【導讀】隨著威脅的多元化趨勢,如高級持續(xù)性威脅、移動自組網(wǎng)黑客攻擊和使用自帶設備帶來的內部風險,因此傳統(tǒng)的方法明顯不足。靜態(tài)密碼后患無窮,因此企業(yè)應該將增強的身份驗證擴大到個人應用程序和服務器以及云端系統(tǒng)。但密碼安全身份識別真的安全么?
面對云端、私有數(shù)據(jù)和設施安全日益嚴峻的挑戰(zhàn)。目前,建立通用的身份驗證解決方式是最理想的方式:a) 支持樓宇、網(wǎng)絡以及云端服務和資源的綜合安全訪問;b) 支持移動密鑰,可以通過智能手機或平板電腦方便和安全地訪問;c) 提供多重因子身份驗證功能,實現(xiàn)最有效地威脅防護;d) 能夠與支持近場通訊技術(NFC)的筆記本電腦、平板電腦和手機互操作,實現(xiàn)最佳安全性和用戶體驗。通用的身份驗證解決方案能夠保障IT和物理基礎設施的安全,同時又能夠作為集成解決方案的一部分,實現(xiàn)與傳統(tǒng)卡和NFC設備的互操作,有多種最佳實踐可以滿足這些要求。
IT安全的最佳實踐
最重要且最佳的實踐是摒棄純密碼的身份驗證,而采用密碼與多重安全方法相結合。企業(yè)通常關注網(wǎng)絡周邊的安全,并在防火墻內部依賴靜態(tài)密碼驗證用戶的身份。隨著威脅的多元化趨勢,如高級持續(xù)性威脅(APT)、移動自組網(wǎng)黑客攻擊和使用自帶設備帶來的內部風險,因此傳統(tǒng)的方法明顯不足。靜態(tài)密碼后患無窮,因此企業(yè)應該將增強的身份驗證擴大到個人應用程序和服務器以及云端系統(tǒng)。
多重安全方法應該包括多因子身份驗證、設備身份驗證、瀏覽器保護和交易身份驗證。該方法采用集成式通用身份驗證平臺以及實時威脅檢測功能。威脅檢測技術已經(jīng)在網(wǎng)上銀行和電子商務領域應用了一段時間,該技術預計可以轉移到企業(yè)中,作為VPN或虛擬桌面等遠程訪問應用的額外安全措施。
雙因子驗證措施以前通常局限于動態(tài)口令(OTP)密鑰、顯示卡和其他物理設備,但是目前正在被存儲到手機、平板電腦上的“軟件密鑰”以及瀏覽器密鑰取代。各個組織能夠使用用戶的智能手機替換專用的安全密鑰,普及第二個身份驗證因子(“擁有的東西”),實現(xiàn)便利性。手機應用程序產(chǎn)生OTP,或者通過短信將OTP發(fā)送到手機。為了實現(xiàn)更高的安全性,將身份驗證憑證卡存儲到移動設備的安全元件上或用戶身份模塊(SIM)芯片上。移動密鑰也可以與云端應用程序單點登錄功能相結合,將傳統(tǒng)的雙因子驗證與單一設備上多個云端應用程序的簡化訪問相融合。
隨著身份管理轉向云端,需要考慮其他關鍵因素。目前,關于此模式安全的探討都集中在保障平臺安全上,但隨著企業(yè)將應用程序移動到云端并充分利用軟件即服務(SaaS)的模式,在多個云端應用程序中配置和撤銷用戶身份,同時確保安全、順暢的用戶登錄,解決這些挑戰(zhàn)至關重要。此外,本行業(yè)需要定義用于管理和支持自帶設備(BYOD)環(huán)境中大量的個人手機的最佳實踐。從個人設備到公司網(wǎng)絡或云端應用程序的身份驗證將成為一項關鍵要求。在保護企業(yè)數(shù)據(jù)和資源的同時,保障BYOD用戶的個人隱私也非常關鍵。
[page]門禁安全的最佳實踐
門禁系統(tǒng)的安全最佳實踐包括:使用雙重身份驗證和密鑰保護機制的非接觸式智能卡技術;智能卡基于開放式標準,能夠使用安全生態(tài)系統(tǒng)內部的可信通信平臺上的安全信息傳送協(xié)議,與廣泛的產(chǎn)品進行互操作。智能卡擁有通用、標準的卡邊緣,提高適應性和互操作性,確保能夠在NFC智能手機上使用,從而用戶能夠在門禁控制中輪換使用智能卡或移動設備。
保持門禁系統(tǒng)的 “與時俱進”非常重要,其原因有很多。組織可能需要未來添加新應用,如生物識別模板;合并、并購或遷移需要在短時間內重塑品牌并在重組時發(fā)行新憑證卡;滿足新的安全需要以減少損失,特別是當現(xiàn)有系統(tǒng)是容易克隆的低頻解決方案時,提高風險管理可能非常必要。另外,新立法或監(jiān)管要求可能要求提高安全性。另一方面,將多種應用集成到一種解決方案可以帶來許多優(yōu)勢,可以為組織提供集中式管理,為員工提供便利,使他們無需攜帶多張卡,即可執(zhí)行開門、登錄電腦、使用考勤和安全打印管理系統(tǒng)、支付餐費或交通費、執(zhí)行非現(xiàn)金交易和其他應用。該集成能在整個IT基礎設施的關鍵系統(tǒng)和應用程序上實現(xiàn)多因子驗證,而不僅僅在周邊進行驗證,因此提高了安全性。此外,集成使組織能夠利用現(xiàn)有的憑證卡投資,為網(wǎng)絡登錄無縫增加電腦桌面登錄,在整個公司網(wǎng)絡、系統(tǒng)和設施上建立完全互操作的多重安防解決方案。
門禁和網(wǎng)絡登錄的集成在聯(lián)邦機構中尤為重要。2005年聯(lián)邦信息處理標準刊物201(FIPS 201)定義了標準化個人身份驗證(PIV)智能憑證卡的要求,即,利用智能卡和生物識別技術進行桌面電腦和門禁系統(tǒng)以增強身份驗證。目前為止,F(xiàn)IPS 201多因子驗證主要用于使用PKI驗證的電腦桌面登錄和數(shù)字文檔簽名,但這些功能對于門禁PKI也非常有效,預計以后將被廣泛采用,成為聯(lián)邦身份驗證的最佳實踐。PIV卡(可能包括用于電腦桌面登錄和物理門禁的多因子驗證)預計將移植到NFC手機。目前,將PACS基礎設施升級至支持PIV卡,僅需要升級讀卡器,并使用身份驗證模塊(包含所有的門禁PKI驗證功能)增強現(xiàn)有面板和門控制器的功能。在讀卡器和現(xiàn)有的PACS面板之間插入這些模塊,無需像以前一樣將現(xiàn)有控制器基礎設施“拆除和更換”。
此外,也可以在商業(yè)場所提供相同的PKI驗證功能。在PIV卡出現(xiàn)后的數(shù)年內,又定義了兩種憑證卡——用于政府承包商的PIV-interoperable (PIV-I)以及用于商業(yè)用途的商業(yè)身份驗證 (CIV)卡。后者是PIV-I的商業(yè)版,并且可以充分利用聯(lián)邦政的PIV項目定義的標準,將可靠的開放式智能卡技術帶到聯(lián)邦政府機構以外的組織機構。
移動化
將物理門禁和電腦桌面登錄集成到NFC手機上也是最佳實踐之一——用戶很少會丟失或遺忘該設備。通過提供一種、便捷的解決方案,用戶無需攜帶單獨的卡、OTP密鑰或密鑰卡,即可進入大樓、登錄網(wǎng)絡、訪問應用程序和系統(tǒng)、遠程訪問安全網(wǎng)絡。此外,移動門禁控制的云端身份配置模型可防止憑證卡復制,使發(fā)行臨時憑證卡、注銷丟失或失竊的憑證卡、根據(jù)需要監(jiān)控和修改安防參數(shù)等操作更加容易。
盡管移動門禁控制有許多優(yōu)勢,該技術不可能在未來幾年內完全取代物理智能卡。相反,NFC手機將與胸卡和胸章共存,這樣組織可以在物理門禁系統(tǒng)內實施智能卡、移動設備或兩者混用。為該混合門禁控制環(huán)境建立一個升級路徑確保目前的技術投資在將來也可以利用,這一點非常重要。升級至新功能需要一種可擴展和適應性強的多重技術智能卡和讀卡器平臺,該平臺能夠使舊憑證卡和新憑證卡技術集成到相同的卡上,同時能夠支持NFC移動平臺。
同時,組織也必須優(yōu)化傳統(tǒng)卡的安全發(fā)行。這包括為多重驗證集成關鍵的可視和邏輯技術,以及通過使用多重管理程序進一步提高安全性,同時還需要提高發(fā)行系統(tǒng)的效率。大部分ID卡發(fā)行系統(tǒng)依靠二維身份驗證,對比個人提供的憑證以及卡上顯示的身份數(shù)據(jù)(例如照片ID),以及更復雜的元素,如高分辨率圖像,或激光刻蝕的永久個人化特征,這使偽造和篡改根本行不通。智能卡芯片、磁條和其他數(shù)字部門成為第三個安全維度,卡數(shù)據(jù)容量擴大后可以包含生物識別信息和其他信息,進一步增強了驗證。聯(lián)網(wǎng)智能化制卡系統(tǒng)可以在一步內處理所有必要任務,另一種有效的最佳實踐是將讀卡器/編碼器集成到卡打印機硬件中,使組織能夠在以后利用智能卡應用帶來的優(yōu)勢。
物理門禁和電腦桌面登錄以及將兩種功能集成到單一解決方案的最佳實踐要求使用基于開放式標準的智能卡技術,并且該技術支持許多應用并能夠移植到NFC手機。通過建立這一基礎并預先計劃升級至新功能,各個組織可以選擇在其物理門禁系統(tǒng)內使用兩類憑證卡技術。各個組織也可以經(jīng)過不斷改造滿足新需求,因此他們將能夠保護現(xiàn)有基礎設施的投資。