)，同時也部署了諸如防火墻、VPN等技術(shù)來保護IT系統(tǒng)。

 

盡管網(wǎng)絡的硬件和軟件環(huán)境看上去都受到了保護，達到理論的安全標準。但事實上，在整個IT系統(tǒng)架構(gòu)中依然存在一個很容易被忽視的部分——“用戶身份認證”。如果“身份”問題不能得到解決，黑客將會很容易冒充正常用戶進入到公司系統(tǒng)，竊取公司內(nèi)部的機密信息，使貌似安全的環(huán)境，卻成為“網(wǎng)絡安全最薄弱環(huán)節(jié)”。

 

許多公司僅用靜態(tài)密碼對他們重要的信息和交易業(yè)務進行保護，這是完全不夠的。靜態(tài)密碼很容易被黑客破解，對于一些重要的、機密的數(shù)據(jù)信息，只使用靜態(tài)密碼保護是絕對不足夠的。

 

20011年3月，RSA公司透露其受到網(wǎng)絡攻擊，攻擊造成SecurID的關鍵信息丟失。6月2日，RSA確認了在3月份的被盜的數(shù)據(jù)被用來攻擊洛克希德-馬丁公司和其他美國國防承包商。6月6日，該公司在全球范圍召回4000萬只SecurID。

 

針對這一事件的一項調(diào)查發(fā)現(xiàn)，越來越多的安全令牌用戶對雙因素認證技術(shù)感到焦慮。在接受調(diào)查的400名IT專業(yè)人士中，該事件讓他們有所覺醒，其中，44%的人正重新評估他們目前使用的令牌，15%的人加快了已經(jīng)計劃好的令牌選項評估。

 

由此可見，加密是確保認證安全性的關鍵。身份認證、數(shù)據(jù)傳輸安全、后臺系統(tǒng)安全性，這些都與加密息息相關。

 

來自SafeNet的一位技術(shù)專家表示，即使是竊取數(shù)據(jù)，一個攻擊者使用SecurID技術(shù)入侵一個公司也需要高超的技術(shù)和好運氣。

 

目前，加強用戶的身份管理，防止用戶身份的泄露，是公認的預防認證安全隱患的最有效措施。一方面是對使用用戶的認證，即使用認證服務的這個人是不是合法用戶？另一方面訪問的站點是不是合法站點，這個站點是否是合法站點，通過用戶自定義密碼和動態(tài)密碼結(jié)合的方式更保證了密碼的安全性。

 

來自SafeNet的亞太區(qū)副總裁陳泓先生，對這一事件表示非常遺憾和震驚，同時他自己也做了相關的分析，如下圖所示：

 

他認為通常身份認證供應商采用對稱算法，在每一個OTP（一次性密碼）里放置一個種子文件，認證的時候該種子文件需要與OTP服務器進行簽名，這一在給所有的客戶分發(fā)發(fā)Token令牌時，供應商會自己做編程然后把種子文件放在OTP認證的服務器上。

 

顯然，如果種子文件被偷了，將意味著整個安全系統(tǒng)的崩潰，任何拿到該種子文件的黑客可以輕易地仿冒任何客戶的身份，后果之嚴重可想而知。陳泓分析認為，SecurID事件很可能是因為這樣造成的，同時他也強調(diào)，對所有供應商來說，種子文件是令牌的核心。

對于可編程的種子，陳泓也給出了另一種解決方案，這也是SafeNet的解決方案，與前面那種方式相比而言，種子的生成不是在SafeNet這邊完成的，而是在客戶端做的，這樣做的最大優(yōu)勢在于，即使一個客戶存在安全風險并出現(xiàn)問題，也不會影響到其他客戶。同時，陳泓也強調(diào)，客戶為了保證種子文件的安全，需要建立一整套的安全機制。

 

不過在記者看來，將可編程的種子放在客戶端，雖然可以避免整體受損，但并非所有客戶都能做到安全的保護，需要很專業(yè)的IT人員和完善的安全策略。所以，陳泓分析的這兩種方案各有千秋，都會存在一定的風險，客戶在選擇時也應該慎重考慮。

 

對于SecurID事件，RSA官方一直未就種子文件是否被攻破而表態(tài)，不過陳泓認為，種子文件是令牌的核心，如果不是核心出現(xiàn)問題，RSA也不太可能全部召回，因為RSA要把所有的種子文件都換掉，才能保證安全，保證網(wǎng)路不會再被黑客侵入。

 

值得一提的是，目前市場上有很多一次性密碼（OTP）身份驗證解決方案，雖然這些解決方案的特點無非是上述陳泓所說的那兩種，但用戶可選擇的供應商依然有很多，如Safenet就是一家比較專業(yè)的身份認證解決方案提供商。

 

在基于智能卡的身份驗證、密碼管理和公鑰基礎設施（PKI）方案等領域內(nèi)，SafeNet都取得了相當不錯的市場份額，該公司提供基于一次性密碼技術(shù)的身份驗證解決方案基于eToken NG-OTP設備，是SafeNet獨創(chuàng)的基于智能卡的混合Token令牌�？梢栽谶B通模式（采用USB連接）或分離模式（采用one-time密碼）下訪問網(wǎng)絡和應用程序。

 

SecurID事件的影響還在繼續(xù)，隨著多家供應商表示愿意為客戶更換使用RSA SecurID的解決方案，構(gòu)建可信的身份認證環(huán)境就顯得越來越重要。對于可信的身份認證，希望以下四個方面對用戶在選擇身份認證解決方案時，有所幫助：

◆可控性: 客戶能夠控制令牌種子值數(shù)據(jù)，并對令牌進行設置。

◆選擇性: 一個好的Token令牌認證服務提供商，應該有不同的選擇給客戶。

◆集中管理：更好地進行控制，實現(xiàn)統(tǒng)一平臺管理。

◆為云部署做好準備，無需改變現(xiàn)有平臺。

 

原文鏈接：http://netsecurity.51cto.com/art/201107/276094.htm

標簽： 安全 防火墻 服務器 網(wǎng)絡 網(wǎng)絡安全 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。