隨著IT步入虛擬化和云計(jì)算時(shí)代,信息安全面臨的挑戰(zhàn)也開(kāi)始朝著多元化復(fù)雜化的形勢(shì)發(fā)展。身份認(rèn)證作為防護(hù)信息資產(chǎn)的第一道關(guān)口,當(dāng)然需要隨之而變。RSA作為全球領(lǐng)先的信息安全解決方案提供商,在身份認(rèn)證方面提供最全和最新的解決方案供客戶使用。日前,e-works記者采訪到EMC信息安全事業(yè)部RSA中國(guó)區(qū)資深技術(shù)顧問(wèn)馮崇彪先生,請(qǐng)馮顧問(wèn)介紹了目前企業(yè)面臨的安全威脅、企業(yè)在身份認(rèn)證方面的挑戰(zhàn)和虛擬化和云計(jì)算時(shí)代的身份認(rèn)證跟傳統(tǒng)的認(rèn)證有什么區(qū)別,并請(qǐng)他就多種身份認(rèn)證的技術(shù)的優(yōu)缺點(diǎn)進(jìn)行了深入的分析,最后介紹了RSA認(rèn)證的方法以及相應(yīng)的解決方案。
圖1 RSA中國(guó)區(qū)資深技術(shù)顧問(wèn)馮崇彪
身份認(rèn)證技術(shù)是整個(gè)信息安全的基礎(chǔ),它是企業(yè)信息安全體系的門鎖,如果進(jìn)入者的身份都無(wú)從識(shí)別,那么再堅(jiān)固的房子都形同虛設(shè),因此身份認(rèn)證技術(shù)廣泛應(yīng)用在企業(yè)信息安全的各個(gè)層面。然而,隨著IT技術(shù)的快速發(fā)展,云計(jì)算、社交化、移動(dòng)辦公等大潮的侵襲,身份認(rèn)證的對(duì)象、應(yīng)用環(huán)境和場(chǎng)景都發(fā)生了變化,身份認(rèn)證開(kāi)始面臨巨大的挑戰(zhàn)。
這些挑戰(zhàn)里面,最熱詞當(dāng)數(shù)BYOD(Bring Your Own Device)。BYOD是指用自帶的設(shè)備到企業(yè)內(nèi)部,登錄到企業(yè)的網(wǎng)絡(luò)訪問(wèn)內(nèi)部的信息,這些設(shè)備包括智能手機(jī)、平板等等各種各樣的客戶端。從以前企業(yè)網(wǎng)絡(luò)內(nèi)部單一的設(shè)備到現(xiàn)在各式各樣的終端只是變化的一部分,事實(shí)上,使用這些終端的人員由以前單一的企業(yè)內(nèi)部員工,已經(jīng)演變成包上下游合作伙伴、客戶等等,而且這些設(shè)備接入的入口已經(jīng)擴(kuò)展到移動(dòng),連應(yīng)用都延伸到各種“云”里。“任何用戶、任何設(shè)備、任何地方接入,這些對(duì)于咱們現(xiàn)在的身份認(rèn)證就帶來(lái)了非常大的挑戰(zhàn)。” RSA中國(guó)區(qū)資深技術(shù)顧問(wèn)馮崇彪表示。
可見(jiàn),新時(shí)期的身份認(rèn)證,需要針對(duì)于不同的用戶的群體采取不同的認(rèn)證方式。馮顧問(wèn)列舉這些不同群體就包括內(nèi)部的員工、臨時(shí)工、合同工、合作伙伴、客戶、審計(jì)人員,還有遠(yuǎn)程需要接入的員工等等,這些用戶需要在任何的時(shí)間從任何的地方(比如在家里、出差的時(shí)候)使用任意設(shè)備(包括傳統(tǒng)的筆記本、臺(tái)式機(jī)或者是ipad等各種移動(dòng)設(shè)備)通過(guò)這些設(shè)備來(lái)進(jìn)行安全的訪問(wèn)。
圖2 新時(shí)期身份認(rèn)證的挑戰(zhàn)
除了不同用戶和BYOD外,“認(rèn)證”技術(shù)也需要加強(qiáng)。因?yàn),新的高?jí)威脅也給身份認(rèn)證也帶來(lái)了更高的挑戰(zhàn),比如攻擊者已經(jīng)由一個(gè)黑客發(fā)展成地下產(chǎn)業(yè)鏈、APT攻擊今年讓很多企業(yè)損失慘重,這些威脅需要通過(guò)更高級(jí)的分層策略來(lái)判斷和控制。第四個(gè)方面,云和可管理服務(wù)資源共享給大家?guī)?lái)便利的同時(shí),用戶去“云”上訪問(wèn)資源時(shí)候如何做身份認(rèn)證?另外一方面,客戶如何安全的通過(guò)托管的、可管理的身份認(rèn)證去訪問(wèn)第三方云平臺(tái)提供的認(rèn)證服務(wù)?
應(yīng)對(duì)這些挑戰(zhàn),馮顧問(wèn)介紹了四種認(rèn)證技術(shù):
·一次性口令(OTP)。它一般由一個(gè)靜態(tài)口令加上一個(gè)令牌組成比如時(shí)間型的令牌碼,在當(dāng)前這一分鐘之內(nèi)有效,過(guò)了這一分鐘就無(wú)效。并且這個(gè)口令用一次別人就不能再用了,所以叫做一次性口令。
·基于風(fēng)險(xiǎn)的認(rèn)證呢。它根據(jù)用戶行為或者動(dòng)作來(lái)判斷操作行為風(fēng)險(xiǎn)的高低,根據(jù)他風(fēng)險(xiǎn)的高低來(lái)判別使用什么樣認(rèn)證的方式。比如判斷網(wǎng)購(gòu)交易異常,數(shù)額高于一般交易時(shí)會(huì)彈出警告進(jìn)一步認(rèn)證操作者身份。
·數(shù)字證書。數(shù)字證書的技術(shù)是基于PKI的架構(gòu),用戶做認(rèn)證,首先需要申請(qǐng)證書,激活之后,這個(gè)證書可以用于做郵件的加密或者做用戶的認(rèn)證等等各。
·基于知識(shí)的認(rèn)證。它是通過(guò)詢問(wèn)客戶問(wèn)題的方式來(lái)做認(rèn)證。比如寵物的名稱等每個(gè)人設(shè)定的特有的問(wèn)題和答案。
這四種主流的身份認(rèn)證方式,各有不同的應(yīng)用場(chǎng)景,如圖2所示。“可以看出,數(shù)字證書的定位主要是基于設(shè)備的認(rèn)證,一次性令牌是對(duì)于人的認(rèn)證,基于知識(shí)的認(rèn)證可以應(yīng)對(duì)高速增長(zhǎng)的客群,而基于風(fēng)險(xiǎn)的認(rèn)證則可以廣泛應(yīng)用,各個(gè)側(cè)重點(diǎn)不同。”馮顧問(wèn)進(jìn)一步區(qū)別了四種技術(shù)的應(yīng)用場(chǎng)景。
圖3 不同認(rèn)證技術(shù)的應(yīng)用場(chǎng)景
“RSA的身份認(rèn)證方法主要是建立于基于風(fēng)險(xiǎn)的分析,是所有認(rèn)證解決方案的基礎(chǔ)。”馮顧問(wèn)講到RSA能提供廣泛的認(rèn)證技術(shù)、方法以及平臺(tái),來(lái)滿足客戶獨(dú)特的需求。他舉例到,“比如說(shuō)我們針對(duì)于各行各業(yè)不同大小的機(jī)構(gòu),有不同的認(rèn)證方式,同時(shí)可以保護(hù)集成最廣泛的應(yīng)用和設(shè)備。對(duì)于不同的應(yīng)用、設(shè)備,為不同的用戶群提供身份認(rèn)證,包括不同的認(rèn)證方式的因素以及認(rèn)證處理的流程。并且,RSA根據(jù)客戶的預(yù)算來(lái)定制,可以做客戶的端到端的認(rèn)證解決方案。”
在解決方案方面,RSA針對(duì)于不同的目標(biāo)市場(chǎng)都有相應(yīng)的不同使用場(chǎng)景,并且采用不同的技術(shù)和不同的解決方案,如圖4和圖5所示。對(duì)于小型和中型的SMB的企業(yè),主要用在保護(hù)SSL VPN和網(wǎng)絡(luò)應(yīng)用,所以使用基于風(fēng)險(xiǎn)的認(rèn)證,采用的是RSA Authentication Manager Express解決方案;對(duì)于企業(yè)級(jí)用戶,需要保護(hù)任何應(yīng)用門戶以及網(wǎng)絡(luò)架構(gòu),這里面使用認(rèn)證的技術(shù)有一次性口令以及基于風(fēng)險(xiǎn)的認(rèn)證,后臺(tái)使用的是RSA Authentication Manager認(rèn)證管理器;對(duì)于企業(yè)級(jí)的消費(fèi)者,主要是保護(hù)團(tuán)隊(duì)的應(yīng)用,比如保護(hù)網(wǎng)銀、網(wǎng)上游戲等等,還是使用基于風(fēng)險(xiǎn)的認(rèn)證技術(shù),采用RSA自適應(yīng)身份認(rèn)證。(自適應(yīng)是根據(jù)客戶的行為、根據(jù)客戶不同的用戶群、根據(jù)不同的使用產(chǎn)品和風(fēng)險(xiǎn)的級(jí)別,采用不同的認(rèn)證方式。);對(duì)于大型機(jī)構(gòu)對(duì)設(shè)備的認(rèn)證,采用RSA的數(shù)字證書服務(wù);對(duì)于面向B2C的市場(chǎng),是動(dòng)態(tài)的基于知識(shí)的認(rèn)證,比如我在賬號(hào)做登記或者做客戶支持電話的時(shí)候使用。
圖4 RSA解決方案平臺(tái)
圖5 RSA針對(duì)性的解決方案平臺(tái)
馮顧問(wèn)總結(jié)到,“RSA可以針對(duì)客戶不同的使用場(chǎng)景、不同的目標(biāo)客戶、不同的用戶情況,采用不同的技術(shù)和不同的解決方案,來(lái)為各類客戶提供獨(dú)特的定制化的方案。”因此,RSA的方案是全方位覆蓋云時(shí)代的身份認(rèn)證。這種全方位覆蓋,還體現(xiàn)在RSA對(duì)第三方平臺(tái)的集成上。比如RSA的自適應(yīng)身份認(rèn)證的平臺(tái),實(shí)際上是可以集成各種第三方的認(rèn)證方式。用戶可以從客戶端、中間的應(yīng)用端以及后臺(tái)的認(rèn)證端三方集成,包括提供KPI和開(kāi)放結(jié)果,比如跟蘋果的app store做一些相應(yīng)的集成。馮顧問(wèn)指出“ RSA提供多種選擇給客戶,客戶是想從便利性、成本以及安全性方面都得到滿足。” 此外,為了完善RSA方案的覆蓋力,每年RSA通過(guò)召開(kāi)信息安全大會(huì)和擴(kuò)大合作陣容,和國(guó)內(nèi)的友商一塊來(lái)推進(jìn)整個(gè)中國(guó)的市場(chǎng)。
在選擇身份認(rèn)證解決方案方面,馮顧問(wèn)認(rèn)為需要注重三方面的內(nèi)容,也是RSA做到的:第一點(diǎn),可用性,即兼顧用戶使用感受,首先就要注重方便性——不讓用戶覺(jué)得麻煩;第二點(diǎn)是可擴(kuò)展性,當(dāng)用戶量擴(kuò)大的時(shí)候額外擴(kuò)充身份認(rèn)證設(shè)備需要花很多錢;第三點(diǎn)是統(tǒng)一認(rèn)證,在統(tǒng)一平臺(tái)上管理用不同的技術(shù)實(shí)現(xiàn)的不同客戶的身份認(rèn)證,從而充分利用IT資源,最大化效率。
后記:信息安全問(wèn)題在云時(shí)代受到前所未有的重視,在身份認(rèn)證這個(gè)信息安全前端領(lǐng)域,要把好這個(gè)關(guān)卡,需要用全面的解決方案應(yīng)對(duì)多方的“情況”。因?yàn)檫@個(gè)“情況”不僅來(lái)自于不同的人,還有不同的設(shè)備,還有不同的分布式IT環(huán)境和不同地點(diǎn)的應(yīng)用。RSA的理念就是讓任何人在任何時(shí)間任何地點(diǎn)使用任何設(shè)備來(lái)進(jìn)行安全訪問(wèn),從馮顧問(wèn)的訪談里,我們可以清晰的看到這一點(diǎn)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:RSA馮崇彪:全面應(yīng)對(duì)云時(shí)代的身份認(rèn)證
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083936525.html