簡約科技 2015-07-23

---

對于企業(yè)而言，21世紀重要的除了人才恐怕還要加上一點，那就是數(shù)據(jù)。于是乎，各種安全手段紛紛上馬，一是保護企業(yè)正常業(yè)務，二就是保護企業(yè)重要數(shù)據(jù)。無論防火墻、防病毒、防黑客、防入侵等等，都或多或少地肩負著一些保護數(shù)據(jù)的責任。

保護數(shù)據(jù)不僅僅是要讓數(shù)據(jù)正確、長久地存在，更重要的是，要讓不該看到數(shù)據(jù)的人看不到。這方面，就必須依靠身份認證技術來給數(shù)據(jù)加上一把鎖。“門鎖”的意義就在于，讓該進來的人進來，而擋住不該進入的人。數(shù)據(jù)存在的價值就是需要被合理訪問，而不是把它押在箱子底下不讓人問津。所以，建立信息安全體系的目的應該是保證系統(tǒng)中的數(shù)據(jù)只能被有權限的人訪問，未經(jīng)授權的人則無法訪問到數(shù)據(jù)。如果沒有有效的身份認證手段，訪問者的身份就很容易被偽造，使得未經(jīng)授權的人仿冒有權限的人的身份，這樣，任何安全防范體系就都形同虛設，所有安全投入就被無情地浪費了。就好像人們建造了一座非常結(jié)實的房子，安裝了非常堅固的大門，卻沒有鎖門。

可以說，身份認證技術能夠密切結(jié)合企業(yè)的業(yè)務流程，阻止對重要資源的非法訪問。身份認證技術可以用于解決訪問者的物理身份和數(shù)字身份的一致性問題，給其他安全技術提供權限管理的依據(jù)。所以說，身份認證是整個信息安全體系的基礎。

身份如何驗證

如何通過技術手段保證物理身份與數(shù)字身份相對應呢?在真實世界中，驗證一個人的身份主要通過三種方式：一是根據(jù)你所知道的信息來證明身份，假設某些信息只有某人知道，比如暗號等，通過詢問這個信息就可以確認此人的身份;二是根據(jù)你所擁有的物品來證明身份，假設某一物品只有某人才有，比如印章等，通過出示該物品也可以確認個人的身份;三是直接根據(jù)你獨一無二的身體特征來證明身份，比如指紋、虹膜等。這三種方式中，恐怕只有指紋的安全系數(shù)是比較高的，其他方式都容易被他人仿冒。不過應用指紋識別的企業(yè)可謂鳳毛麟角，或者并沒有用到保護數(shù)據(jù)上。

更簡單、更有效的身份認證可以使用身份認證安全產(chǎn)品來實現(xiàn)。而身份認證技術又可以分為軟件認證和硬件認證。從認證需要驗證的條件來看，身份認證技術還可以分為單因子認證和雙因子認證。單因子認證是僅通過一個條件來驗證一個人的身份。由于只使用一種條件判斷用戶的身份，單因子認證很容易被仿冒。雙因子認證通過組合兩種不同條件(如通過密碼和芯片組合)來證明一個人的身份，安全性有了明顯提高。從認證信息來看，身份認證技術還可以分為靜態(tài)認證和動態(tài)認證?，F(xiàn)在計算機及網(wǎng)絡系統(tǒng)中常用的身份認證方式主要有以下幾種

用戶名/密碼方式 這是簡單也是較常用的身份認證方法。每個用戶的密碼是由用戶自己設定的，只有自己才知道。只要能夠正確輸入密碼，計算機就認為操作者是合法用戶。實際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個自認為安全的地方，這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，在驗證過程中需要在計算機內(nèi)存中和網(wǎng)絡中傳輸，而每次驗證使用的驗證信息都是相同的，很容易被駐留在計算機內(nèi)存中的木馬程序或網(wǎng)絡中的監(jiān)聽設備截獲。因此用戶名/密碼方式在保密要求稍高一些的地方已經(jīng)被認為是一種極不安全的身份認證方式。

IC卡認證 IC卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關的數(shù)據(jù)， IC卡由專門的廠商通過專門的設備生產(chǎn)，是不可復制的硬件。IC卡由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。然而由于每次從IC卡中讀取的數(shù)據(jù)是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡監(jiān)聽等技術還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。

動態(tài)口令 動態(tài)口令技術是一種讓用戶密碼按照時間或使用次數(shù)不斷變化、每個密碼只能使用一次的技術。它采用一種叫作動態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運行專門的密碼算法，根據(jù)當前時間或使用次數(shù)生成當前密碼并顯示在顯示屏上。認證服務器采用相同的算法計算當前的有效密碼。用戶使用時只需要將動態(tài)令牌上顯示的當前密碼輸入客戶端計算機，即可實現(xiàn)身份認證。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。動態(tài)口令技術采用一次一密的方法，有效保證了用戶身份的安全性。但是如果客戶端與服務器端的時間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無法登錄的問題。并且用戶每次登錄時需要通過鍵盤輸入一長串無規(guī)律的密碼，一旦輸錯就要重新操作，使用起來非常不方便。

生物特征認證 生物特征認證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術。常見的有指紋識別、虹膜識別等。從理論上說，生物特征認證是可靠的身份認證方式，因為它直接使用人的物理特征來表示每一個人的數(shù)字身份，不同的人具有不同的生物特征，因此幾乎不可能被仿冒。生物特征認證基于生物特征識別技術，受到該技術成熟度的影響，采用生物特征的認證技術具有較大的局限性。首先，生物特征識別的準確性和穩(wěn)定性還有待提高，特別是如果用戶身體受到傷病的影響，往往導致無法正常識別，造成合法用戶無法登陸。其次，由于研發(fā)投入較大和產(chǎn)量較小等原因，生物特征認證系統(tǒng)的成本非常高，目前只適合于一些安全性要求非常高的場合，如銀行、部隊等使用，目前還無法做到大面積推廣。

USB Key認證 就像用鑰匙開啟門鎖一樣，基于USB Key的身份認證方式是一種方便、安全的開啟電腦的方式。它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。USB Key具有安全可靠，便于攜帶、使用方便、成本低廉的優(yōu)點，加上PKI體系完善的數(shù)據(jù)保護機制，使用USB Key存儲數(shù)字證書的認證方式已經(jīng)成為目前主要的認證模式。

身份管理更上層樓

如果企業(yè)采用了先進的身份認證技術，而沒有對其進行有效管理的話，身份認證技術的效果就會大打折扣。據(jù)預測，到2015年，身份管理軟件的全球收入將達到100億美元，年復合增長率將達到9.7%。又據(jù)Gartner報告顯示，一個1萬人的企業(yè)若導入一套完整身份管理方案，可以在三年內(nèi)獲得高達300%的投資回報率，節(jié)省將近350萬美元的企業(yè)成本;此外，Giga Information Group也指出身份管理對于IT部們的工作效率、成本、帳號控管、權限設定等有很大的改善。而Price water house公司也表示目前會計公司的身份管理軟體每年都以2倍的速度在增長。這一些都表明，身份管理方案已漸成趨勢。

用戶身份管理是在企業(yè)、乃至更大范圍內(nèi)管理用戶身份的一個過程。它可幫助企業(yè)以低成本將恰當?shù)馁Y源提供給用戶。它的管理覆蓋用戶的整個工作流程，包括在不同系統(tǒng)上創(chuàng)建賬號、將訪問權擴展到外部服務，以及臨時暫停訪問權限或永久廢除賬號。有效的用戶身份服務能夠降低諸如密碼保密性能不足之類的安全風險，并較大可能地消除可能影響用戶生產(chǎn)力的障礙。另外，用戶身份服務還可通過基于角色的賬戶創(chuàng)建和企業(yè)資源訪問權限，來實現(xiàn)集中的管理功能和自動化功能。

企業(yè)應該按業(yè)務對用戶分組：員工、客戶、供應商、合作伙伴等等。每位用戶都有獨立的在線“身份”，以便于管理，以減少風險。相比而言，一個用戶只有一個身份要比有多個身份管理起來容易許多。企業(yè)可以按用戶的需求來管理他們的身份，并籍此不斷提高客戶滿意度。在企業(yè)內(nèi)部，用戶身份管理工具由IT部門部署，并與人力資源應用程序集成。具體的用戶角色都有預定義的訪問權限。當員工成為某一“角色”時，他對企業(yè)資源的訪問權限會按IT部門預定義的權限動態(tài)進行更新。這種方法從根本上降低了成本，并有效地實現(xiàn)了企業(yè)流程的自動化。在企業(yè)外部，當它吸引了一個客戶、供應商或合作伙伴時，它一定要確保用戶身份的注冊和交易過程是直接、順暢和安全的，這一點至關重要。為了讓用戶有被重視的感覺，一定要讓他們相信，他們所提交的信息將成為高度機密，并且不會出現(xiàn)安全問題。

身份管理系統(tǒng)如何選

對于許多企業(yè)來說，對大多數(shù)安全產(chǎn)品的選購基本可以做到心中有數(shù)了。但是對于身份管理系統(tǒng)來說，并不知道從哪些方面考察指標。下面幾個方面是身份管理系統(tǒng)所應該具備的。

目錄式基礎架構(gòu) 利用目錄，企業(yè)可以將員工信息歸類到易于訪問的分層結(jié)構(gòu)中。身份管理系統(tǒng)需要一個以穩(wěn)定且可擴展的目錄為基礎的強大的基礎性骨干架構(gòu)。這種體系結(jié)構(gòu)的優(yōu)勢使目錄能夠在簡單的分布式環(huán)境中同步、復制和鏈接不同信息庫的信息。目錄能夠跨越不同的地理位置提供超強的快速查找功能，這對企業(yè)的成功至關重要。

用戶驗證 我們現(xiàn)在可用生物識別、智能卡和數(shù)字許可證證書等方式來驗證用戶的身份。它們是可信交易的基礎。通過這些方式，企業(yè)可以在確保其與用戶之間的通信保持高度機密的同時，驗證用戶提交的信息，從而在雙方之間建立一定的信任級別。

單點登錄和安全訪問 單點登錄技術可以簡化對企業(yè)應用程序的訪問。它使用戶不必再為需要記住多個系統(tǒng)的多個訪問密碼而煩惱。安裝了這一功能后，管理員使用一個界面就可以管理多個系統(tǒng)，從而有助于降低IT部門的管理成本?；赪eb的業(yè)務提供了不同的系統(tǒng)接入點，讓用戶能通過因特網(wǎng)、外部網(wǎng)和內(nèi)部網(wǎng)等多種方式進行連接，輕松實現(xiàn)對多種公司資源的安全訪問。

自助式注冊和自助式管理 自助式注冊和自助式管理通過將相應的管理權交給用戶，從而降低了企業(yè)成本，提高了用戶效率。例如，用戶提交了一份基于Web的表格后就可完成關于某一業(yè)務的自助式注冊，然后立即就可以開始安全交易。這期間只需要很少，或者根本就不需要人工干預。密碼重設的成本也非常昂貴，如果用戶能夠自己重設遺忘的密碼，這不僅有利于公司的運營，同時還能減少IT部門的工作量，提高用戶工作效率。

帳戶移動性 身份管理戰(zhàn)略的一個關鍵要求就是要確保用戶賬戶的移動性，便于移動商務辦公。關鍵是用戶移動時，其身份也要移動，且無論用戶從何處連接公司網(wǎng)絡，他們都要具有相同的訪問級別。身份管理基礎架構(gòu)必須具備足夠的靈活性，才能滿足這一類型用戶對移動性的需求。另外，身份管理基礎架構(gòu)還必須具有開放和可擴展的特點，以便支持未來的Web服務和與其他業(yè)務環(huán)境的集成。

總體而言，身份和訪問管理問題通常具有雙重性質(zhì)。一方面要增加安全性，另一方面要降低成本?？梢愿鶕?jù)企業(yè)的具體需求，將天平傾向安全或成本。

---

---

---