如今,网络正以惊人的速度彻底地改变着人们的工作效率和生活方式,通过它,人们可以方便快捷地完成许多的工作。然而,由于网络的开放性和匿名性,不可避免的存在许多安全隐患。
如今,网络正以惊人的速度彻底地改变着人们的工作效率和生活方式,通过它,人们可以方便快捷地完成许多的工作。然而,由于网络的开放性和匿名性,不可避免的存在了许多安全隐患。
保障安全的基础
数据存在的价值就是被合理访问,建立信息安全体系的目的是保证系统中的数据只能被有权限的“人”访问。如果没有有效的身份认证管理手段,访问者的身份就很容易被伪造,使得任何安全防范体系都形同虚设。如果把信息安全体系看作一个木桶,那么防火墙、入侵检测、VPN、安全网关等安全设备就是木桶的壁板,而身份管理就相当于木桶底。由此可见,身份认证管理是整个信息安全体系的基础。
身份认证是指计算机及网络系统确认操作者身份的过程。在数字世界中,一切信息包括用户的身份信息都是由一组特定的数据表示,计算机只能识别用户的数字身份,给用户的授权也是针对用户数字身份进行的。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。保证操作者的物理身份与数字身份相对应,就是身份认证管理系统所需要解决的问题。
目前主要的身份认证方式包括:用户名和密码技术、USB key 、身份特征技术、IC卡以及动态口令等。几乎每个安全的IT系统都有自己独特的身份认证与管理技术,但是企业中越来越多的IT系统,再加上企业需要与合作伙伴甚至客户的系统进行沟通,带来了日趋复杂的身份管理,这要求身份认证管理系统必须向更加“智能化”的方向发展。
目前的身份认证管理设备在面对日益复杂的网络应用时大多存在着一些不足,同时,单纯的管理IP地址已经不能满足用户对身份认证管理的需求。对此,The Burton Group公司副总裁兼研究总监Phil Schacter深有体会:“最近,我们重新认识了身份辩论工具对管理安全网络的重要性。有关用户身份的知识能够在网络基础设施内实现更智能化的安全决策,尤其能够限制服务访问,运用内容过滤。过去,网络身份辨认仅在WAN的远程边缘发生,但将来,用户信息辨认将会在网络中普遍存在。”
IP到ID的飞跃
今天的网络早已从早期的点、线拓扑结构发展到了三维立体拓扑结构,传统认证系统已经逐渐难以适应目前复杂的系统环境。故障排除和辩论程序要求人工地根据机器地址(MAC和TCP/IP地址等)对用户身份进行审核和解析,这包含了多个步骤,涉及到很多的网络服务和IT人员,需要耗费大量时间。在具备独立DHCP、遍布遥远距离的大型网络中,从机器地址解析用户身份可能需要好几个小时。
如何实现网络安全管理从IP到ID的过渡,成为很多设备厂商关注的焦点。据了解,A10 网络近日推出了一种基于即时互联网协议地址至用户ID(IP-to-ID)的解决方案。其核心产品IDSentrie采用了统一管理的方法,通过集成4个基于身份的管理组件,构建了一个高度智能化而且适用范围广泛的网络安全认证管理平台,可以让用户在一个统一的平台上全面管理企业网络中复杂的认证、访问控制、账户管理等方面的问题,以更有效的保证网络安全。相比较目前市场中的其它网络身份认证管理产品。
其特点主要体现在:
一、通用身份解析器 (UIR)。允许客户即时将用户名(ID)和现有安全、网络和应用日志集成,从而免除人工解析IP-to-ID和进行故障分析的负担。这大大减少了用来解决网络访问和安全问题的管理时间和费用。
二、DHCP与验证加强。允许在验证前隔离用户,为管辖用户进入网络的尝试提供简单的方式,包括对已隔离的IP地址进行验证的DHCP支持。此外,还包括对MS SQL和Oracle的验证代理服务器支持,从而帮助客户对网络验证中央化,实现更好的安全控制。
三、用户自助加强。新型锁定安装功能提高了针对词典攻击的安全性,并且根据IT管理策略,对用户帐户管理提供更高程度的用户控制。(t227)
