安全是平的-从身份认证与内网安全说起

提示 世界是平的 是美国 纽约时报 专栏作家托马斯 弗里德曼今年最轰动的著作 继早年的 凌志汽车与橄榄树 之后 弗里德曼再一次将全球化的平坦之路呈现在全球读者面前 只不过 这次的主角是 IT 的确 IT 产业将全球供应链与市场结合到一起 记者无意去研究宏观的 IT 环境 不过当记者把全 部精力投入到安全上面的时候 有趣的结果产生了 安全也是平的 从安全网关 防火墙 UTM 防病毒 IDS IPS VPN 到内网身份认证 安全客户端 安全日志 网管系统 看似独立的安全产品已经出现了改变 无论是从早先的安全联动 802 1X 还是近期的私有安 全协议 安全与目录服务整合 都体现出了一个趋势 安全是密切相连的 是 你中有我 我中有你 信息安全的第一要素就是制定 企业安全规范 而这个 安全规范 恰恰是企业各部分业务与各 种安全产品的整合 涵盖了从存储 业务传输 行为安全 网络基础设施 运行安全 系统保护与物理连 接的各个层面 换句话说 安全已经不是传统上的单一设备 或者像某些厂商所讲的那种独立于网络的设备 事实 上 近三年的发展已经证明 日后信息安全将会逐渐以用户需求的系统方案为核心 而在这套完整的安全 方案之内 各部分都是有机联系的 之间呈现一种技术与需求交织的扁平网状关系 因此当大多数人还沉迷于 不着边际 的 蓝海战略 的时候 记者则开始关注信息安全的平坦化 了 同时 为了让更多的读者了解信息安全的现状 记者专门打造了 安全是平的 系列专题 与大家一 起研究信息安全的新技术与新应用 作为本系列的开篇之作 记者从 身份认证与内网安全 入手 这一对密不可分的安全要素 已经 成为了当前安全界最热门的话题 很多企业用户对于两者的关联与部署充满了疑问 而记者也专门咨询了 Cisco CA Juniper 神州数码网络 深信服 新华人寿保险集团和福建兴业银行的 IT 安全专家 与读 者一起分享其中的心得 大势所趋大势所趋 从双因数认证入手从双因数认证入手 目前在信息安全界有三大技术趋势 第一 可信计算 第二 身份认证与内网安全 第三 统一威胁 管理 UTM 根据 IDC 在今年 1 月份的统计报告 目前在身份认证与内网安全方面的需求最多 而 IDC 近 期出炉的 2006 2010 中国 IT 安全市场分析与预测 报告则显示 排名靠前的安全厂商都与身份认证与 内网安全沾边 在身份认证过程中 一般都是基于用户名和密码的做法 根据美国 Network World 今年 8 月份 的调查结果 超过 60 的企业已经对传统的认证方式不放心了 所谓双因数认证 是针对传统身份认证而言的 深信服的安全产品经理叶宜斌向记者表示 随着各 种间谍软件 键盘记录工具的泛滥 企业的 IT 人员发现 仅仅依靠用户名 密码的单一认证体制非常不 安全 而双因数认证则基于硬件建权 通过建立证书系统来进行客户端的认证工作 另外 采用双因数认证还可以保证客户端登录网络的唯一性 神州数码网络的安全产品经理王景辉 介绍说 安全证书的生成可以提取其他一些信息 比如网卡 MAC 地址 客户端 CPU 的序列号等 因此当 一台笔记本电脑第一次进入企业网络时 第一步是认证系统产生用户名和密码 第二步则是系统收集笔记 本的特征 进而提取具备唯一性的信息 以便生成一个唯一对应的证书 所有的认证信息都可以导入认证 服务器 从而实现对客户端唯一性登录的检查 根据美国和中国的统计 超过七成的政府部门都在使用证书系统保证身份认证的安全可靠 此外 大部分网络银行服务业采用了证书模式 招商银行的 IT 专家透露说 目前该行已经在专业版网上银行系统中采用安全数字证书 并通过 USB Key 的方式进行保存 USB Key 中存放的是用户个人的数字证书 银行和用户各有一份公钥和私钥 用户 仅需要记忆一个密码就可以使用 新华人寿保险集团的 IT 经理向记者表示 USB Key 的认证模式在新华人寿已经全部实现了 主要还 是为日常的 OA 服务 而该项目的实施方 CA 的安全专家介绍说 现在很多大型企业已经开始采用证书系 统 像新华人寿这样的企业 对系统数据流安全非常关注 特别是关注那些很多到桌面 到用户文件的内 容 除了数字证书 还有一种双因数认证方式 即动态令牌 动态令牌根据基于时间的算法 每分钟都 产生一个 5 6 位的认证串号 在客户端 用户通过一个类似电子表的硬件 计算出每分钟产生的令牌串号 那么用户登录系统 只要输入用户名和相应时间段的串号 就可以安全登录 有意思的是 记者发现很多 IT 安全厂商自身都在使用动态令牌技术 像神州数码网络内部的 SSL VPN 就采用了动态令牌的安全登录方式 动态令牌避免了记忆密码的过程 其寿命一般为三年 不过动态 令牌由于内置了一个相当精确的时钟 因此成本较高 平坦安全平坦安全 内网安全之美内网安全之美 前面讲过了 目前安全界的趋势是平坦化 一套认证系统做的再强大 如果仅仅孤立存在 仍然无 法带来更多的价值 事实上 认证系统越来越成为内网安全的一个子系统 它确保了企业网在出现安全问 题的时候 内网安全机制能够最终定位到具体的设备或者具体的人员上 要知道 把安全问题落实到点上是多少年来企业 IT 人员的梦想 新华人寿的 IT 安全负责人向记者 表示 以前企业配置了 IDS 结果一旦网络出现问题 IDS 就会不停的报警 然后给网管人员发出一大堆 可疑的 IP 地址信息 网管不是计算机 让它从一堆 IP 地址中定位某一台设备 这简直是在自虐 利用认证系统 首先就可以保证网络用户的真实性与合法性 只有界定了合法用户的范围 才有定 位的可能性 目前 不少安全厂商已经开始完善自身的内网安全技术 并与身份认证系统做到有机结合 王景辉 介绍说 他们已经把防水墙 客户端系统 DCBI 认证系统 IDS 防火墙结合在一起组成了 DCSM 内网安 全管理技术 作为 3DSMP 技术的具体化 而在 DCSM 技术中 提出了五元素控制 即用户名 用户账号 IP 地址 交换机端口 VLAN 绑定在一起 进一步去做访问控制 在此基础上 内网安全机制可以根据 IDS IPS 的报警 对用户进行判断 比如是否为某个用户发动 了攻击 或者某个用户是否感染了特定的病毒 比如发现该用户扫描特定端口号就可以判断感染了蠕虫病 毒 此时 DCBI 控制中心就会进行实时告警 若告警无效 系统就可以阻断某个用户的网络联结 由于通过完整的认证过程 系统可以知道用户所在交换机端口和所在的 VLAN 封杀就会非常精确 不难看出 一套安全的认证系统 在内网安全方案中扮演着网络准入控制 NAC 的角色 Cisco 的安 全工程师介绍 一套完善的认证机制与内网安全管理软件组合在一起 就可以实现丰富的准入控制功能 此外 一般这类管理软件本身不需要安装 只要通过服务器进行分发 就可以推给每一台试图接入网络的 计算机上 而 Juniper 的安全产品经理梁小东也表示 把认证系统与内网安全系统结合起来 可以确保总体的 网络设计更加安全 而且通过内置的安全协议 可以最大程度地让更多的安全产品 如防火墙 IDS IPS UTM VPN 等互动起来 而用户也可以根据自己的预算和资金情况 选配不同的模块 具备了安 全部署的灵活性 在采访的过程中 记者发现各个安全厂商已经在内网安全的问题上达成了共识 也许正如王景辉所 讲的 虽然企业用户都拥有完善的基础设施 包括全套防病毒系统 可近两年的状况是 病毒大规模爆发 的次数不但没有减少 反而更多了 而且大量安全事件都是从内网突破的 因此总结起来看 要实现一套完善的内网安全机制 第一步就需要一个集中的安全认证 第二步是 部署监控系统 让 IDS IPS 来监控网络中的行为 去判断是否存在某种攻击或者遭遇某种病毒 第三步是 具体执行 当问题判断出来以后 让系统合理地执行很重要 传统上封堵 IP 的做法 对于现在的攻击和 病毒效果不好 因为现在的攻击和病毒 MAC 地址及 IP 地址都可以变化 因此有效的方式 就是在安全认 证通过以后 系统就可以定位到某一个 IP 的用户是谁 然后确定相关事件发生在哪一个交换机端口上 这样在采取行动的时候 就可以避免阻断整个 IP 子网的情况 此外 通过利用 802 1X 协议 整套安全系 统可以把交换机也互动起来 这样就可以更加精确地定位发生安全事件的客户机在哪里 主流安全认证技术一瞥 属性类型主要特点应用领域主要问题 用户名密码 体制 静态的认证 方式 实现 简单 常见于办公 网络 安全性较差 单因数认证 短信认证 动态的认证 方式 部署 方便 成本 较低 安全 性较高 常用于企业 IT 部门或部 分金融机构 无法与 AD 结合 双因数认证数字证书 安全性很高 可以与 AD 结合使用 常见于金融 机构 政府 部门 系统开发的 复杂度高 存在一定的 证书安全隐 患 动态令牌 具有最高的 安全性 基 本不会有单 点安全的困 扰 IT 安全厂商 有使用 成本高昂 精明用户精明用户 混合认证模式混合认证模式 的确 纯粹的双因数认证对于安全起到了很高的保障作用 但不可否认的是 其带来的 IT 管理问 题也无法忽视 美国 Network World 的安全编辑撰文指出 美国很多年营业额在 1 5 亿到 10 亿美元的中型企业 用户 很多都不考虑双因数认证的问题 因为他们认为 双因数认证系统不仅难于配置 而且花费在购买 和实施上的资金也较高 特别是其管理和维护的复杂度也过高 回到国内 记者发现类似的问题确实也有不少 这个问题的关键在于 这些中型企业恰好处于市场 的成长期 用户的账号像兔子繁殖一样增加 因此认证需要的安全预算和人力不成正比 在此模式下 部 署最安全的双因数认证体系固然会给企业的 IT 部分增加较大的压力 不过 这并不意味着认证安全无法解决 事实上 很多企业已经开始行动了 在此 记者很高兴地 看到了一种具有中国特色的 混合认证 模式已经投入了使用 顾名思义 混合认证 就是把传统的身份认证与双因数认证进行了整合 以求获得最佳性价比 在此 请跟随记者去看看福建兴业银行的典型应用 福建兴业银行在认证系统中 将对人的认证和对机器 的认证进行了有机结合 在 OA 办公领域 采用的都是传统的 用户名 密码 的方式 而在分散各地的 ATM 机器中 采用了双因数认证 通过收集 ATM 机器的序列号与后台的 Radius 服务器进行自动无线认证 从而确保了安全监管的需求 我们通过这种混合认证模式 既保证了 OA 系统的简单 高效 同时又在安全的基础上 降低了 企业网的运营成本 福建兴业银行的 IT 安全负责 人解释说 这是把有限的资金用在生产网上 对于类似的认证 确实可以确保企业的安全与利益 神州数码网络的安全产品经理颜世峰曾向记者 坦言 如果国内企业普遍采用了混合认证模式 那么可以极大地规范企业网中的隐性安全问题 包括一些 私有设备和无线设备的准入控制 都可以低成本地解决 事实上 中国特色的模式还不仅如此 叶宜斌曾经和记者开玩笑地说道 在这个世界上 没有哪 个国家的人比中国人更喜欢发短信了 因此 利用短信进行安全认证也成为了一大特色 短信认证的成本很低 客户端只需要一部手机 服务器端类似一部具备 SIM 卡的短信群发机 用户 登录时用手机接收用户名和密码 这种模式甚至可以规定用户安全认证的期限 不过叶宜斌也指出 短信 认证虽然安全 成本低 但是其无法与企业目录服务 AD 进行整合 因此易用性受到挑战 系统整合系统整合 平坦概念出炉平坦概念出炉 近年来 在美国安全界一直有一个困扰 就是如何避免内网安全的泥石流问题 所谓泥石流问题 其根源还是多重账户密码现象 要知道 无论是多么完善的认证系统 或者认证系统与内网安全技术结合 的多么好 用户都难以避免多账户密码的输入问题 登录账户 密码 邮件账户 密码 办公账户 密码等等 还有多账户 多密码的问题已经引起企 业 IT 人员的重视 因为人们难以记忆不同的账户名和密码 而这往往导致安全隐患的出现 事实上 在 2004 年 8 月欧洲的 InfoSecurity 大会期间 有 70 的伦敦往返者欣然地和其他在会议中的人士共享他们 的登录信息 其初衷仅仅是为了少记忆一点账户名和密码 为此 将安全认证 内网安全 包括 VPN 信息中的账户密码统一起来 已经是不可忽视的问题了 王景辉介绍说 目前各家厂商都希望将认证系统 内网安全设备 包括 VPN UTM 等 与企业的 AD 整合到 一起 他认为 这样做绝对是一个很好的思路 因为目前企业用 AD 的很多 微软的产品多 因此安全技术中的所有模块都可以进行整合 包括认 证系统与 AD 的深度开发 在很多情况下 让企业的 IT 人员维护两套甚至更多的账号系统一样也是不现实 的 而且相当麻烦 合理的方法是与用户既有的认证系统结合起来 而目前使用最多的就是域账号 对此 企业的 VPN 动态 VPN 包括认证系统都可以使用相同的 AD 账户 从而实现单点登录 Single Sign On 从更大的方面说 整个网络准入控制阶段都可以与 AD 结合 正如 Cisco 的安全工程师所说的 现 在的整体安全技术 最起码都要做到与 AD 结合 做到与 Radius 认证结合 因为这两个是最常用的 有意思的是 根据美国 Network World 和本报在 2005 年的统计 无论是中国用户还是美国用户 企业网中部署 AD 的都相当多 从中也反映出 Windows 认证的规模最广 但要把 AD 与内网安全进行整合 目前最大挑战在于 安全厂商必须对微软的产品特别了解 需要一定的技术支持才能做相应的开发 以新华人寿的认证系统为例 传统的 Windows 登录域界面已经被修改 新的界面已经与后台 AD 和 企业邮件系统作了整合 一次登录就可以实现访问所有应用 此外 根据用户的具体需求 王景辉表示内网安全技术还可以进一步与 LDAP X 509 证书进行结合 记者了解到 目前国内的很多政府部门都在做类似的工作 以河南计生委的安全系统为例 河南计生委的 数字证书都是基于原 CA 公司的认证系统生成的 因此 他们在部署其他安全设备的时候 不能另起炉灶 再搞一套 否则会出现多次认证的问题 这就要求安全厂商需要同原 CA 厂商合作 一起做认证接口的数 据交换 安全厂商负责认证信息提交 CA 厂商负责认证与返还信息 最后 与 CA 证书结合后的安全系 统同样可以实现一次性的三点认证 身份 域 VPN 记者注意到 美国 Network World 的安全编辑近期非常热衷于统一认证管理 UIM 的概念 他认 为将双因数认证 企业中央 AD 后台认证服务器和信任仓库 以及部分网络准入控制的模块整合在一起 就可以形成最完善的 UIM 体制 其理由也很简单 认证几乎无可避免 很多应用使用权力分配的 或者所有权的认证方法和数据库 因此想要利用一个简单的认证平台去支持所有的应用几乎是不可能的 而这正是 UIM 存在的基础 对此 国内安全厂商的看法是 UIM 很重要 可以解决企业用户的认证管理问题 不过从更大的内 网安全方向看 UIM 仍不是全部 颜世峰的看法是 一套完善的内网安全技术至少包括三方面 第一网络 准入控制 NAC 也可以算是 UIM 它保证了只有合法的 健康的主机才可以接入网络 其中包括用