你的位置:首頁(yè) > 傳感技術(shù) > 正文

真的安全么?密碼安全身份識(shí)別,你確定?

發(fā)布時(shí)間:2014-11-29 責(zé)任編輯:sherryyu

【導(dǎo)讀】隨著威脅的多元化趨勢(shì),如高級(jí)持續(xù)性威脅、移動(dòng)自組網(wǎng)黑客攻擊和使用自帶設(shè)備帶來(lái)的內(nèi)部風(fēng)險(xiǎn),因此傳統(tǒng)的方法明顯不足。靜態(tài)密碼后患無(wú)窮,因此企業(yè)應(yīng)該將增強(qiáng)的身份驗(yàn)證擴(kuò)大到個(gè)人應(yīng)用程序和服務(wù)器以及云端系統(tǒng)。但密碼安全身份識(shí)別真的安全么?
 
面對(duì)云端、私有數(shù)據(jù)和設(shè)施安全日益嚴(yán)峻的挑戰(zhàn)。目前,建立通用的身份驗(yàn)證解決方式是最理想的方式:a) 支持樓宇、網(wǎng)絡(luò)以及云端服務(wù)和資源的綜合安全訪(fǎng)問(wèn);b) 支持移動(dòng)密鑰,可以通過(guò)智能手機(jī)或平板電腦方便和安全地訪(fǎng)問(wèn);c) 提供多重因子身份驗(yàn)證功能,實(shí)現(xiàn)最有效地威脅防護(hù);d) 能夠與支持近場(chǎng)通訊技術(shù)(NFC)的筆記本電腦、平板電腦和手機(jī)互操作,實(shí)現(xiàn)最佳安全性和用戶(hù)體驗(yàn)。通用的身份驗(yàn)證解決方案能夠保障IT和物理基礎(chǔ)設(shè)施的安全,同時(shí)又能夠作為集成解決方案的一部分,實(shí)現(xiàn)與傳統(tǒng)卡和NFC設(shè)備的互操作,有多種最佳實(shí)踐可以滿(mǎn)足這些要求。
 
IT安全的最佳實(shí)踐
 
最重要且最佳的實(shí)踐是摒棄純密碼的身份驗(yàn)證,而采用密碼與多重安全方法相結(jié)合。企業(yè)通常關(guān)注網(wǎng)絡(luò)周邊的安全,并在防火墻內(nèi)部依賴(lài)靜態(tài)密碼驗(yàn)證用戶(hù)的身份。隨著威脅的多元化趨勢(shì),如高級(jí)持續(xù)性威脅(APT)、移動(dòng)自組網(wǎng)黑客攻擊和使用自帶設(shè)備帶來(lái)的內(nèi)部風(fēng)險(xiǎn),因此傳統(tǒng)的方法明顯不足。靜態(tài)密碼后患無(wú)窮,因此企業(yè)應(yīng)該將增強(qiáng)的身份驗(yàn)證擴(kuò)大到個(gè)人應(yīng)用程序和服務(wù)器以及云端系統(tǒng)。
 
多重安全方法應(yīng)該包括多因子身份驗(yàn)證、設(shè)備身份驗(yàn)證、瀏覽器保護(hù)和交易身份驗(yàn)證。該方法采用集成式通用身份驗(yàn)證平臺(tái)以及實(shí)時(shí)威脅檢測(cè)功能。威脅檢測(cè)技術(shù)已經(jīng)在網(wǎng)上銀行和電子商務(wù)領(lǐng)域應(yīng)用了一段時(shí)間,該技術(shù)預(yù)計(jì)可以轉(zhuǎn)移到企業(yè)中,作為VPN或虛擬桌面等遠(yuǎn)程訪(fǎng)問(wèn)應(yīng)用的額外安全措施。
 
雙因子驗(yàn)證措施以前通常局限于動(dòng)態(tài)口令(OTP)密鑰、顯示卡和其他物理設(shè)備,但是目前正在被存儲(chǔ)到手機(jī)、平板電腦上的“軟件密鑰”以及瀏覽器密鑰取代。各個(gè)組織能夠使用用戶(hù)的智能手機(jī)替換專(zhuān)用的安全密鑰,普及第二個(gè)身份驗(yàn)證因子(“擁有的東西”),實(shí)現(xiàn)便利性。手機(jī)應(yīng)用程序產(chǎn)生OTP,或者通過(guò)短信將OTP發(fā)送到手機(jī)。為了實(shí)現(xiàn)更高的安全性,將身份驗(yàn)證憑證卡存儲(chǔ)到移動(dòng)設(shè)備的安全元件上或用戶(hù)身份模塊(SIM)芯片上。移動(dòng)密鑰也可以與云端應(yīng)用程序單點(diǎn)登錄功能相結(jié)合,將傳統(tǒng)的雙因子驗(yàn)證與單一設(shè)備上多個(gè)云端應(yīng)用程序的簡(jiǎn)化訪(fǎng)問(wèn)相融合。
 
隨著身份管理轉(zhuǎn)向云端,需要考慮其他關(guān)鍵因素。目前,關(guān)于此模式安全的探討都集中在保障平臺(tái)安全上,但隨著企業(yè)將應(yīng)用程序移動(dòng)到云端并充分利用軟件即服務(wù)(SaaS)的模式,在多個(gè)云端應(yīng)用程序中配置和撤銷(xiāo)用戶(hù)身份,同時(shí)確保安全、順暢的用戶(hù)登錄,解決這些挑戰(zhàn)至關(guān)重要。此外,本行業(yè)需要定義用于管理和支持自帶設(shè)備(BYOD)環(huán)境中大量的個(gè)人手機(jī)的最佳實(shí)踐。從個(gè)人設(shè)備到公司網(wǎng)絡(luò)或云端應(yīng)用程序的身份驗(yàn)證將成為一項(xiàng)關(guān)鍵要求。在保護(hù)企業(yè)數(shù)據(jù)和資源的同時(shí),保障BYOD用戶(hù)的個(gè)人隱私也非常關(guān)鍵。
IT安全的最佳實(shí)踐
[page]
門(mén)禁安全的最佳實(shí)踐
 
門(mén)禁系統(tǒng)的安全最佳實(shí)踐包括:使用雙重身份驗(yàn)證和密鑰保護(hù)機(jī)制的非接觸式智能卡技術(shù);智能卡基于開(kāi)放式標(biāo)準(zhǔn),能夠使用安全生態(tài)系統(tǒng)內(nèi)部的可信通信平臺(tái)上的安全信息傳送協(xié)議,與廣泛的產(chǎn)品進(jìn)行互操作。智能卡擁有通用、標(biāo)準(zhǔn)的卡邊緣,提高適應(yīng)性和互操作性,確保能夠在NFC智能手機(jī)上使用,從而用戶(hù)能夠在門(mén)禁控制中輪換使用智能卡或移動(dòng)設(shè)備。
 
保持門(mén)禁系統(tǒng)的 “與時(shí)俱進(jìn)”非常重要,其原因有很多。組織可能需要未來(lái)添加新應(yīng)用,如生物識(shí)別模板;合并、并購(gòu)或遷移需要在短時(shí)間內(nèi)重塑品牌并在重組時(shí)發(fā)行新憑證卡;滿(mǎn)足新的安全需要以減少損失,特別是當(dāng)現(xiàn)有系統(tǒng)是容易克隆的低頻解決方案時(shí),提高風(fēng)險(xiǎn)管理可能非常必要。另外,新立法或監(jiān)管要求可能要求提高安全性。另一方面,將多種應(yīng)用集成到一種解決方案可以帶來(lái)許多優(yōu)勢(shì),可以為組織提供集中式管理,為員工提供便利,使他們無(wú)需攜帶多張卡,即可執(zhí)行開(kāi)門(mén)、登錄電腦、使用考勤和安全打印管理系統(tǒng)、支付餐費(fèi)或交通費(fèi)、執(zhí)行非現(xiàn)金交易和其他應(yīng)用。該集成能在整個(gè)IT基礎(chǔ)設(shè)施的關(guān)鍵系統(tǒng)和應(yīng)用程序上實(shí)現(xiàn)多因子驗(yàn)證,而不僅僅在周邊進(jìn)行驗(yàn)證,因此提高了安全性。此外,集成使組織能夠利用現(xiàn)有的憑證卡投資,為網(wǎng)絡(luò)登錄無(wú)縫增加電腦桌面登錄,在整個(gè)公司網(wǎng)絡(luò)、系統(tǒng)和設(shè)施上建立完全互操作的多重安防解決方案。
 
門(mén)禁和網(wǎng)絡(luò)登錄的集成在聯(lián)邦機(jī)構(gòu)中尤為重要。2005年聯(lián)邦信息處理標(biāo)準(zhǔn)刊物201(FIPS 201)定義了標(biāo)準(zhǔn)化個(gè)人身份驗(yàn)證(PIV)智能憑證卡的要求,即,利用智能卡和生物識(shí)別技術(shù)進(jìn)行桌面電腦和門(mén)禁系統(tǒng)以增強(qiáng)身份驗(yàn)證。目前為止,F(xiàn)IPS 201多因子驗(yàn)證主要用于使用PKI驗(yàn)證的電腦桌面登錄和數(shù)字文檔簽名,但這些功能對(duì)于門(mén)禁PKI也非常有效,預(yù)計(jì)以后將被廣泛采用,成為聯(lián)邦身份驗(yàn)證的最佳實(shí)踐。PIV卡(可能包括用于電腦桌面登錄和物理門(mén)禁的多因子驗(yàn)證)預(yù)計(jì)將移植到NFC手機(jī)。目前,將PACS基礎(chǔ)設(shè)施升級(jí)至支持PIV卡,僅需要升級(jí)讀卡器,并使用身份驗(yàn)證模塊(包含所有的門(mén)禁PKI驗(yàn)證功能)增強(qiáng)現(xiàn)有面板和門(mén)控制器的功能。在讀卡器和現(xiàn)有的PACS面板之間插入這些模塊,無(wú)需像以前一樣將現(xiàn)有控制器基礎(chǔ)設(shè)施“拆除和更換”。
 
此外,也可以在商業(yè)場(chǎng)所提供相同的PKI驗(yàn)證功能。在PIV卡出現(xiàn)后的數(shù)年內(nèi),又定義了兩種憑證卡——用于政府承包商的PIV-interoperable (PIV-I)以及用于商業(yè)用途的商業(yè)身份驗(yàn)證 (CIV)卡。后者是PIV-I的商業(yè)版,并且可以充分利用聯(lián)邦政的PIV項(xiàng)目定義的標(biāo)準(zhǔn),將可靠的開(kāi)放式智能卡技術(shù)帶到聯(lián)邦政府機(jī)構(gòu)以外的組織機(jī)構(gòu)。
 
移動(dòng)化
 
將物理門(mén)禁和電腦桌面登錄集成到NFC手機(jī)上也是最佳實(shí)踐之一——用戶(hù)很少會(huì)丟失或遺忘該設(shè)備。通過(guò)提供一種、便捷的解決方案,用戶(hù)無(wú)需攜帶單獨(dú)的卡、OTP密鑰或密鑰卡,即可進(jìn)入大樓、登錄網(wǎng)絡(luò)、訪(fǎng)問(wèn)應(yīng)用程序和系統(tǒng)、遠(yuǎn)程訪(fǎng)問(wèn)安全網(wǎng)絡(luò)。此外,移動(dòng)門(mén)禁控制的云端身份配置模型可防止憑證卡復(fù)制,使發(fā)行臨時(shí)憑證卡、注銷(xiāo)丟失或失竊的憑證卡、根據(jù)需要監(jiān)控和修改安防參數(shù)等操作更加容易。
 
盡管移動(dòng)門(mén)禁控制有許多優(yōu)勢(shì),該技術(shù)不可能在未來(lái)幾年內(nèi)完全取代物理智能卡。相反,NFC手機(jī)將與胸卡和胸章共存,這樣組織可以在物理門(mén)禁系統(tǒng)內(nèi)實(shí)施智能卡、移動(dòng)設(shè)備或兩者混用。為該混合門(mén)禁控制環(huán)境建立一個(gè)升級(jí)路徑確保目前的技術(shù)投資在將來(lái)也可以利用,這一點(diǎn)非常重要。升級(jí)至新功能需要一種可擴(kuò)展和適應(yīng)性強(qiáng)的多重技術(shù)智能卡和讀卡器平臺(tái),該平臺(tái)能夠使舊憑證卡和新憑證卡技術(shù)集成到相同的卡上,同時(shí)能夠支持NFC移動(dòng)平臺(tái)。
 
同時(shí),組織也必須優(yōu)化傳統(tǒng)卡的安全發(fā)行。這包括為多重驗(yàn)證集成關(guān)鍵的可視和邏輯技術(shù),以及通過(guò)使用多重管理程序進(jìn)一步提高安全性,同時(shí)還需要提高發(fā)行系統(tǒng)的效率。大部分ID卡發(fā)行系統(tǒng)依靠二維身份驗(yàn)證,對(duì)比個(gè)人提供的憑證以及卡上顯示的身份數(shù)據(jù)(例如照片ID),以及更復(fù)雜的元素,如高分辨率圖像,或激光刻蝕的永久個(gè)人化特征,這使偽造和篡改根本行不通。智能卡芯片、磁條和其他數(shù)字部門(mén)成為第三個(gè)安全維度,卡數(shù)據(jù)容量擴(kuò)大后可以包含生物識(shí)別信息和其他信息,進(jìn)一步增強(qiáng)了驗(yàn)證。聯(lián)網(wǎng)智能化制卡系統(tǒng)可以在一步內(nèi)處理所有必要任務(wù),另一種有效的最佳實(shí)踐是將讀卡器/編碼器集成到卡打印機(jī)硬件中,使組織能夠在以后利用智能卡應(yīng)用帶來(lái)的優(yōu)勢(shì)。
 
物理門(mén)禁和電腦桌面登錄以及將兩種功能集成到單一解決方案的最佳實(shí)踐要求使用基于開(kāi)放式標(biāo)準(zhǔn)的智能卡技術(shù),并且該技術(shù)支持許多應(yīng)用并能夠移植到NFC手機(jī)。通過(guò)建立這一基礎(chǔ)并預(yù)先計(jì)劃升級(jí)至新功能,各個(gè)組織可以選擇在其物理門(mén)禁系統(tǒng)內(nèi)使用兩類(lèi)憑證卡技術(shù)。各個(gè)組織也可以經(jīng)過(guò)不斷改造滿(mǎn)足新需求,因此他們將能夠保護(hù)現(xiàn)有基礎(chǔ)設(shè)施的投資。
 
要采購(gòu)編碼器么,點(diǎn)這里了解一下價(jià)格!
特別推薦
技術(shù)文章更多>>
技術(shù)白皮書(shū)下載更多>>
熱門(mén)搜索
?

關(guān)閉

?

關(guān)閉