2006年的DTI信息安全违反调查显示,平均每5家大企业中就有1家由于身份管理问题遭受安全侵袭,小企业要稍微好一些。可见,身份管理带来的挑战日趋严峻。
调查发现,问题主要在于员工在未授权的情况下访问数据、员工获取或滥用机密信息、财政盗窃或诈骗、伪装或钓鱼攻击。其中诈骗发生的几率比较低,但其危害性最大。有一家大银行曾因此损失上百万美元。
身份管理并不是一个新问题,但随着安全界的变化,身份管理带来的问题越来越严重。移动计算和远程访问越来越多,都是很重要的因素。再加上无线网络的飞速增长,以及对应用程序访问的需求的增长,网络被未授权访问的几率显著增加。
同时,员工访问机密信息带来内部威胁的频率持续在高位。Pharming、钓鱼、间谍软件、击键记录等还在增长。
在这种情况下,怎样保证用户连接网络时激活安全功能呢?怎样保护机密信息、对抗间谍软件和间谍行为呢?怎样管理其他员工、家人或朋友对机器的访问呢?
这是个非常有挑战性的问题,一直依赖于单因子认证,看起来就像是在回避现实。DTI 2006年的调查发现,96%的大公司,平均93%的所有公司仍旧在用单因子认证来对用户身份进行认证。
这个问题并不是只有这么一个答案,答案有很多。而且仅用单因子认证方式,也就是密码是远远不够的。
其它还有:单向签名向前迈了一步,但需要高级的身份管理;双因子认证要好得多,包括对用户进行令牌认证、生物信息认证设备等;三因子认证更高级,包括像密码这样的你所知道的东西、像认证令牌这样的你所拥有的东西,以及像认证设备这样你所使用的东西。
身份信任管理(Identity Trust Management)也是关键的一步。它是关于管理并信任对象的身份、设备和对网络的访问的。防止其他人获取普通用户的用户名和身份,并保证设备需要遵守公司的安全策略才能访问网络。你需要确认设备对于任何未授权的应用程序(比如IM、端到端的Skype等)是免费的,并保证其不会受到目前威胁的侵害。
有很多组件都满足上述条件。终端安全系统是解决方案的一部分。随着远程和移动用户的增加,EPS系统可以保护这些用户对网络的访问,并保证安全策略确实在个人设备上得到落实。人们对这个领域的兴趣高涨,像Check Point、思科、赛门铁克和Skyrecon等公司都提供很多这方面的解决方案。
有的EPS解决方案让你可以决定提供什么级别的访问,还可保证所有的无线信息被加密、USB下载也受管理。EPS可以把公司从弱的策略中转到活动的策略实施。
物理设备认证作为多因子认证方法的一部分,功能很强。有一些解决方案就是用来保证访问网络的设备是认证过的设备,这对现有的很多身份盗窃是致命的一击。如果你必须在授权设备上操作,那么远程盗窃登录信息就是不可能的事情了。同样,对其它移动设备也存在有SIM识别方法。
在身份信任管理的漫漫长路上,还有很多荆棘。