为确保网络安全,防火墙、杀毒软件、IPS等产品早已在企业网络中普遍部署,但这些主要针对的是外网的安全防护,在面对内网安全威胁时,往往形同虚设。有调查显示,目前有超过85%的安全威胁来自企业内部,其中16%来自企业内部未经授权的非法访问,40%来自电子文件的泄露。“内忧”胜于“外患”,内网安全问题已成为当前企业网络安全建设的重头戏,企业不仅需要牢固的边界安全,更需要稳定的内网安全。
内网安全数据为本
涉及内网安全的因素非常多,产品形式也比较多样,在哪些环节如何部署就显得非常重要。总体而言,内网安全集中关注的对象包括引起信息安全威胁的内网用户、应用环境、应用环境边界和内网通信安全,因此,如何在企业内网构建一个切实可行、简单易用的安全防护体系,是实施内网安全部署的关键所在。
怎样才能有效地实现内网安全呢?除了制定健全的内网安全机制,数据加密也是保护企业有价值数据的有效工具。利用数据加密解决方案可保护笔记本电脑、工作站和服务器等设备硬盘上所有文件(包括操作系统文件)的安全。即使硬盘被盗,企业依然可放心数据不会被非授权人浏览和获取。虽然黑客可以潜入企业的服务器,但是,也无法对服务器上的数据和信息资产造成破坏,因为这些资产都得到了安全的加密保护。
在对数据进行有效加密的同时,身份识别也可以帮助用户实现高强度的安全保护。随着“中国的赛班斯法”——《企业内部控制基本规范》的推广和实施,目前各大公司都在进行一场IT内控的变革,而业界普遍将身份识别定位为首要解决的关键问题。有效的身份识别方式能够为追溯行为和责任体系、审计证据链提供最有效和最有力的支撑。这种过程的价值在于它能够:允许有正当理由需要访问的人员访问;通过限制信息资产外露来降低风险;建立监控机制,针对事件追溯具体用户;高效地管理类似的用户群;实现内控符合风险管理的要求。因而建立更符合法律要求和审计的身份标识方法是每一个优秀企业完善内控,提高企业核心竞争力的必要前提。
身份认证可以通过智能卡、一次性口令,或者令牌的方式进行。当然,身份认证的授权方式必须是可定制的。用户可以选择使用密码或令牌做为授权的方式。真正好的身份认证技术,并不是要通过繁琐的加密步骤来困扰用户。企业用户每天都要登录各种应用系统,因此在不影响用户使用的前提下,简单的操作和高强度的保护,才能为用户提供一个安全、便利的环境。
数字证书认证身份
目前企业网络中应用的身份识别技术主要分为用户与主机、主机与主机之间的认证。在企业统一的身份认证框架中,集中身份认证系统需要对目前已有的身份认证方式,及未来可能会有的身份认证方式均提供支持,方便管理员根据需要进行选择。
在调查中,记者通过访问业内资深人士、天威诚信高级副总裁李延昭了解到,目前企业在选择身份认证方式时,通常需要考虑如下原则:第一,足够安全,即认证方式不容易被模仿(包括认证凭证的复制、认证过程的重放)或攻击(包括DOS攻击);第二,成本适当,安全和成本常常成反比,但是对于企业来说,既不能为了降低成本而采用不安全的认证方式,也不能为了片面追求安全而不顾成本;第三,使用方便,所有东西都是给人用的,如果因为使用不便而招致反感,则所有的安全措施都形同虚设;第四,提供开放的API接口,便于将认证方式集成到当前以及未来的应用框架中。
基于数字证书的认证方式能够满足当前以及未来的企业内网安全应用需求。数字证书通常是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,从而在网络上解决”我是谁”的问题。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障企业各种网络应用的安全性。
对企业用户而言,构建基于数字证书的身份认证体系有两个方法可以实现,一种是企业自建模式,企业购买整套的PKI/CA软件,然后自行建立一整套相关的服务体系。在这种模式下,企业参与建立、维护、培训和运营整个PKI过程并对PKI软件所有事务负全责,其中包括系统、通信、数据库、物理安全、网络安全配置、高可靠性的冗余设计、灾难恢复等方面,还包括运营系统需要的PKI专家、法律、资金等方面。
第二种方法是面向服务,购买第三方认证服务的建设模式。企业利用第三方CA服务提供商的集成PKI平台,通过配置和管理,将企业端的前台与第三方高可靠性、高安全性的PKI后台组合在一起,对外提供证书服务。此模式下,企业的CA被托管在可信的第三方,复杂、专业的PKI核心服务及维护将交与专业的第三方CA完成,企业复杂的设备以及PKI专家、法律专家,不需要单独承担全部的投资与风险。而基于数字证书的电子签名技术更完全符合我国相关法律的要求,实现诸如电子合同、网上招投标等高端应用。
面向产品的自建CA与面向服务的托管CA代表着两种不同的建设模式,但两者间并不矛盾,因该是各有所长。针对数字证书体系的建设,企业需要根据自身的需求,仔细研究后选择合适的模式,当需要自主可控时选择自建方式,当涉及第三方交易时选购服务模式化解风险,企业完全可以找到适合自己的认证系统建设模式。
简单可靠是关键
李延昭表示,从天威诚信以及业界主流厂商多年的实际经验看,多数大型企业在建设CA认证平台时,强调系统的自主可控,此时采用自建CA模式更加适合。对于自建型的PKI/CA系统,客户需要考虑系统的后期运营和维护,建立完整的运营管理体系,并负责系统的日常维护和升级等。此时客户应当利用第三方认证中心的运营管理经验和提供的运营管理咨询服务,来建设自己的运营管理体系,有人可以借助PKI/CA软件提供商提供的维护和升级服务,对系统进行日常维护和升级。
李延昭同时强调,自建CA平台通常需要很长的周期,企业需要根据自身情况有计划分步骤的实施,因为自己建设一个PKI系统需要主管部门的审批、资金的筹集、PKI产品的认证、物理环境的准备、系统的安装调试、操作规程的形成、系统的认证以及注册运营等多个环节。而对于一些规模较小或仅仅核心业务,例如财务系统、合同审批系统需要CA认证支持,完全可以采用服务模式来实现。在第三方服务模式下,对于PKI/CA核心后台的建设(包括安全性、可靠性和稳定性等方面的建设)、运营管理和系统维护都将由第三方PKI/CA服务提供商负责,企业只需要购买第三方PKI服务提供商的PKI/CA服务,并完成本地部分系统的建设、运营管理和维护即可。
PKI/CA发展到今天,自建和服务两种模式下的产品从功能上看差别已经很小,技术已经不是用户选择的主要因素,最重要的是技术支持下的应用模式。在国内,自建PKI和基于服务的PKI长期共存着。今天,基于自建的CA还有相当的市场;同时,从行业发展来看,以市场方式运作的CA认证服务方式正在一些电子商务应用领域拥有更多的市场。
由于客户需求的多样性,这对CA服务供应商的服务能力提出了巨大挑战,目前,市场上能够同时提供两种建设模式的CA服务商并不多。但是从市场发展的角度看,根据企业实际应用需求,量身定制多种服务模式融合的CA认证服务将成为主流。以目前在电子认证服务领域处于领先的天威诚信(iTrusChina)为例,该公司目前可以向企业提供多种模式的PKI/CA服务,充分满足各种类型企业的实际应用需求。同时,天威诚信还在如何让用户简单、便捷地应用好CA上花费不少精力。据记者了解,天威诚信是VeriSign中国区的首要合作伙伴,通过大量借鉴吸收VeriSign的技术以及运营管理经验,公司目前能够以最快的速度、最新的技术、最简便的方式、最适宜的投入,向企业提供高可靠的PKI/CA服务,帮助企业用户解决网络应用的多种安全问题。
经过多年的发展,CA认证服务已经不是一个简单的安全概念,而是更加务实地应用到企业实际业务中去。在这种背景下,拥有稳定可靠的多种服务能力和第三方电子认证服务运营资质将成服务提供商最终赢得市场的关键。
