第 1 章 – 简介
执行摘要
管理员越来越意识到仅仅依靠用户名和密码提供网络资源身份验证的危险性。 攻击者可以猜测用户名,或使用名片上的电子邮件地址等公开信息来确定用户名。 如果攻击者知道用户名,剩下的安全机制只有用户密码。
单一机密(如密码)可以作为有效的安全控制手段。 由随机字母、数字和特殊字符组成的 10 个字符以上的长密码很难破解。 遗憾的是,用户并不总是能够记住此类密码,部分原因是人类固有的局限性。
George A. Miller 于 1956 年在 The Psychological Review 上发表的研究报告指出:人脑的短期记忆能力有限,只能记忆 5 至 9 个随机字符,平均为 7 个字符。 但是,大多数安全指导建议的密码至少为八字符随机密码。 由于大多数用户无法记住八字符随机密码,许多用户选择将密码记在纸上。
大多数用户在记下密码时都比较粗心大意,这为攻击者窃取他们的凭据提供了机会。 如果密码复杂性没有限制,用户往往选择容易记住的密码,如“password”或其他容易猜到的单词。
密码短语比用户易于记住的密码长。 Microsoft? Windows? 2000 及更高版本的 Windows 操作系统最多支持长度为 127 个字符的密码。 强密码短语(如“I like 5-a-side football!”)大大增加了使用暴力方法的工具破解密码的难度,而且与随机的字母和数字组合相比,更易于被用户记住。
二元身份验证系统通过要求提供第二个机密,解决了单一机密身份验证存在的问题。 二元身份验证使用下列各项的组合:
?用户具有的东西,例如硬件令牌或智能卡。
?用户知道的东西,例如个人标识号 (PIN)。
智能卡及关联 PIN 是越来越流行、可靠、经济实惠的二元身份验证形式。 设置权限控制之后,用户必须具有智能卡并知道 PIN 才能访问网络资源。 要求二元身份验证显著降低了未经授权访问组织网络的可能性。
智能卡在以下两个方案中提供特别有效的安全控制: 保护管理员帐户和保护远程访问。 作为实施智能卡时优先考虑的方面,本指南重点讨论这两个方案。
由于管理员级帐户具有多种用户权限,一旦其中一个帐户的安全受到危害,入侵者就可以访问所有网络资源。 由于窃取域管理员级帐户凭据会危及域、可能整个林以及任何其他信任林的完整性,保护管理员级访问至关重要。 二元身份验证对管理员身份验证至关重要。
如果组织为需要远程连接到网络资源的用户实施智能卡,可以提供一个重要的附加安全层。 二元身份验证对远程用户特别重要,原因是不可能为远程连接提供任何形式的物理访问控制。 使用智能卡进行二元身份验证可以增强通过虚拟专用网络 (VPN) 链接连接的远程用户的身份验证过程的安全性。
业务挑战
如果加入域的计算机上的管理员帐户凭据受到危害,可能会危及整个域、该域所在的林以及与该林具有信任关系的其他林和域的完整性。 远程访问帐户受到危害可能会导致外部攻击者通过拨号或 VPN 连接访问敏感信息。
保护管理员和远程访问连接的业务挑战是提供不影响可用性的适当安全级别。 如果用户无法访问他们工作时需要的信息,为提高安全性而实施二元身份验证的组织就无法以最佳效率运营。 在二元身份验证与可用性之间取得平衡至关重要。
业务益处
使用智能卡保护重要帐户可带来下列业务益处:
?加强对敏感数据的保护。 智能卡减少了通过使用窃取的凭据进行未经授权访问的威胁,因为黑客必须窃取智能卡并获取 PIN。
?提高登录凭据的安全性。 智能卡使用难以伪造的数字证书作为登录凭据。
?提高遵守法规的级别。 智能卡能够识别已登录用户的真实身份,因此提高了受监控日志的可信度。
?降低抵赖的可能性。 智能卡身份验证降低了个人拒绝承担其行为责任的能力。
?更好地与访问管理系统集成。 某些智能卡还可用作密钥卡来管理物理访问,如阻止访问物理站点和站点内各部门之间的可控门锁。 智能卡和密钥卡相结合便于用户或管理员控制网络访问和物理访问的精确级别,并减少安全威胁后顾之忧。
本指南的目标读者
本指南的目标读者包括规划、部署或管理远程访问链接和网络安全的技术决策者、企业架构师和企业安全管理员。 另外,对于规划、部署或管理基于 Windows 的网络的顾问,此信息也非常有用。
本指南中的信息适用于需要强身份保护和数据访问控制的各种规模的组织。
读者必备条件
要理解本指南中介绍的解决方案,读者应理解并熟悉 Microsoft Windows Server? 2003 中的下列方面和技术:
?路由和远程访问,包括 VPN 组件
?证书服务和公钥基础结构 (PKI)
?Active Directory? 目录服务
?组策略
本指南介绍 Microsoft Operations Framework (MOF) 中的“操作和支持”过程模型象限。 另外,还介绍 MOF 中的“安全管理”和“事件管理”服务管理功能 (SMF)。 有关 MOF 的详细信息,请参阅 Microsoft Operations Framework 网站,网址为 www.microsoft.com/mof。
规划指南概述
本指南包括四章,重点介绍规划智能卡身份验证所需的基本问题和概念。 这四章分别是:
第 1 章: 简介
本章提供执行摘要,讨论实施智能卡身份验证时面临的业务挑战和获得的益处。 本章说明本指南的目标读者,列出读者必备条件,并提供各章和解决方案的概述。
第 2 章: 智能卡技术
本章概述使用智能卡保护重要帐户的方法。 本章还讨论第 3 章和第 4 章介绍的两个解决方案的基本要素。 最后,本章介绍作为两个解决方案的基础的 Woodgrove Bank。
第 3 章: 使用智能卡帮助保护管理员帐户
本章描述使用智能卡保护管理员帐户所需的设计考虑事项。 然后,本章分析 Woodgrove Bank 的问题和要求。 它讨论方案的解决方案概念、必备条件、解决方案体系结构和解决方案操作。 最后,本章讨论扩展解决方案以加入更改管理流程的可能选择方案。
第 4 章: 使用智能卡帮助保护远程访问帐户
本章描述使用智能卡进行远程访问时的设计考虑事项。 然后,本章分析 Woodgrove Bank 实施安全远程访问的问题和要求。 它讨论方案的解决方案概念、必备条件、解决方案体系结构和解决方案操作。 最后,本章讨论如何扩展解决方案以加入物理访问控制。
| 共4页: 1 [2] [3] [4] 下一页 |