2000年左右互聯(lián)網(wǎng)的普及帶我們進(jìn)入網(wǎng)絡(luò)時代，2012年平板電腦和智能手機(jī)的普及帶我們進(jìn)入了即時通信時代。幾年前，當(dāng)我們探討企業(yè)安全時，我們面對的環(huán)境相對單純，涉及到的人往往僅是公司自己的員工，涉及到的設(shè)備僅僅是本地和遠(yuǎn)程辦公室的部分終端，涉及到的訪問點(diǎn)僅僅是網(wǎng)絡(luò)或者VPN，涉及到的信息僅僅是服務(wù)器應(yīng)用……而當(dāng)我們剛剛設(shè)定好安全策略準(zhǔn)備喘口氣時，信息爆炸、即時通訊以及層出不窮的新型網(wǎng)絡(luò)威脅驚擾了我們的“安枕夢”——內(nèi)部外部各類用戶需要使用企業(yè)數(shù)據(jù)，BYOD設(shè)備隨處可見，訪問點(diǎn)種類繁多越來越不可控，除了服務(wù)器應(yīng)用外我們的很多信息還放到了公共云上……信息時代讓我們體驗(yàn)便捷的同時讓我們感到企業(yè)數(shù)據(jù)走在安全的邊緣。在最近的一次“探尋可信、安全登錄之謎”的技術(shù)研討會上，記者采訪了EMC信息安全事業(yè)部RSA中國區(qū)資深技術(shù)顧問馮崇彪，了解如何構(gòu)建強(qiáng)身份認(rèn)證體系以保證當(dāng)今企業(yè)的信息安全。

馮崇彪介紹說，相對現(xiàn)在的安全手段來說，傳統(tǒng)的威脅不足為患，但現(xiàn)代黑客攻擊方式不斷升級，魚叉式的釣魚工具、宙斯木馬、APT的攻擊，也叫高級可持續(xù)性威脅等新型攻擊方式挑戰(zhàn)著企業(yè)的安全防護(hù)體系，對企業(yè)的威脅非常之大。另外，BYOD(Bring Your Own Devices)已經(jīng)成為一種新的辦公方式，員工通常習(xí)慣于通過自己的智能手機(jī)、Pad等方式隨時隨地接入企業(yè)數(shù)據(jù)進(jìn)行辦公，這無疑給黑客更多的可乘之機(jī)。第三個方面就在云和可管理服務(wù)方面，云和虛擬化帶來的資源共享給企業(yè)帶來便利的同時也給身份認(rèn)證帶來了更多挑戰(zhàn)。

面對噴涌而來的新型威脅方式，傳統(tǒng)的認(rèn)證方式自然無法招架，于是，多種身份認(rèn)證手段隨之而生，馮崇彪對如下的認(rèn)證方式進(jìn)行了一一解析：

一次性密碼 (OTP)：OTP是由一個靜態(tài)口令加上一個令牌組成。令牌碼，如時間型的令牌碼，在當(dāng)前這一分鐘之內(nèi)有效，過了這一分鐘就無效，這個口令用一次別人就不能再用了，所以叫做一次性口令?？傮w而言，這種一次性密碼在很大程度上能夠加強(qiáng)用戶的身份認(rèn)證的安全，是非常好的一種認(rèn)證方式。

基于風(fēng)險的認(rèn)證：基于風(fēng)險的認(rèn)證就不是一刀切，需要根據(jù)用戶行為或者動作來判斷他的行為或者動作風(fēng)險的高低，根據(jù)他風(fēng)險的高低來判別使用什么樣的認(rèn)證方式。在這里，馮崇彪舉了一個非常貼切的例子，比如到淘寶買東西，突然有一天系統(tǒng)發(fā)現(xiàn)交易的IP地址來自于美國或者英國，是國外的一筆交易，而且這個數(shù)額還跟你平時正常的交易額差異很大，這樣風(fēng)險就比較高，系統(tǒng)會立即彈出告警，詢問你，這是不是你自己做的交易，或者如果發(fā)現(xiàn)明顯異常，就直接阻斷你的交易，這就叫做基于風(fēng)險的交易，即根據(jù)不同情況進(jìn)行判斷。

數(shù)字證書 (PKI)：即公鑰體系架構(gòu)。馮崇彪介紹說，數(shù)字證書的技術(shù)是基于PKI的架構(gòu)，用戶做認(rèn)證，首先需要申請證書，激活之后這個證書可以用于做郵件的加密或者做用戶的認(rèn)證等各種方式，如像銀行的U盾或者游戲廠商的USB證書，通過這種數(shù)字證書也可以保證認(rèn)證的安全。數(shù)字證書的方式也是雙因素，需要有一個靜態(tài)密碼，一個證書，證書有軟件和硬件的證書。USB這種屬于硬件證書，但缺點(diǎn)是它在使用的時候要插到USB口，經(jīng)常插拔，一是容易損壞，二是容易遺忘?，F(xiàn)在有高級的黑客程序，對于這種U盾也可以做到對其訪問，當(dāng)你輸入密碼的時候，可以直接把你的私鑰拿走，然后就可以做后面黑客動作，所以安全也是相對的。

動態(tài)的基于知識的認(rèn)證：即通過詢問客戶問題的方式認(rèn)證用戶。問題庫是基于現(xiàn)實(shí)中公共數(shù)據(jù)資源和商業(yè)數(shù)據(jù)資源，這在我們?nèi)粘＿M(jìn)行簽證、論壇空間訪問時也經(jīng)常遇到。

介紹完四種認(rèn)證方式后，馮崇彪指出，對于不同的挑戰(zhàn)我們需要采用不同的認(rèn)證技術(shù)，上面談到了四個方面的挑戰(zhàn)，一是不同的用戶群，二是BYOD，三是遷移到云和可管理服務(wù)帶來的新的問題，四是高級威脅的挑戰(zhàn)。對于這四種不同的挑戰(zhàn)，我們需要采用不同的認(rèn)證技術(shù)。比如一次性口令，對于不同的用戶群可以有不同的認(rèn)證選擇。BYOD的一次性口令可以內(nèi)嵌到手機(jī)里邊去，或者軟件令牌的方式嵌到設(shè)備里邊去，這種方式可以用。在針對云的挑戰(zhàn)的時候，一種是可以用OTP聯(lián)合身份做集成。聯(lián)合身份是什么意思呢？企業(yè)可能有多個不同的應(yīng)用，這個應(yīng)用有的是公司內(nèi)部的，有的是合作伙伴的，有的是門戶的等等，用這種聯(lián)合身份的方式，一個人在系統(tǒng)里邊只有一個身份，原來可能有不同的用戶名，但是在聯(lián)合身份里邊，實(shí)際上是一個身份的方式，這個集成之后，只要在進(jìn)門口時做一次性口令認(rèn)證，進(jìn)去之后就會單點(diǎn)登錄進(jìn)去。

另外基于風(fēng)險的認(rèn)證，針對四個不同方面的挑戰(zhàn)，可以去無縫的和不同的用戶群采用，基于他的行為特點(diǎn)去判斷風(fēng)險的峰值，風(fēng)險的峰值高，認(rèn)證強(qiáng)度就強(qiáng)，低的話就用低的認(rèn)證方式。用戶自己要去管理認(rèn)證設(shè)備。

RSA認(rèn)為針對不同挑戰(zhàn)應(yīng)采用不同的安全技術(shù)

就RSA本身而言，馮崇彪介紹說，RSA提供廣泛的認(rèn)證技術(shù)、方法及平臺，來滿足客戶的特定需求。每個客戶對于自己的身份認(rèn)證都有不同的需求，RSA可以滿足提供各種認(rèn)證的技術(shù)、方法。比如，RSA針對于各行各業(yè)規(guī)模不同的機(jī)構(gòu)，提供不同的認(rèn)證方式，同時可以保護(hù)集成最廣泛的應(yīng)用和設(shè)備，為不同的用戶群提供強(qiáng)身份認(rèn)證，提供不同的認(rèn)證方式的因素以及認(rèn)證處理的流程，而且根據(jù)客戶的預(yù)算來定制，可以做客戶的端到端的認(rèn)證解決方案。與此同時，RSA也在持續(xù)創(chuàng)新，關(guān)注市場，防范新的高級威脅。

為方便企業(yè)用戶，RSA推出了身份認(rèn)證決策樹，幫助企業(yè)理解怎么樣去選擇認(rèn)證的方式。馮崇彪介紹說，現(xiàn)在市場上各種認(rèn)證方式非常多，認(rèn)證設(shè)備也非常多，認(rèn)證技術(shù)也非常多，對于企業(yè)來說，很難判斷應(yīng)該用什么樣的認(rèn)證方式對于我來說是最合適的，這個工具可以幫助您來做這方面的決策，對于用戶來說，只需回答下面四個問題：

您是否控制最終用戶的環(huán)境？

訪問是否僅限于web應(yīng)用？

您的身份認(rèn)證是否需要對文件加密？

身份認(rèn)證方法是否要提供交易監(jiān)控和其他檢測？

完成選項(xiàng)之后，系統(tǒng)會根據(jù)作答自動給出建議的解決方案。例如，進(jìn)行作答之后，系統(tǒng)顯示這其中基于知識的身份認(rèn)證、軟件令牌、移動設(shè)備上的軟件令牌、基于風(fēng)險的身份認(rèn)證、短信令牌，以上這些是適合該企業(yè)的，這樣企業(yè)就可以開始考慮這些方面。

企業(yè)的風(fēng)險變幻莫測，企業(yè)安全身份認(rèn)證方式也要隨需而變。