安全是平的 从身份认证与内网安全说起(1)

的确，IT产业将全球供应链与市场结合到一起。记者无意去研究宏观的IT环境，不过当记者把全部精力投入到安全上面的时候，有趣的结果产生了:安全也是平的。

从安全网关、防火墙、UTM、防病毒、IDS/IPS、VPN，到内网身份认证、安全客户端、安全日志、网管系统，看似独立的安全产品已经出现了改变，无论是从早先的安全联动、802.1X、还是近期的私有安全协议、安全与目录服务整合，都体现出了一个趋势:安全是密切相连的，是“你中有我，我中有你。”

信息安全的第一要素就是制定“企业安全规范”，而这个“安全规范”恰恰是企业各部分业务与各种安全产品的整合，涵盖了从存储、业务传输、行为安全、网络基础设施、运行安全、系统保护与物理连接的各个层面。

换句话说，安全已经不是传统上的单一设备，或者像某些厂商所讲的那种独立于网络的设备。事实上，近三年的发展已经证明，日后信息安全将会逐渐以用户需求的系统方案为核心。而在这套完整的安全方案之内，各部分都是有机联系的，之间呈现一种技术与需求交织的扁平网状关系。

因此当大多数人还沉迷于“不着边际”的《蓝海战略》的时候，记者则开始关注信息安全的平坦化了。同时，为了让更多的读者了解信息安全的现状，记者专门打造了“安全是平的”系列专题，与大家一起研究信息安全的新技术与新应用。

作为本系列的开篇之作，记者从“身份认证与内网安全”入手。这一对密不可分的安全要素，已经成为了当前安全界最热门的话题，很多企业用户对于两者的关联与部署充满了疑问，而记者也专门咨询了Cisco、CA、Juniper、神州数码网络、深信服、新华人寿保险集团和福建兴业银行的IT安全专家，与读者一起分享其中的心得。

【大势所趋】从双因数认证入手

目前在信息安全界有三大技术趋势:第一，可信计算;第二，身份认证与内网安全;第三，统一威胁管理(UTM)。根据IDC在今年1月份的统计报告，目前在身份认证与内网安全方面的需求最多。而IDC近期出炉的《2006～2010中国IT安全市场分析与预测》报告则显示:排名靠前的安全厂商都与身份认证与内网安全沾边。

在身份认证过程中，一般都是基于用户名和密码的做法。根据美国《Network World》今年8月份的调查结果，超过60%的企业已经对传统的认证方式不放心了。

所谓双因数认证，是针对传统身份认证而言的。深信服的安全产品经理叶宜斌向记者表示，随着各种间谍软件、键盘记录工具的泛滥，企业的IT人员发现，仅仅依靠用户名、密码的单一认证体制非常不安全。而双因数认证则基于硬件建权，通过建立证书系统来进行客户端的认证工作。

另外，采用双因数认证还可以保证客户端登录网络的唯一性。神州数码网络的安全产品经理王景辉介绍说，安全证书的生成可以提取其他一些信息，比如网卡MAC 地址、客户端CPU的序列号等。因此当一台笔记本电脑第一次进入企业网络时，第一步是认证系统产生用户名和密码，第二步则是系统收集笔记本的特征，进而提取具备唯一性的信息，以便生成一个唯一对应的证书。所有的认证信息都可以导入认证服务器，从而实现对客户端唯一性登录的检查。

根据美国和中国的统计，超过七成的政府部门都在使用证书系统保证身份认证的安全可靠。此外，大部分网络银行服务业采用了证书模式。

招商银行的IT专家透露说，目前该行已经在专业版网上银行系统中采用安全数字证书，并通过USB Key的方式进行保存。USB Key中存放的是用户个人的数字证书，银行和用户各有一份公钥和私钥，用户仅需要记忆一个密码就可以使用。

新华人寿保险集团的IT经理向记者表示，USB Key的认证模式在新华人寿已经全部实现了，主要还是为日常的OA服务。而该项目的实施方，CA的安全专家介绍说，现在很多大型企业已经开始采用证书系统，像新华人寿这样的企业，对系统数据流安全非常关注，特别是关注那些很多到桌面、到用户文件的内容。

除了数字证书，还有一种双因数认证方式，即动态令牌。动态令牌根据基于时间的算法，每分钟都产生一个5-6位的认证串号。在客户端，用户通过一个类似电子表的硬件，计算出每分钟产生的令牌串号。那么用户登录系统，只要输入用户名和相应时间段的串号，就可以安全登录。

有意思的是，记者发现很多IT安全厂商自身都在使用动态令牌技术。像神州数码网络内部的SSL VPN就采用了动态令牌的安全登录方式。动态令牌避免了记忆密码的过程，其寿命一般为三年。不过动态令牌由于内置了一个相当精确的时钟，因此成本较高。