平坦的安全缺乏标准
安全是平的,但在平坦的技术中缺乏标准。不论是身份认证还是更加庞大的内网安全,各个国家都没有对应的通用标准。事实上,即便是802.1X协议,各个安全厂家之间也无法完全通用。
对内网安全技术来说,现在国内外没有一个厂商大到有很强的实力,把不同的专业安全厂商的产品集成到一起,因此很多还要靠大家一起来做。因此业界有天融信的TOPSEC,也有CheckPoint的OPSEC,也有神州数码自己定义的协议SOAP。
业界需要标准,但是没有。王景辉无奈地向记者表示,各家厂商不得不定义自己的通信接口和密钥协商机制,其中还要确保协议隧道中的所有数据都是加密的。不过他同时认为,目前的状态可以满足市场需求。
记得有印象,早在2000年就有人提出统一安全标准的问题,但是做不到。退一步说,目前安全市场的趋势是变化和更新速度非常快。开发一个安全协议要考虑保护用户现有和既有的投资,要让过去的设备能用起来。但现在的情况是,还没有等协议出来,过去的设备已经过时了,从这个角度上说,统一所有厂家的安全协议没有价值。
而且,中国政府在安全上是有自己的想法的,国际厂商出一个协议,不一定能够认同。像以前的WAPI事件,就是一个例子。
摸索中的身份管理
由于目前的工具、框架和标准还不成熟,部署全面的身份管理系统几乎是不可能的。但这并不意味着人们不能通过针对单一登录、双因素认证、自动配置或基于角色的访问控制的项目来完成身份管理的某些部分。
这正是今年Burton Group Catalyst大会的中心话题。在大会上,CEO Jamie Lewis指出,自去年大会后,业界主要在应用框架和工具领域取得了进展。不过,他补充说,这些框架还没有达到1.0状态,可能在相当长的时间内不会为黄金时代的来临做好准备。
但是,Lewis说:“有理由持谨慎乐观的态度。” CA、HP、IBM、Juniper、Microsoft、Novell和Oracle等主要厂商对身份管理作出了承诺。Sarbanes-Oxley法案等法规正在促使企业加强他们的内部控制。在线顾客认证已经成为涉及新银行法规和与身份偷窃以及在线欺诈相关的安全问题的热门话题。鉴于目前还没有一种完全合一的身份管理产品,各公司稳扎稳打,尝试利用部分产品来解决特殊问题。
例如,加拿大卡尔加里市TransCanada Pipeline公司有3000名用户,这些用户以前平均拥有13种口令,口令问题占帮助台呼叫的20%。据技术设计师Martin Vant Erve说,这家公司开始部署单一登录和双因素认证技术来提高安全性、方便用户的使用以及减少帮助台呼叫。
TransCanada选择了来自Passlogix公司的名为V-Go的单一登录产品,并采用了RSA SecureID(已经被公司20%的员工使用)提供的双因素认证。
Vant Erve谨慎地实施这一部署,成立了多个试验小组,甚至在开始时让用户自愿报名使用。最后,全公司接受了这个项目。该项目达到了两个目标:改进了安全性;方便了用户在公司3000种应用和网站间的导航。不过,Vant Erve发现帮助台呼叫增加了。他表示,“我忘了我的令牌现在成了人们打电话的3个主要原因之一。”
据Toro公司企业信息服务副总裁Michael Drazan说,遵从性是推动这家公司部署基于角色的访问控制的因素。
他当时有很多问题需要解决。首先,他的安全团队将大部分时间用于应付口令问题;其次,Drazan还面临一个财务上的限制:他不想把更多的钱用在安全上,因为他的主要战略目标是将IT资源用于帮助推动业务的发展,而非用在运营上。
因此,Drazan着手实施一项基于角色的访问控制项目。该项目基于Sun的Java System Access Manager和Prodigen的 Contouring Engine,对日志文件进行筛选,发现人们使用什么应用。例如,如果一位雇员访问12个应用但从来没有使用其中的9个应用,那么可以在与这位雇员、安全团队和数据所有者商量后,创建一个减少访问的新角色。
该公司采取了逐个应用实施的方式,已经完成了其核心SAP和Ariba应用的访问控制。Drazan说,SAP交易访问减少了63%,审计没遇到问题,安全管理减少了,其安全预算也没有增加。他说,下一步工作是将基于角色的访问控制扩展到交易员、批发商和供应商。
参加这次大会的其他用户强调了建立身份管理的困难。UBS公司经理William Gebhardt表示,当他尽全力建立安全的在线金融服务系统时,必须在安全可用性与成本之间取得平衡。例如,如果他减少令牌的尺寸,可以省钱,但他的老年客户可能看不清屏幕上的字。他说公司应当从建立身份管理架构入手,开始实施身份管理项目。但他接着说:“这将是相当困难的工作。”
联合的魅力——利用EAP结合PKI实现网络接入控制
为了保证网络资源的安全可控,网络接入控制已经成为当前主要的安全环节。其中,采用网络身份鉴别协议EAP同PKI技术相结合,成为了集通用、安全、高性价比于一身的做法。
网络,无论是局域网、城域网还是广域网,都是一种资源,而资源就需要保护,不能任何人、任何设备都随意接入。随着WLAN的迅速发展,网络接入变得更简单,但无线在带来方便性的同时,也使得网络接入的安全问题显得日益突出。
目前业界的看法是,网络接入控制是保证网络安全的一个重要环节,而接入控制的关键是身份鉴别。在已有的各种身份鉴别方法中,PKI是被公认为最安全有效的。而网络身份鉴别协议EAP同PKI的结合,能够实现安全的网络接入控制。
更多内容请看PCdog.com--Sniffer安全技术 安全认证 路由安全配置专题
