安全是平的 从身份认证与内网安全说起

提示：《世界是平的》是美国《纽约时报》专栏作家托马斯·弗里德曼今年最轰动的著作，继早年的《凌志汽车与橄榄树》之后，弗里德曼再一次将全球化的平坦之路呈现在全球读者面前，只不过，这次的主角是IT的确，IT产业将全球供应链与市场结合到一起。记者无意去研究宏观的IT环境，不过当记者把全部精力投入到安全上面的时候，有趣的结果产生了:安全也是平的。从安全网关、防火墙、UTM、防病毒、IDS/IPS、VPN，到内网身份认证、安全客户端、安全日志、网管系统，看似独立的安全产品已经出现了改变，无论是从早先的安全联动、802.1X、还是近期的私有安全协议、安全与目录服务整合，都体现出了一个趋势:安全是密切相连的，是“你中有我，我中有你。”信息安全的第一要素就是制定“企业安全规范”，而这个“安全规范”恰恰是企业各部分业务与各种安全产品的整合，涵盖了从存储、业务传输、行为安全、网络基础设施、运行安全、系统保护与物理连接的各个层面。换句话说，安全已经不是传统上的单一设备，或者像某些厂商所讲的那种独立于网络的设备。事实上，近三年的发展已经证明，日后信息安全将会逐渐以用户需求的系统方案为核心。而在这套完整的安全方案之内，各部分都是有机联系的，之间呈现一种技术与需求交织的扁平网状关系。因此当大多数人还沉迷于“不着边际”的《蓝海战略》的时候，记者则开始关注信息安全的平坦化了。同时，为了让更多的读者了解信息安全的现状，记者专门打造了“安全是平的”系列专题，与大家一起研究信息安全的新技术与新应用。作为本系列的开篇之作，记者从“身份认证与内网安全”入手。这一对密不可分的安全要素，已经成为了当前安全界最热门的话题，很多企业用户对于两者的关联与部署充满了疑问，而记者也专门咨询了Cisco、CA、Juniper、神州数码网络、深信服、新华人寿保险集团和福建兴业银行的IT安全专家，与读者一起分享其中的心得。【大势所趋】从双因数认证入手目前在信息安全界有三大技术趋势:第一，可信计算;第二，身份认证与内网安全;第三，统一威胁管理(UTM)。根据IDC在今年1月份的统计报告，目前在身份认证与内网安全方面的需求最多。而IDC近期出炉的《2006～2010中国IT安全市场分析与预测》报告则显示:排名靠前的安全厂商都与身份认证与内网安全沾边。在身份认证过程中，一般都是基于用户名和密码的做法。根据美国《NetworkWorld》今年8月份的调查结果，超过60%的企业已经对传统的认证方式不放心了。所谓双因数认证，是针对传统身份认证而言的。深信服的安全产品经理叶宜斌向记者表示，随着各种间谍软件、键盘记录工具的泛滥，企业的IT人员发现，仅仅依靠用户名、密码的单一认证体制非常不安全。而双因数认证则基于硬件建权，通过建立证书系统来进行客户端的认证工作。另外，采用双因数认证还可以保证客户端登录网络的唯一性。神州数码网络的安全产品经理王景辉介绍说，安全证书的生成可以提取其他一些信息，比如网卡MAC地址、客户端CPU的序列号等。因此当一台笔记本电脑第一次进入企业网络时，第一步是认证系统产生用户名和密码，第二步则是系统收集笔记本的特征，进而提取具备唯一性的信息，以便生成一个唯一对应的证书。所有的认证信息都可以导入认证服务器，从而实现对客户端唯一性登录的检查。根据美国和中国的统计，超过七成的政府部门都在使用证书系统保证身份认证的安全可靠。此外，大部分网络银行服务业采用了证书模式。招商银行的IT专家透露说，目前该行已经在专业版网上银行系统中采用安全数字证书，并通过USBKey的方式进行保存。USBKey中存放的是用户个人的数字证书，银行和用户各有一份公钥和私钥，用户仅需要记忆一个密码就可以使用。新华人寿保险集团的IT经理向记者表示，USBKey的认证模式在新华人寿已经全部实现了，主要还是为日常的OA服务。而该项目的实施方，CA的安全专家介绍说，现在很多大型企业已经开始采用证书系统，像新华人寿这样的企业，对系统数据流安全非常关注，特别是关注那些很多到桌面、到用户文件的内容。除了数字证书，还有一种双因数认证方式，即动态令牌。动态令牌根据基于时间的算法，每分钟都产生一个5-6位的认证串号。在客户端，用户通过一个类似电子表的硬件，计算出每分钟产生的令牌串号。那么用户登录系统，只要输入用户名和相应时间段的串号，就可以安全登录。有意思的是，记者发现很多IT安全厂商自身都在使用动态令牌技术。像神州数码网络内部的SSLVPN就采用了动态令牌的安全登录方式。动态令牌避免了记忆密码的过程，其寿命一般为三年。不过动态令牌由于内置了一个相当精确的时钟，因此成本较高。【平坦安全】内网安全之美前面讲过了，目前安全界的趋势是平坦化。一套认证系统做的再强大，如果仅仅孤立存在，仍然无法带来更多的价值。事实上，认证系统越来越成为内网安全的一个子系统，它确保了企业网在出现安全问题的时候，内网安全机制能够最终定位到具体的设备或者具体的人员上。要知道，把安全问题落实到点上是多少年来企业IT人员的梦想。新华人寿的IT安全负责人向记者表示，以前企业配置了IDS，结果一旦网络出现问题，IDS就会不停的报警，然后给网管人员发出一大堆可疑的IP地址信息。网管不是计算机，让它从一堆IP地址中定位某一台设备，这简直是在自虐。利用认证系统，首先就可以保证网络用户的真实性与合法性。只有界定了合法用户的范围，才有定位的可能性。目前，不少安全厂商已经开始完善自身的内网安全技术，并与身份认证系统做到有机结合。王景辉介绍说，他们已经把防水墙(客户端系统)、DCBI认证系统、IDS、防火墙结合在一起组成了DCSM内网安全管理技术，作为3DSMP技术的具体化。而在DCSM技术中，提出了五元素控制:即用户名、用户账号、IP地址、交换机端口、VLAN绑定在一起，进一步去做访问控制。在此基础上，内网安全机制可以根据IDS/IPS的报警，对用户进行判断:比如是否为某个用户发动了攻击?或者某个用户是否感染了特定的病毒，比如发现该用户扫描特定端口号就可以判断感染了蠕虫病毒。此时，DCBI控制中心就会进行实时告警。若告警无效，系统就可以阻断某个用户的网络联结。由于通过完整的认证过程，系统可以知道用户所在交换机端口和所在的VLAN，封杀就会非常精确。不难看出，一套安全的认证系统，在内网安全方案中扮演着网络准入控制NAC的角色。Cisco的安全工程师介绍，一套完善的认证机制与内网安全管理软件组合在一起，就可以实现丰富的准入控制功能。此外，一般这类管理软件本身不需要安装，只要通过服务器进行分发，就可以推给每一台试图接入网络的计算机上。而Juniper的安全产品经理梁小东也表示，把认证系统与内网安全系统结合起来，可以确保总体的网络设计更加安全。而且通过内置的安全协议，可以最大程度地让更多的安全产品，如防火墙、IDS/IPS、UTM、VPN等互动起来。而用户也可以根据自己的预算和资金情况，选配不同的模块，具备了安全部署的灵活性。在采访的过程中，记者发现各个安全厂商已经在内网安全的问题上达成了共识。也许正如王景辉所讲的，虽然企业用户都拥有完善的基础设施，包括全套防病毒系统，可近两年的状况是，病毒大规模爆发的次数不但没有减少，反而更多了，而且大量安全事件都是从内网突破的。因此总结起来看，要实现一套完善的内网安全机制，第一步就需要一个集中的安全认证;第二步是部署监控系统。让IDS/IPS来监控网络中的行为，去判断是否存在某种攻击或者遭遇某种病毒;第三步是具体执行。当问题判断出来以后，让系统合理地执行很重要。传统上封堵IP的做法，对于现在的攻击和病毒效果不好，因为现在的攻击和病毒MAC地址及IP地址都可以变化。因此有效的方式，就是在安全认证通过以后，系统就可以定位到某一个IP的用户是谁，然后确定相关事件发生在哪一个交换机端口上。这样在采取行动的时候，就可以避免阻断整个IP子网的情况。此外，通过利用802.1X协议，整套安全系统可以把交换机也互动起来，这样就可以更加精确地定位发生安全事件的客户机在哪里。主流安全认证技术一瞥属性类型主要特点应用领域主要问题单因数认证用户名密码体制静态的认证方式，实现简单常见于办公网络安全性较差短信认证动态的认证方式，部署方便，成本较低，安全性较高常用于企业IT部门或部分金融机构无法与AD结合双因数认证数字证书安全性很高，可以与AD结合使用。常见于金融机构，政府部门系统开发的复杂度高，存在一定的证书安全隐患动态令牌具有最高的安全性，基本不会有单点安全的困扰IT安全厂商有使用成本高昂【精明用户】混合认证模式的确，纯粹的双因数认证对于安全起到了很高的保障作用。但不可否认的是，其带来的IT管理问题也无法忽视。美国《NetworkWorld》的安全编辑撰文指出，美国很多年营业额在1.5亿到10亿美元的中型企业用户，很多都不考虑双因数认证的问题。因为他们认为，双因数认证系统不仅难于配置，而且花费在购买和实施上的资金也较高，特别是其管理和维护的复杂度也过高。回到国内，记者发现类似的问题确实也有不少。这个问题的关键在于，这些中型企业恰好处于市场的成长期，用户的账号像兔子繁殖一样增加。因此认证需要的安全预算和人力不成正比。在此模式下，部署最安全的双因数认证体系固然会给企业的IT部分增加较大的压力。不过，这并不意味着认证安全无法解决。事实上，很多企业已经开始行动了。在此，记者很高兴地看到了一种具有中国特色的“混合认证”模式已经投入了使用。顾名思义，“混合认证”就是把传统的身份认证与双因数认证进行了整合，以求获得最佳性价比。在此，请跟随记者去看看福建兴业银行的典型应用。福建兴业银行在认证系统中，将对人的认证和对机器的认证进行了有机结合。在OA办公领域，采用的都是传统的“用户名+密码”的方式，而在分散各地的ATM机器中，采用了双因数认证，通过收集ATM机器的序列号与后台的Radius服务器进行自动无线认证，从而确保了安全监管的需求。“我们通过这种混合认证模式，既保证了OA系统的简单、高效，同时又在安全的基础上，降低了企业网的运营成本。”福建兴业银行的IT安全负责人解释说，“这是把有限的资金用在生产网上。”对于类似的认证，确实可以确保企业的安全与利益。神州数码网络的安全产品经理颜世峰曾向记者坦言，如果国内企业普遍采用了混合认证模式，那么可以极大地规范企业网中的隐性安全问题，包括一些私有设备和无线设备的准入控制，都可以低成本地解决。事实上，中国特色的模式还不仅如此。叶宜斌曾经和记者开玩笑地说道:“在这个世界上，没有哪个国家的人比中国人更喜欢发短信了。”因此，利用短信进行安全认证也成为了一大特色。短信认证的成本很低，客户端只需要一部手机，服务器端类似一部具备SIM卡的短信群发机。用户登录时用手机接收用户名和密码，这种模式甚至可以规定用户安全认证的期限。不过叶宜斌也指出，短信认证虽然安全、成本低，但是其无法与企业目录服务(AD)进行整合，因此易用性受到挑战。【系统整合】平坦概念出炉近年来，在美国安全界一直有一个困扰:就是如何避免内网安全的泥石流问题。所谓泥石流问题，其根源还是多重账户密码现象。要知道，无论是多么完善的认证系统，或者认证系统与内网安全技术结合的多么好，用户都难以避免多账户密码的输入问题。登录账户、密码，邮件账户、密码，办公账户、密码等等，还有多账户、多密码的问题已经引起企业IT人员的重视。因为人们难以记忆不同的账户名和密码，而这往往导致安全隐患的出现。事实上，在2004年8月欧洲的InfoSecurity大会期间，有70%的伦敦往返者欣然地和其他在会议中的人士共享他们的登录信息，其初衷仅仅是为了少记忆一点账户名和密码。为此，将安全认证、内网安全、包括VPN信息中的账户密码统一起来，已经是不可忽视的问题了。王景辉介绍说，目前各家厂商都希望将认证系统、内网安全设备，包括VPN、UTM等，与企业的AD整合到一起。他认为，这样做绝对是一个很好的思路。因为目前企业用AD的很多，微软的产品多，因此安全技术中的所有模块都可以进行整合，包括认证系统与AD的深度开发。在很多情况下，让企业的IT人员维