規范認證 保障企業內網安全
內網安全在面對威脅時,防火墻、殺毒軟件、IPS等產品往往形同虛設,這些產品早已在企業網絡中普遍部署,但這些主要針對的是外網的安全防護。CA是采用PKI公開密鑰基礎架構技術,專門提供網絡身份認證服務,負責簽發和管理數字證書,且具有權威性和公正性的第三方信任機構,它的作用就像我們現實生活中頒發證件的公司,如護照辦理機構。
內網安全數據為本
涉及內網安全的因素非常多,產品形式也比較多樣,在哪些環節如何部署就顯得非常重要。總體而言,內網安全集中關注的對象包括引起信息安全威脅的內網用戶、應用環境、應用環境邊界和內網通信安全,因此,如何在企業內網構建一個切實可行、簡單易用的安全防護體系,是實施內網安全部署的關鍵所在。
怎樣才能有效地實現內網安全呢?除了制定健全的內網安全機制,數據加密也是保護企業有價值數據的有效工具。利用數據加密解決方案可保護筆記本電腦、工作站和服務器等設備硬盤上所有文件(包括操作系統文件)的安全。即使硬盤被盜,企業依然可放心數據不會被非授權人瀏覽和獲取。雖然黑客可以潛入企業的服務器,但是,也無法對服務器上的數據和信息資產造成破壞,因為這些資產都得到了安全的加密保護。
在對數據進行有效加密的同時,身份識別也可以幫助用戶實現高強度的安全保護。隨著“中國的賽班斯法”——《企業內部控制基本規范》的推廣和實施,目前各大公司都在進行一場IT內控的變革,而業界普遍將身份識別定位為首要解決的關鍵問題。有效的身份識別方式能夠為追溯行為和責任體系、審計證據鏈提供最有效和最有力的支撐。這種過程的價值在于它能夠:允許有正當理由需要訪問的人員訪問;通過限制信息資產外露來降低風險;建立監控機制,針對事件追溯具體用戶;高效地管理類似的用戶群;實現內控符合風險管理的要求。因而建立更符合法律要求和審計的身份標識方法是每一個優秀企業完善內控,提高企業核心競爭力的必要前提。
身份認證可以通過智能卡、一次性口令,或者令牌的方式進行。當然,身份認證的授權方式必須是可定制的。用戶可以選擇使用密碼或令牌做為授權的方式。真正好的身份認證技術,并不是要通過繁瑣的加密步驟來困擾用戶。企業用戶每天都要登錄各種應用系統,因此在不影響用戶使用的前提下,簡單的操作和高強度的保護,才能為用戶提供一個安全、便利的環境。
數字證書認證身份
目前企業網絡中應用的身份識別技術主要分為用戶與主機、主機與主機之間的認證。在企業統一的身份認證框架中,集中身份認證系統需要對目前已有的身份認證方式,及未來可能會有的身份認證方式均提供支持,方便管理員根據需要進行選擇。
在調查中,記者通過訪問業內資深人士、天威誠信高級副總裁李延昭了解到,目前企業在選擇身份認證方式時,通常需要考慮如下原則:第一,足夠安全,即認證方式不容易被模仿(包括認證憑證的復制、認證過程的重放)或攻擊(包括DOS攻擊);第二,成本適當,安全和成本常常成反比,但是對于企業來說,既不能為了降低成本而采用不安全的認證方式,也不能為了片面追求安全而不顧成本;第三,使用方便,所有東西都是給人用的,如果因為使用不便而招致反感,則所有的安全措施都形同虛設;第四,提供開放的API接口,便于將認證方式集成到當前以及未來的應用框架中。
基于數字證書的認證方式能夠滿足當前以及未來的企業內網安全應用需求。數字證書通常是標志網絡用戶身份信息的一系列數據,用來在網絡通訊中識別通訊各方的身份,從而在網絡上解決"我是誰"的問題。以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的機密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認性,從而保障企業各種網絡應用的安全性。
對企業用戶而言,構建基于數字證書的身份認證體系有兩個方法可以實現,一種是企業自建模式,企業購買整套的PKI/CA軟件,然后自行建立一整套相關的服務體系。在這種模式下,企業參與建立、維護、培訓和運營整個PKI過程并對PKI軟件所有事務負全責,其中包括系統、通信、數據庫、物理安全、網絡安全配置、高可靠性的冗余設計、災難恢復等方面,還包括運營系統需要的PKI專家、法律、資金等方面。
第二種方法是面向服務,購買第三方認證服務的建設模式。企業利用第三方CA服務提供商的集成PKI平臺,通過配置和管理,將企業端的前臺與第三方高可靠性、高安全性的PKI后臺組合在一起,對外提供證書服務。此模式下,企業的CA被托管在可信的第三方,復雜、專業的PKI核心服務及維護將交與專業的第三方CA完成,企業復雜的設備以及PKI專家、法律專家,不需要單獨承擔全部的投資與風險。而基于數字證書的電子簽名技術更完全符合我國相關法律的要求,實現諸如電子合同、網上招投標等高端應用。
面向產品的自建CA與面向服務的托管CA代表著兩種不同的建設模式,但兩者間并不矛盾,因該是各有所長。針對數字證書體系的建設,企業需要根據自身的需求,仔細研究后選擇合適的模式,當需要自主可控時選擇自建方式,當涉及第三方交易時選購服務模式化解風險,企業完全可以找到適合自己的認證系統建設模式。
簡單可靠是關鍵
李延昭表示,從天威誠信以及業界主流廠商多年的實際經驗看,多數大型企業在建設CA認證平臺時,強調系統的自主可控,此時采用自建CA模式更加適合。對于自建型的PKI/CA系統,客戶需要考慮系統的后期運營和維護,建立完整的運營管理體系,并負責系統的日常維護和升級等。此時客戶應當利用第三方認證中心的運營管理經驗和提供的運營管理咨詢服務,來建設自己的運營管理體系,有人可以借助PKI/CA軟件提供商提供的維護和升級服務,對系統進行日常維護和升級。
李延昭同時強調,自建CA平臺通常需要很長的周期,企業需要根據自身情況有計劃分步驟的實施,因為自己建設一個PKI系統需要主管部門的審批、資金的籌集、PKI產品的認證、物理環境的準備、系統的安裝調試、操作規程的形成、系統的認證以及注冊運營等多個環節。而對于一些規模較小或僅僅核心業務,例如財務系統、合同審批系統需要CA認證支持,完全可以采用服務模式來實現。在第三方服務模式下,對于PKI/CA核心后臺的建設(包括安全性、可靠性和穩定性等方面的建設)、運營管理和系統維護都將由第三方PKI/CA服務提供商負責,企業只需要購買第三方PKI服務提供商的PKI/CA服務,并完成本地部分系統的建設、運營管理和維護即可。
PKI/CA發展到今天,自建和服務兩種模式下的產品從功能上看差別已經很小,技術已經不是用戶選擇的主要因素,最重要的是技術支持下的應用模式。在國內,自建PKI和基于服務的PKI長期共存著。今天,基于自建的CA還有相當的市場;同時,從行業發展來看,以市場方式運作的CA認證服務方式正在一些電子商務應用領域擁有更多的市場。
由于客戶需求的多樣性,這對CA服務供應商的服務能力提出了巨大挑戰,目前,市場上能夠同時提供兩種建設模式的CA服務商并不多。但是從市場發展的角度看,根據企業實際應用需求,量身定制多種服務模式融合的CA認證服務將成為主流。以目前在電子認證服務領域處于領先的天威誠信(iTrusChina)為例,該公司目前可以向企業提供多種模式的PKI/CA服務,充分滿足各種類型企業的實際應用需求。同時,天威誠信還在如何讓用戶簡單、便捷地應用好CA上花費不少精力。
據了解,天威誠信是VeriSign在國內的首要合作伙伴,通過大量借鑒吸收VeriSign的技術以及運營管理經驗,公司目前能夠以最快的速度、最新的技術、最簡便的方式、最適宜的投入,向企業提供高可靠的PKI/CA服務,幫助企業用戶解決網絡應用的多種安全問題。
CA認證服務經過多年的發展,已經不是一個簡單的安全概念,而是更加務實地應用到企業實際業務中去。在這種背景下,擁有穩定可靠的多種服務能力和第三方電子認證服務運營資質將成服務提供商最終贏得市場的關鍵。
【編輯推薦】
