2023年-安全是平的从身份认证与内网安全说起.docx

提示：世界是平的是美国纽约时报专栏作家托马斯弗里德曼今年最轰动的著作，继早年的凌志汽车与橄榄树之后，弗里德曼再一次将全球化的平坦之路呈现在全球读者面前，只不过，这次的主角是IT的确，IT产业将全球供应链与市场结合到一起。记者无意去研究宏观的IT环境，不过当记者把全部 精力投入到安全上面的时候，有趣的结果产生了：安全也是平的。从安全网关、防火墙、UTM、防病毒、IDS/IPS、VPN,到内网身份认证、安全客户端、安全日志、网 管系统，看似独立的安全产品已经出现了改变，无论是从早先的安全联动、802. IX,还是近期的私有安全 协议、安全与目录服务整合，都体现出了一个趋势:安全是密切相连的，是“你中有我，我中有你。”信息安全的第一要素就是制定“企业安全规范”，而这个“安全规范”恰恰是企业各部分业务与各 种安全产品的整合，涵盖了从存储、业务传输、行为安全、网络基础设施、运行安全、系统保护与物理连 接的各个层面。换句话说，安全已经不是传统上的单一设备，或者像某些厂商所讲的那种独立于网络的设备。事实 上，近三年的发展已经证明，日后信息安全将会逐渐以用户需求的系统方案为核心。而在这套完整的安全 方案之内，各部分都是有机联系的，之间呈现一种技术与需求交织的扁平网状关系。因此当大多数人还沉迷于“不着边际”的蓝海战略的时候，记者则开始关注信息安全的平坦化 了。同时丁为了让更多的读者了解信息安全的现状，记者专门打造了 “安全是平的”系列专题，与大家一 起研究信息安全的新技术与新应用。作为本系列的开篇之作，记者从“身份认证与内网安全”入手。这一对密不可分的安全要素，已经 成为了当前安全界最热门的话题，很多企业用户对于两者的关联与部署充满了疑问，而记者也专门咨询了 Cisco. CA. Juniper.神州数码网络、深信服、新华人寿保险集团和福建兴业银行的IT安全专家，与读者 一起分享其中的心得。【大势所趋】从双因数认证入手目前在信息安全界有三大技术趋势:第一，可信计算;第二，身份认证与内网安全;第三，统一威胁管 理(UTM)。根据IDC在今年1月份的统计报告，目前在身份认证与内网安全方面的需求最多。而IDC近期出 炉的20062010中国IT安全市场分析与预测报告则显示:排名靠前的安全厂商都与身份认证与内网安 全沾边。在身份认证过程中，一般都是基于用户名和密码的做法。根据美国Network World)今年8月份的 调查结果，超过60%的企业已经对传统的认证方式不放心了。所谓双因数认证，是针对传统身份认证而言的。深信服的安全产品经理叶宜斌向记者表示，随着各 种间谍软件、键盘记录工具的泛滥，企业的IT人员发现，仅仅依靠用户名、密码的单一认证体制非常不安 全。而双因数认证则基于硬件建权，通过建立证书系统来进行客户端的认证工作。另外，采用双因数认证还可以保证客户端登录网络的唯一性。神州数码网络的安全产品经理王景辉 介绍说，安全证书的生成可以提取其他一些信息，比如网卡MAC地址、客户端CPU的序列号等。因此当一 台笔记本电脑第一次进入企业网络时，第一步是认证系统产生用户名和密码，第二步则是系统收集笔记本 的特征，进而提取具备唯一性的信息，以便生成一个唯一对应的证书。所有的认证信息都可以导入认证服 务器，从而实现对客户端唯一性登录的检查。根据美国和中国的统计，超过七成的政府部门都在使用证书系统保证身份认证的安全可靠。此外， 大部分网络银行服务业采用了证书模式。招商银行的IT专家透露说，目前该行已经在专业版网上银行系统中采用安全数字证书，并通过USB Key的方式进行保存。USB Key中存放的是用户个人的数字证书，银行和用户各有一份公钥和私钥，用户仅 需要记忆一个密码就可以使用。新华人寿保险集团的IT经理向记者表示，USB Key的认证模式在新华人寿已经全部实现了，主要还 是为日常的0A服务。而该项目的实施方，CA的安全专家介绍说，现在很多大型企业已经开始采用证书系 统，像新华人寿这样的企业，对系统数据流安全非常关注，特别是关注那些很多到桌面、到用户文件的内 容。除了数字证书，还有一种双因数认证方式，即动态令牌"动态令牌根据基于时间的算法，每分钟都 产生一个5-6位的认证串号。在客户端，用户通过一个类似电子表的硬件，计算出每分钟产生的令牌串号。 那么用户登录系统，只要输入用户名和相应时间段的串号，就可以安全登录。有意思的是，记者发现很多IT安全厂商自身都在使用动态令牌技术。像神州数码网络内部的SSL VPN 就采用了动态令牌的安全登录方式。动态令牌避免了记忆密码的过程，其寿命一般为三年。不过动态令牌 由于内置了一个相当精确的时钟，因此成本较高。【平坦安全】内网安全之美前面讲过了，目前安全界的趋势是平坦化。一套认证系统做的再强大，如果仅仅孤立存在，仍然无 法带来更多的价值。事实上，认证系统越来越成为内网安全的一个子系统，它确保了企业网在出现安全问 题的时候，内网安全机制能够最终定位到具体的设备或者具体的人员上。要知道，把安全问题落实到点上是多少年来企业IT人员的梦想。新华人寿的IT安全负责人向记者 表示，以前企业配置了 IDS,结果一旦网络出现问题，IDS就会不停的报警，然后给网管人员发出一大堆 可疑的IP地址信息。网管不是计算机，让它从一堆IP地址中定位某一台设备，这简直是在自虐。利用认证系统，首先就可以保证网络用户的真实性与合法性。只有界定了合法用户的范围，才有定 位的可能性。目前，不少安全厂商已经开始完善自身的内网安全技术，并与身份认证系统做到有机结合。王景辉 介绍说，他们己经把防水墙（客户端系统）、DCBI认证系统、IDS、防火墙结合在一起组成了 DCSM内网安 全管理技术，作为3DSMP技术的具体化。而在DCSM技术中，提出了五元素控制：即用户名、用户账号、IP 地址、交换机端口、VLAN绑定在一起，进一步去做访问控制。在此基础上，内网安全机制可以根据IDS/IPS的报警，对用户进行判断：比如是否为某个用户发动了 攻击?或者某个用户是否感染了特定的病毒，比如发现该用户扫描特定端口号就可以判断感染了蠕虫病毒。 此时，DCBI控制中心就会进行实时告警。若告警无效，系统就可以阻断某个用户的网络联结。由于通过完整的认证过程，系统可以知道用户所在交换机端口和所在的VLAN,封杀就会非常精确。不难看出，一套安全的认证系统，在内网安全方案中扮演着网络准入控制NAC的角色。Cisco的安全 工程师介绍，一套完善的认证机制与内网安全管理软件组合在一起，就可以实现丰富的准入控制功能。此 外，一般这类管理软件本身不需要安装，只要通过服务器进行分发，就可以推给每一台试图接入网络的计 算机上。而Juniper的安全产品经理梁小东也表示，把认证系统与内网安全系统结合起来，可以确保总体的 网络设计更加安全。而且通过内置的安全协议，可以最大程度地让更多的安全产品，如防火墙、IDS/IPS. UTM、VPN等互动起来。而用户也可以根据自己的预算和资金情况，选配不同的模块，具备了安全部署的灵 活性。在采访的过程中，记者发现各个安全厂商已经在内网安全的问题上达成了共识。也许正如王景辉所 讲的，虽然企业用户都拥有完善的基础设施，包括全套防病毒系统，可近两年的状况是，病毒大规模爆发 的次数不但没有减少，反而更多了，而且大量安全事件都是从内网突破的。因此总结起来看，要实现一套完善的内网安全机制，第一步就需要一个集中的安全认证;第二步是部 署监控系统。让IDS/IPS来监控网络中的行为，去判断是否存在某种攻击或者遭遇某种病毒;第三步是具体 执行。当问题判断出来以后，让系统合理地执行很重要。传统上封堵IP的做法，对于现在的攻击和病毒效 果不好，因为现在的攻击和病毒MAC地址及IP地址都可以变化。因此有效的方式，就是在安全认证通过以 后，系统就可以定位到某一个IP的用户是谁，然后确定相关事件发生在哪一个交换机端口上。这样在采取 行动的时候，就可以避免阻断整个IP子网的情况。此外，通过利用802. IX协议，整套安全系统可以把交 换机也互动起来，这样就可以更加精确地定位发生安全事件的客户机在哪里。主流安全认证技术一瞥属性类型主要特点应用领域主要问题单因数认证用户名密码 体制静态的认证 方式，实现 简单常见于办公 网络安全性较差短信认证动态的认证 方式，部署 方便，成本 较低，安全 性较高常用于企业 IT部门或部 分金融机构无法与AD结 合双因数认证数字证书安全性很 高，可以与 AD结合使 用。常见于金融 机构，政府 部门系统开发的 复杂度高， 存在一定的 证书安全隐 患动态令牌具有最图的安全性，基本不会有单点安全的困扰IT安全厂商有使用成本rWj昂【精明用户】混合认证模式的确，纯粹的双因数认证对于安全起到了很高的保障作用。但不可否认的是，其带来的IT管理问题 也无法忽视。美国Network World)的安全编辑撰文指出，美国很多年营业额在L 5亿到10亿美元的中型企业 用户，很多都不考虑双因数认证的问题。因为他们认为，双因数认证系统不仅难于配置，而且花费在购买 和实施上的资金也较高，特别是其管理和维护的复杂度也过高。回到国内，记者发现类似的问题确实也有不少。这个问题的关键在于，这些中型企业恰好处于市场 的成长期，用户的账号像兔子繁殖一样增加。因此认证需要的安全预算和人力不成正比。在此模式下，部 署最安全的双因数认证体系固然会给企业的IT部分增加较大的压力。不过，这并不意味着认证安全无法解决。事实上，很多企业已经开始行动了。在此，记者很高兴地 看到了一种具有中国特色的“混合认证”模式已经投入了使用。顾名思义，“混合认证”就是把传统的身份认证与双因数认证进行了整合，以求获得最佳性价比。 在此，请跟随记者去看看福建兴业银行的典型应用。福建兴业银行在认证系统中，将对人的认证和对机器 的认证进行了有机结合。在0A办公领域，采用的都是传统的“用户名+密码”的方式，而在分散各地的ATM 机器中，采用了双因数认证，通过收集ATM机器的序列号与后台的Radius服务器进行自动无线认证，从而 确保了安全监管的需求。“我们通过这种混合认证模式，既保证了 0A系统的简单、高效，同时又在安全的基础上，降低了企 业网的运营成本。”福建兴业银行的IT安全负责人解释说，“这是把有限的资金用在生产网上。”对于类似的认证，确实可以确保企业的安全与利益。神州数码网络的安全产品经理颜世峰曾向记者 坦言，如果国内企业普遍采用了混合认证模式，那么可以极大地规范企业网中的隐性安全问题，包括一些 私有设备和无线设备的准入控制，都可以低成本地解决。事实上，中国特色的模式还不仅如此。叶宜斌曾经和记者开玩笑地说道：“在这个世界上，没有哪个 国家的人比中国人更喜欢发短信了。”因此，利用短信进行安全认证也成为了一大特色。短信认证的成本很低，客户端只需要一部手机，服务器端类似一部具备SIM卡的短信群发机。用户 登录时用手机接收用户名和密码，这种模式甚至可以规定用户安全认证的期限。不过叶宜斌也指出，短信 认证虽然安全、成本低，但是其无法与企业目录服务(AD)进行整合，因此易用性受到挑战。【系统整合】平坦概念出炉近年来，在美国安全界一直有一个困扰:就是如何避免内网安全的泥石流问题。所谓泥石流问题，其 根源还是多重账户密码现象。要知道，无论是多么完善的认证系统，或者认证系统与内网安全技术结合的 多么好，用户都难以避免多账户密码的输入问题。登录账户、密码，邮件账户、密码，办公账户、密码等等，还有多账户、多密码的问题已经引起企 业IT人员的重视。因为人们难以记忆不同的账户名和密码，而这往往导致安全隐患的出现。事实上，在 2004年8月欧洲的TnfoSecurity大会期间，有70%的伦敦往返者欣然地和其他在会议中的人士共享他们的 登录信息，其初衷仅仅是为了少记忆一点账户名和密码。为此，将安全认证、内网安全、包括VPN信息中的账户密码统一起来，已经是不可忽视的问题了。 王景辉介绍说，目前各家厂商都希望将认证系统、内网安全设备，包括VPN、UTM等，与企业的AD整合到 一起。他认为，这样做绝对是一个很好的思路。因为目前企业用AD的很多，微软的产品多，因此安全技术中的所有模块都可以进行整合，包括认证 系统与AD的深度开发。在很多情况下，让企业的IT人员维护两套甚至更多的账号系统一样也是不现实的， 而且相当麻烦。合理的方法是与用户既有的认证系统结合起来，而目前使用最多的就是域账号。对此，企业的VPN、 动态VPN包括认证系统都可以使用相同的AD账户，从而实现单点登录(Single Sign On)。从更大的方面说，整个网络准入控制阶段都可以与AD结合。正如Cisco的安全工程师所说的，现在 的整体安全技术，最起码都要做到与AD结合，做到与Radius认证结合，因为这两个是最常用的。有意思的是，根据美国Network World和本报在2005年的统计，无论是中国用户还是美国用户， 企业网中部署AD的都相当多，从中也反映出Windows认证的规模最广。但要把AD与内网安全进行整合， 目前最大挑战在于，安全厂商必须对微软的产品特别了解，需要一定的技术支持才能做相应的开发。以新华人寿的认证系统为例，传统的Windows登录域界面已经被修改，新的界面已经与后台AD和企 业邮件系统作了整合，一次登录就可以实现访问所有应用。此外，根据用户的具体需求，王景辉表示内网安全技术还可以进一步与LDAP、X. 509证书进行结合。 记者了解到，目前国内的很多政府部门都在做类似的工作。以河南计生委的安全系统为例。河南计生委的 数字证书都是基于原CA公司的认证系统生成的。因此，他们在部署其他安全设备的时候，不能另起炉灶再 搞一套，否则会出现多次认证的问题。这就要求安全厂商需要同原CA厂商合作，一起做认证接口的数据交 换一一安全厂商负责认证信息提交，CA厂商负责认证与返还信息。最后，与CA证书结合后的安全系统同 样可以实现一次性的三点认证(身份、域、VPN) o记者注意到，美国Network World)的安全编辑近期非常热衷于统一认证管理UIM的概念，他认为 将双因数认证、企业中央AD、后台认证服务器和信任仓库、以及部分网络准入控制的模块整合在一起，就 可以形成最完善的UIM体制。其理由也很简单一认证几乎无可避免:很多应用使用权力分配的、或者所有权的认证方法和数据库, 因此想要利用一个简单的认证平台去支持所有的应用几乎是不可能的。而这正是UTM存在的基础。对此，国内安全厂商的看法是，UIM很重要，可以解决企业用户的认证管理问题，不过从更大的内网 安全方向看，UIM仍不是全部。颜世峰的看法是，一套完善的内网安全技术至少包括三方面:第一网络准入 控制NAC（也可以算是UIM）。它保证了只有合法的、健康的主机才可以接入网络，其中包括用户身份认证与 接入设备的准入控制管理;第二，网络终端管理NTM。它解决企业办公终端的易用性、统一管理.、终端安全 等问题;第三，网络安全运行管理NSRM。它可以动态保证网络设备、网络线路的安全、稳定运行，自动发 现网络故障、自动解决并报警。看到了么，一套身份认证系统，就牵扯出整个内网安全的各个组成部分。现在应该没有人会怀疑安 全的平坦化了，但请记住，平坦才刚刚开始。编看编想:平坦的安全缺乏标准安全是平的，但在平坦的技术中缺乏标准。不论是身份认证还是更加庞大的内网安全，各个国家都 没有对应的通用标准。事实上，即便是802. IX协议，各个安全厂家之间也无法完全通用。对内网安全技术来说，现在国内外没有一个厂商大到有很强的实力，把不同的专业安全厂商的产品 集成到一起，因此很多还要靠大家一起来做。因此业界有天融信的TOPSEC,也有Checkpoint的OPSEC,也 有神州数码自己定义的协议SOAPo业界需要标准，但是没有。王景辉无奈地向记者表示，各家厂商不得不定义自己的通信接口和密钥 协商机制，其中还要确保协议隧道中的所有数据都是加密的。不过他同时认为，目前的状态可以满足市场 需求。记得有印象，早在2000年就有人提出统一安全标准的问题，但是做不到。退一步说，目前安全市场 的趋势是变化和更新速度非常快。开发一个安全协议要考虑保护用户现有和既有的投资，要让过去的设备 能用起来。但现在的情况是，还没有等协议出来，过去的设备已经过时了，从这个角度上说，统一所有厂 家的安全协议没有价值。而且，各国政府在安全上是有自己的想法的，国际厂商出一个协议，不一定能够认同。