安全是平的 从身份认证与内网安全说起

提示：世界是平的是美国纽约时报专栏作家托马斯弗里德曼今年最轰动的著作，继早年的凌志汽车与橄榄树之后，弗里德曼再一次将全球化的平坦之路呈目前全球读者面前，只但是，这次的主角是IT的确，IT产业将全球供应链与市场结合到一起。记者无意去研究宏观的IT环境，但是当记者把所有精力投入到安全上面的时候，有趣的成果产生了:安全也是平的。从安全网关、防火墙、UTM、防病毒、IDS/IPS、VPN，到内网身份认证、安全客户端、安全日记、网管系统，看似独立的安全产品已经浮现了变化，无论是从早先的安全联动、802.1X、还是近期的私有安全合同、安全与目录服务整合，都体现出了一种趋势:安全是密切相连的，是“你中有我，我中有你。”信息安全的第一要素就是制定“公司安全规范”，而这个“安全规范”恰恰是公司各部分业务与多种安全产品的整合，涵盖了从存储、业务传播、行为安全、网络基本设施、运营安全、系统保护与物理连接的各个层面。换句话说，安全已经不是老式上的单一设备，或者像某些厂商所讲的那种独立于网络的设备。事实上，近三年的发展已经证明，后来信息安全将会逐渐以顾客需求的系统方案为核心。而在这套完整的安全方案之内，各部分都是有机联系的，之间呈现一种技术与需求交错的扁平网状关系。因此当大多数人还沉迷于“不着边际”的蓝海战略的时候，记者则开始关注信息安全的平坦化了。同步，为了让更多的读者理解信息安全的现状，记者专门打造了“安全是平的”系列专项，与人们一起研究信息安全的新技术与新应用。作为本系列的开篇之作，记者从“身份认证与内网安全”入手。这一对密不可分的安全要素，已经成为了目前安全界最热门的话题，诸多公司顾客对于两者的关联与部署布满了疑问，而记者也专门征询了Cisco、CA、Juniper、神州数码网络、深信服、新华人寿保险集团和福建兴业银行的IT安全专家，与读者一起分享其中的心得。【大势所趋】从双因数认证入手 目前在信息安全界有三大技术趋势:第一，可信计算;第二，身份认证与内网安全;第三，统一威胁管理(UTM)。根据IDC在今年1月份的记录报告，目前在身份认证与内网安全面的需求最多。而IDC近期出炉的中国IT安全市场分析与预测报告则显示:排名靠前的安全厂商都与身份认证与内网安全沾边。在身份认证过程中，一般都是基于顾客名和密码的做法。根据美国Network World今年8月份的调查成果，超过60%的公司已经对老式的认证方式不放心了。所谓双因数认证，是针对老式身份认证而言的。深信服的安全产品经理叶宜斌向记者表达，随着多种间谍软件、键盘记录工具的泛滥，公司的IT人员发现，仅仅依托顾客名、密码的单一认证体制非常不安全。而双因数认证则基于硬件建权，通过建立证书系统来进行客户端的认证工作。此外，采用双因数认证还可以保证客户端登录网络的唯一性。神州数码网络的安全产品经理王景辉简介说，安全证书的生成可以提取其她某些信息，例如网卡MAC 地址、客户端CPU的序列号等。因此当一台笔记本电脑第一次进入公司网络时，第一步是认证系统产生顾客名和密码，第二步则是系统收集笔记本的特性，进而提取具有唯一性的信息，以便生成一种唯一相应的证书。所有的认证信息都可以导入认证服务器，从而实现对客户端唯一性登录的检查。根据美国和中国的记录，超过七成的政府部门都在使用证书系统保证身份认证的安全可靠。此外，大部分网络银行服务业采用了证书模式。招商银行的IT专家透露说，目前该行已经在专业版网上银行系统中采用安全数字证书，并通过USB Key的方式进行保存。USB Key中寄存的是顾客个人的数字证书，银行和顾客各有一份公钥和私钥，顾客仅需要记忆一种密码就可以使用。新华人寿保险集团的IT经理向记者表达，USB Key的认证模式在新华人寿已经所有实现了，重要还是为平常的OA服务。而该项目的实行方，CA的安全专家简介说，目前诸多大型公司已经开始采用证书系统，像新华人寿这样的公司，对系统数据流安全非常关注，特别是关注那些诸多到桌面、到顾客文献的内容。除了数字证书，尚有一种双因数认证方式，即动态令牌。动态令牌根据基于时间的算法，每分钟都产生一种5-6位的认证串号。在客户端，顾客通过一种类似电子表的硬件，计算出每分钟产生的令牌串号。那么顾客登录系统，只要输入顾客名和相应时间段的串号，就可以安全登录。故意思的是，记者发现诸多IT安全厂商自身都在使用动态令牌技术。像神州数码网络内部的SSL VPN就采用了动态令牌的安全登录方式。动态令牌避免了记忆密码的过程，其寿命一般为三年。但是动态令牌由于内置了一种相称精确的时钟，因此成本较高。【平坦安全】内网安全之美 前面讲过了，目前安全界的趋势是平坦化。一套认证系统做的再强大，如果仅仅孤立存在，仍然无法带来更多的价值。事实上，认证系统越来越成为内网安全的一种子系统，它保证了公司网在浮现安全问题的时候，内网安全机制可以最后定位到具体的设备或者具体的人员上。要懂得，把安全问题贯彻到点上是多少年来公司IT人员的梦想。新华人寿的IT安全负责人向记者表达，此前公司配备了IDS，成果一旦网络浮现问题，IDS 就会不断的报警，然后给网管人员发出一大堆可疑的IP地址信息。网管不是计算机，让它从一堆IP地址中定位某一台设备，这简直是在自虐。运用认证系统，一方面就可以保证网络顾客的真实性与合法性。只有界定了合法顾客的范畴，才有定位的也许性。目前，不少安全厂商已经开始完善自身的内网安全技术，并与身份认证系统做到有机结合。王景辉简介说，她们已经把防水墙(客户端系统)、DCBI认证系统、 IDS、防火墙结合在一起构成了DCSM内网安全管理技术，作为3DSMP技术的具体化。而在DCSM技术中，提出了五元素控制:即顾客名、顾客账号、 IP地址、互换机端口、VLAN绑定在一起，进一步去做访问控制。在此基本上，内网安全机制可以根据IDS/IPS的报警，对顾客进行判断:例如与否为某个顾客发动了袭击?或者某个顾客与否感染了特定的病毒，例如发现该顾客扫描特定端标语就可以判断感染了蠕虫病毒。此时，DCBI控制中心就会进行实时告警。若告警无效，系统就可以阻断某个顾客的网络联结。由于通过完整的认证过程，系统可以懂得顾客所在互换机端口和所在的VLAN，封杀就会非常精确。不难看出，一套安全的认证系统，在内网安全方案中扮演着网络准入控制NAC的角色。Cisco的安全工程师简介，一套完善的认证机制与内网安全管理软件组合在一起，就可以实现丰富的准入控制功能。此外，一般此类管理软件自身不需要安装，只要通过服务器进行分发，就可以推给每一台试图接入网络的计算机上。而Juniper的安全产品经理梁小东也表达，把认证系统与内网安全系统结合起来，可以保证总体的网络设计更加安全。并且通过内置的安全合同，可以最大限度地让更多的安全产品，如防火墙、IDS/IPS、UTM、VPN等互动起来。而顾客也可以根据自己的预算和资金状况，选配不同的模块，具有了安所有署的灵活性。在采访的过程中，记者发现各个安全厂商已经在内网安全的问题上达到了共识。也许正如王景辉所讲的，虽然公司顾客都拥有完善的基本设施，涉及全套防病毒系统，可近两年的状况是，病毒大规模爆发的次数不仅没有减少，反而更多了，并且大量安全事件都是从内网突破的。因此总结起来看，要实现一套完善的内网安全机制，第一步就需要一种集中的安全认证;第二步是部署监控系统。让IDS/IPS来监控网络中的行为，去判断与否存在某种袭击或者遭遇某种病毒;第三步是具体执行。当问题判断出来后来，让系统合理地执行很重要。老式上封堵IP的做法，对于目前的袭击和病毒效果不好，由于目前的袭击和病毒MAC地址及IP地址都可以变化。因此有效的方式，就是在安全认证通过后来，系统就可以定位到某一种IP的顾客是谁，然后拟定有关事件发生在哪一种互换机端口上。这样在采用行动的时候，就可以避免阻断整个IP子网的状况。此外，通过运用802.1X合同，整套安全系统可以把互换机也互动起来，这样就可以更加精确地定位发生安全事件的客户机在哪里。 主流安全认证技术一瞥属性类型重要特点应用领域重要问题单因数认证顾客名密码体制静态的认证方式，实现简朴常用于办公网络安全性较差短信认证动态的认证方式，部署以便，成本较低，安全性较高常用于公司IT部门或部分金融机构无法与AD结合双因数认证数字证书安全性很高，可以与AD结合使用。常用于金融机构，政府部门系统开发的复杂度高，存在一定的证书安全隐患动态令牌具有最高的安全性，基本不会有单点安全的困扰IT安全厂商有使用成本高昂【精明顾客】混合认证模式 的确，纯正的双因数认证对于安全起到了很高的保障作用。但不可否认的是，其带来的IT管理问题也无法忽视。美国Network World的安全编辑撰文指出，美国很近年营业额在1.5亿到10亿美元的中型公司顾客，诸多都不考虑双因数认证的问题。由于她们觉得，双因数认证系统不仅难于配备，并且耗费在购买和实行上的资金也较高，特别是其管理和维护的复杂度也过高。回到国内，记者发现类似的问题的确也有不少。这个问题的核心在于，这些中型公司正好处在市场的成长期，顾客的账号像兔子繁殖同样增长。因此认证需要的安全预算和人力不成正比。在此模式下，部署最安全的双因数认证体系固然会给公司的IT部分增长较大的压力。但是，这并不意味着认证安全无法解决。事实上，诸多公司已经开始行动了。在此，记者不久乐地看到了一种具有中国特色的“混合认证”模式已经投入了使用。顾名思义，“混合认证”就是把老式的身份认证与双因数认证进行了整合，以求获得最佳性价比。在此，请跟随记者去看看福建兴业银行的典型应用。福建兴业银行在认证系统中，将对人的认证和对机器的认证进行了有机结合。在OA办公领域，采用的都是老式的“顾客名+密码”的方式，而在分散各地的ATM机器中，采用了双因数认证，通过收集ATM机器的序列号与后台的Radius服务器进行自动无线认证，从而保证了安全监管的需求。“我们通过这种混合认证模式，既保证了OA系统的简朴、高效，同步又在安全的基本上，减少了公司网的运营成本。”福建兴业银行的IT安全负责 人解释说，“这是把有限的资金用在生产网上。”对于类似的认证，的确可以保证公司的安全与利益。神州数码网络的安全产品经理颜世峰曾向记者坦言，如果国内公司普遍采用了混合认证模式，那么可以极大地规范公司网中的隐性安全问题，涉及某些私有设备和无线设备的准入控制，都可以低成本地解决。事实上，中国特色的模式还不仅如此。叶宜斌曾经和记者开玩笑地说道:“在这个世界上，没有哪个国家的人比中国人更喜欢发短信了。”因此，运用短信进行安全认证也成为了一大特色。短信认证的成本很低，客户端只需要一部手机，服务器端类似一部具有SIM卡的短信群发机。顾客登录时用手机接受顾客名和密码，这种模式甚至可以规定顾客安全认证的期限。但是叶宜斌也指出，短信认证虽然安全、成本低，但是其无法与公司目录服务(AD)进行整合，因此易用性受到挑战。【系统整合】平坦概念出炉 近年来，在美国安全界始终有一种困扰:就是如何避免内网安全的泥石流问题。所谓泥石流问题，其本源还是多重账户密码现象。要懂得，无论是多么完善的认证系统，或者认证系统与内网安全技术结合的多么好，顾客都难以避免多账户密码的输入问题。登录账户、密码，邮件账户、密码，办公账户、密码等等，尚有多账户、多密码的问题已经引起公司IT人员的注重。由于人们难以记忆不同的账户名和密码，而这往往导致安全隐患的浮现。事实上，在8月欧洲的InfoSecurity大会期间，有70%的伦敦来回者欣然地和其她在会议中的人士共享她们的登录信息，其初衷仅仅是为了少记忆一点账户名和密码。为此，将安全认证、内网安全、涉及VPN信息中的账户密码统一起来，已经是不可忽视的问题了。王景辉简介说，目前各家厂商都但愿将认证系统、内网安全设备，涉及VPN、UTM等，与公司的AD整合到一起。她觉得，这样做绝对是一种较好的思路。由于目前公司用AD的诸多，微软的产品多，因此安全技术中的所有模块都可以进行整合，涉及认证系统与AD的深度开发。在诸多状况下，让公司的IT人员维护两套甚至更多的账号系统同样也是不现实的，并且相称麻烦。合理的措施是与顾客既有的认证系统结合起来，而目前使用最多的就是域账号。对此，公司的VPN、动态VPN涉及认证系统都可以使用相似的AD账户，从而实现单点登录(Single Sign On)。从更大的方面说，整个网络准入控制阶段都可以与AD结合。正如Cisco的安全工程师所说的，目前的整体安全技术，最起码都要做到与AD结合，做到与Radius认证结合，由于这两个是最常用的。故意思的是，根据美国Network World和本报在的记录，无论是中国顾客还是美国顾客，公司网中部署AD的都相称多，从中也反映出Windows认证的规模最广。但要把AD与内网安全进行整合，目前最大挑战在于，安全厂商必须对微软的产品特别理解，需要一定的技术支持才干做相应的开发。以新华人寿的认证系统为例，老式的Windows登录域界面已经被修改，新的界面已经与后台AD和公司邮件系统作了整合，一次登录就可以实现访问所有应用。此外，根据顾客的具体需求，王景辉表达内网安全技术还可以进一步与LDAP、X.509证书进行结合。记者理解到，目前国内的诸多政府部门都在做类似的工作。以河南计生委的安全系统为例。河南计生委的数字证书都是基于原CA公司的认证系统生成的。因此，她们在部署其她安全设备的时候，不能另起炉灶再搞一套，否则会浮现多次认证的问题。这就规定安全厂商需要同原CA厂商合伙，一起做认证接口的数据互换安全厂商负责认证信息提交，CA厂商负责认证与返还信息。最后，与CA证书结合后的安全系统同样可以实现一次性的三点认证(身份、域、VPN)。记者注意到，美国Network World的安全编辑近期非常热衷于统一认证管理UIM的概念，她觉得将双因数认证、公司中央AD、后台认证服务器和信任仓库、以及部分网络准入控制的模块整合在一起，就可以形成最完善的UIM体制。其理由也很简朴认证几乎无可避免:诸多应用使用权力分派的、或者所有权的认证措施和数据库，因此想要运用一种简朴的认证平台去支持所有的应用几乎是不也许的。而这正是UIM存在的基本。对此，国内安全厂商的见解是，UIM很重要，可以解决公司顾客的认证管理问题，但是从更大的内网安全方向看，UIM仍不是所有。颜世峰的见解是，一套完善的内网安全技术至少涉及三方面:第一网络准入控制NAC(也可以算是UIM)。它保证了只有合法的、健康的主机才可以接入网络，其中涉及顾客身份认证与接入设备的准入控制管理;第二，网络终端管理NTM。它解决公司办公终端的易用性、统一管理、终端安全等问题;第三，网络安全运营管理NSRM。它可以动态保证网络设备、网络线路的安全、稳定运营，自动发现网络故障、自动解决并报警。看到了么，一套身份认证系统，就牵扯出整个内网安全的各个构成部分。目前应当没有人会怀疑安全的平坦化了，但请记住，平坦才刚刚开始。编看编想:平坦的安全缺少原则 安全是平的，但在平坦的技术中缺少原则。不管是身份认证还是更加庞大的内网安全，各个国家都没有相应的通用原则。事实上，即便是802.1X合同，各个安全厂家之间也无法完全通用。对内网安全技术来说，目前国内外没有一种厂商大到有很强的实力，把不同的专业安全厂商的产品集成到一起，因此诸多还要靠人们一起来做。因此业界有天融信的TOPSEC，也有CheckPoint的OPSEC，也有神州数码自己定义的合同SOAP。业界需要原则，但是没有。王景辉无奈地向记者表达，各家厂商不得不定义自己的通信接口和密钥协商机制，其中还要保证合同隧道中的所有数据都是加密的。但是她同步觉得，目前的状态可以满足市场需求。记得有印象，早在就有人提出统一安全原则的问题，但是做不到。退一步说，目前安全市场的趋势是变化和更新速度非常快。开发一种安全合同要考虑保护顾客既有和既有的投资，要让过去的设备能用起来。但目前的状况是，还没有等合同出来，过去的设备已通过时了，从这个角度上说，统一所有厂家的安全合同没有价值。并且，各国政府在安全上是有自己的想法的，国际厂商出一种合同，不一定可以认同。