收藏
在进行安全方案设计时,一个层面必须依赖于另一个层面。"安全金字塔"必须建立在管理策略和过程的基础上,而用户认证是整个金字塔的关键组成模块。若不首先采用强力用户认证,其余的授权层面、加密层面和审计层面就会变得毫无意义。因此无论是在VPN、在RAS、在Web电子商务,还是在企业网络应用中,都必须采用强力用户身份认证,确保网络资源访问的合法性。
身份认证现状分析
2.1 目前身份认证的现状
在计算机网络中,最常见而简单的访问控制方法是通过对静态口令的匹配来确认用户的真实性。而调查表明,有60%的系统首先被攻击和突破的地方是口令。许多最具危害性的犯罪都拥有共同的特点:即绕过密码保护以获取对信息或资金的访问权限。信息安全的关键在于确切地了解谁正在访问您的最机密的网络信息资产。不幸的是,事实证明,建立在静态口令之上的安全机制非常容易被黑客攻破。
2.2 传统身份认证方式存在的问题
密码本身只能对真实性进行低级的认证。静态密码存在很多缺陷,如:密码容易被人猜测或通过交际工程学、社会工程师等途径获取,输入密码时容易被人窥视,密码容易被很多工具破解,存在着没有被检测到的缺陷和漏洞,密码可以在网络离线时被窥测,密码和文件容易从PC和服务器上被转移等等。虽然一次性密码比可重用的静态密码强壮,但它们仍存在能被利用的弱点(需要更多的技巧),其中包括中间人攻击和竞争攻击。而且一次性密码依然是单因素认证,而不是我们所说的强力用户认证。因此静态密码是最不安全、最弱的一种识别与身份认证手段。
2.3 解决办法
因为静态密码存在以上诸多的缺陷,任何听到或窃取到密码的人都会显得完全真实。因此有必要增加第二个物理认证因素,从而使认证的确定性按指数递增。安盟SecurID双因素身份认证就是这样一种强身份认证解决方案,它可确认网络访问的另一端是谁,提升企业网络资源保护的安全级别。应用安盟SecurID这一强大的用户认证机制,可防止机密数据、应用和企业网及INTERNET上的资源被非法访问,其非凡的双因素认证方式使用起来非常简单,只需输入密码,就可提供强大的保护。
安盟SecurID双因素身份认证系统介绍
3.1 安盟SecurID身份认证令牌
它是分发给最终用户的,用以证明其身份的硬件或软件设备,是安盟SecurID双因素身份认证的一个因素(您所拥有的),产生一分钟变化一次的动态令牌码。它有硬件、软件和智能卡等多种形式。
3.2 安盟ACE/Agent代理软件
安盟ACE/Agent就象安全卫士,可以用它来保护各种网络信息、计算平台和应用。安盟ACE/Agent还能够安全地访问NT域及UNIX服务器、大型机、中型系统和一系列传统主机上的资源。它已经嵌入到了目前大多主流网络设备中,并且支持多种平台。安盟ACE/Agent实施安盟ACE/Server建立的安全策略,在用户和被保护的资源和设备之间,通过安盟ACE/Server来强制实施双因素认证。要求指定用户或组织在获准访问被保护的企业Intranet资源之前,通过一个安盟SecurID身份认证令牌向安盟ACE/Server证明其合法身份。
3.3 安盟ACE/Server
安盟ACE/Server是安盟SecurID双因素身份认证解决方案中的安全服务器,包括三个主要部分:包含用户、令牌和客户机信息的数据库;身份认证引擎以及一个管理程序。安盟ACE/Server用来在选定的网络资源周围建立一个保护环境,对要求访问企业Intranet资源的各种用户进行身份认证。
3.4 系统的特点
3.4.1安盟SecurID身份认证令牌
简单易用,便于随身携带;
令牌每一分钟生成一个唯一识别用户的、无法预知的动态密码,并且是一次性的;故花大量时间截获的密码对黑客没有任何用处。
3.4.2安盟ACE/Agent
配置过程简单,易于安装、运行。
安盟ACE/Agent软件工具包使用户能够创建定制代理,从而保护其他面向特定企业的内部应用。
3.4.3安盟ACE/Server
与现有的主流网络设备,安全软件产品兼容,具有极强的可扩展性。
支持主流UNIX (IBM AIX、SUN Soloris、HP-Unix、SCO)平台和NT平台。
用户责任:安盟ACE/Server双因素认证要求输入用户令牌代码和个人PIN,进一步确保了用户不会被任何非法访问事件所牵连。可以帮助员工识别其对信息安全的责任,并采取相应的措施。
支持国产的高科技产品,确实也是不错的一款产品
MyPrice网友 