转换中遗失用户身份
为了向外界开放企业网络和业务应用,企业已明确建立了机制,并应用了技术。曾经以为将这些网络的访问控制级别限制在办公大楼内部就已经足够,但现在已经无法接受了。假设恶意攻击者自称为其员工,就完全能够访问企业系统。
此外,大多数公司已经实施了强大的安全措施,保护对其基础设施的物理访问,但是远程访问安全却通常被忽视。近年来,通过网络向用户透露的敏感性数据的数量日益增加,接受大量用户群访问的企业网络更容易受到恶意攻击者的攻击,因为如今的系统安全取决于大量密码中最脆弱密码的强度。
远程访问需要更强大的安全功能
远程访问网关(如 VPN、Citrix 和 Outlook Web Access)均建立了访问互联网的安全通道。这些网关提供既方便又安全的网络资源远程链接。然而,依靠简单的用户名和密码来访问这些安全网关,类似于房子的前门没有上锁,或者使用了一把可以轻易打开的锁。静态密码是一种不可靠的机制,无法守护您的信任系统、应用程序和网络。许多密码可以轻易猜出、被黑客盗取或受到强力攻击的威胁。
对于最终用户和 IT 部门,即使是复杂的密码策略也可能出现问题。每 30 天更改密码,不允许用户在指定时期内重复使用密码,并要求密码中必须含有多个特殊字符以大大增强密码的复杂性。如果用户忘记了密码,则需要打电话联系服务台重置密码,但这样会提高 IT 支持的整体成本,降低了生产效率,并且还降低了用户操作的简便性。
业界对静态密码作为身份认证机制所存在的漏洞已认识清楚,从而突出了采用更强大的用户身份认证方法的必要性。拥有移动办公人员的公司需要强大的认证解决方案,它不仅能够提供可靠的安全性,还可以轻松安装和部署,简化管理,并根据需要进行扩展。
适用于移动用户的严格身份认证
拥有宝贵信息的组织必须选择比密码更强大的身份认证机制来保护资源。严格身份认证(也称为双因素认证)指需要多个身份认证因素并采用先进技术的系统,如通过密钥和加密验证用户的身份。严格身份认证的最简单示例就是 ATM 卡。它要求您拥有某些东西(卡),并且知道某些东西(PIN 码)。
针对这一严苛的市场需求,致力于向高端用户提供完美解决方案的上讯信息系统工程有限公司(www.sxis.com)推荐一款身份认证解决方案——如 Secure Computing®公司的 SafeWord®产品。
硬件令牌
为 VPN、Citrix 应用程序、Webmail、Outlook Web Access 和其它远程访问网关的用户提供证据确凿的用户身份认证。SafeWord 产品通过严格身份认证主动识别用户,确保只有合适的人员才能连接到可信的应用程序和网络。
双因素认证解决方案通过硬件令牌生成一次性密码 请参见图 1 ,结合用户的 PIN 码来确保安全性。用户只需要按一下令牌上的按钮,就可以生成一次性密码(通过独特的密钥和本文中介绍的先进加密算法)。用户先输入密码,接着输入唯一的 PIN 码,便可以进行访问。使用一次后,密码便对该系统无效。如果有人尝试再次使用密码,认证服务器会拒绝访问。
对于那些移动办公的员工,SafeWord® 提供至关重要的“秘匙”机制以保护员工在任何地点的登录。对于那些频繁出差的员工,他们经常在机场贵宾室、酒店、火车或客户办公室中工作。对于这些员工 — 包括销售代表、业务顾问、市场营销专家和其它移动专业人员 — 对数据中心的访问就是给他们带来成功的生命线。
基于软件的备选身份认证码
随着移动电话和便携式计算机逐渐成为无处不在的移动工具箱,使充分利用双因素认证变得具有现实意义。根据分析师的研究,截止 2009 年将有大约 1.802 亿部智能移动电话被大众使用。而商业用户占这些智能移动电话用户的很大比例。无论是从职业角度还是个人角度来看,移动设备如今已经成为我们生活中不可分割的组成部分。现在可以充分利用这些设备来执行其它活动,在此之前均依赖于其它附件。
上讯信息(www.sxis.com)在推出SafeWord®硬件令牌的同时,也为软件身份认证码的需求者带来了—— MobilePass®,这是一种基于软件的认证解决方案,可以在多种流行的移动电话平台上生成一次性密码,这些平台包括Palm、BlackBerry、Windows Mobile和具有J2ME功能的设备。MobilePass®也可用于Windows台式计算机。
MobilePass®等软件身份认证码将已经过证明的安全性与用户便利性相结合,只需从移动设备快速启动MobilePass应用程序,便可获取安全远程访问登录的一次性密码。
MobilePass®允许用户使用移动电话生成安全的一次性密码——与硬件令牌类似。它只需采用一个小小的软件程序,该程序下载到用户的移动设备上,用户轻按一下按钮就可以激活应用程序,并在设备的屏幕上生成正确的一次性密码。然后,用户在电脑上依次输入密码和个人 PIN 码,便可登录组织的安全网络。
移动身份认证解决方案能够降低成本,并提供极低的总拥有成本。此外,一旦部署了基于软件的认证码,它将不会过期,而且永远不需要更换。另外,由于它可用于用户的移动设备,因此可提供全新水平的便利性和可用性。
令牌认证和软件认证主要优点
令牌永不失效
SafeWord 提供了总拥有成本最低的令牌,而且永不失效。同类认证解决方案要求您每三年重新购买令牌。他们的令牌被设定为在有效期结束时失效。购买更换令牌不仅需要投入额外的成本,而且还要将这些令牌重新部署到用户群。SafeWord 令牌永不失效,为您提供最高的拥有价值。
安装方便,使用简单
SafeWord 产品经过专业设计,可以由远程访问解决方案的管理员进行轻松有效的管理。具有独立行业产品评测资质的机构已证实,SafeWord 是最容易实施和管理的产品之一,尤其适用于 Microsoft 环境。
安装速度非常快。同类解决方案的正确安装和配置可能需要几小时,甚至几天。通常,供应商必须安排系统工程师来正确安装软件。必须制定安全政策,并且必须打开端口或关闭端口,或执行两种操作。但是如果使用 SafeWord,安装向导程序将引导您完成整个过程,仅需 15 分钟。在许多情况下,甚至不需要单独的服务器。您可以在 Active Directory 域控制器中轻松安装 SafeWord 解决方案。
管理员可以从 Microsoft 工具管理所有用户信息,这些工具都是他们已通过 Active Directory 了解和使用过的。而其它解决方案需要使用专用的用户数据库,这些数据库必须分开管理。SafeWord 提供真正的 Active Directory 集成。Active Directory 中的 Microsoft Management Console 直接将SafeWord 令牌与 Active Directory 用户捆绑,因此只需要一个用于管理用户和令牌的位置。SafeWord 还具有方便且基于 Web 的用户自注册功能。通过用户自注册功能,管理员无须将每个用户与他们的令牌正确匹配,而只需通过在线自注册来分配令牌用户。
VPN、Citrix、Outlook Web Access (OWA) 的强大远程访问身份认证
在建立加密 VPN 网关之前,SafeWord 添加了重要的严格身份认证功能,以便积极识别用户 — 这是任何安全 VPN 解决方案的重要组成部分。SafeWord 与所有主要 VPN 供应商合作,提供了强有力的可扩展解决方案,这些供应商包括 Cisco、Citrix、Check Point、Microsoft、Nortel Networks、Juniper、Aventail 和 F5。
结论
www.sxis.com)认为,在全球办公日趋步入移动状态,,与电子邮件、核心应用程序和客户数据保持连接是工作绩效和生产率的关键。SafeWord(硬件令牌)和 MobilePass(基于软件解决方案)等双因素认证解决方案,为保护远程访问登录用户的身份提供了十分必要的锁和钥匙机制,使保护远程访问连接的安全从未如此轻松。
