隨著IT步入虛擬化和云計算時代，信息安全面臨的挑戰也開始朝著多元化復雜化的形勢發展。身份認證作為防護信息資產的第一道關口，當然需要隨之而變。RSA作為全球領先的信息安全解決方案提供商，在身份認證方面提供最全和最新的解決方案供客戶使用。日前，e-works記者采訪到EMC信息安全事業部RSA中國區資深技術顧問馮崇彪先生，請馮顧問介紹了目前企業面臨的安全威脅、企業在身份認證方面的挑戰和虛擬化和云計算時代的身份認證跟傳統的認證有什么區別，并請他就多種身份認證的技術的優缺點進行了深入的分析，最后介紹了RSA認證的方法以及相應的解決方案。

圖1 RSA中國區資深技術顧問馮崇彪

    身份認證技術是整個信息安全的基礎，它是企業信息安全體系的門鎖，如果進入者的身份都無從識別，那么再堅固的房子都形同虛設，因此身份認證技術廣泛應用在企業信息安全的各個層面。然而，隨著IT技術的快速發展，云計算、社交化、移動辦公等大潮的侵襲，身份認證的對象、應用環境和場景都發生了變化，身份認證開始面臨巨大的挑戰。

    這些挑戰里面，最熱詞當數BYOD（Bring Your Own Device）。BYOD是指用自帶的設備到企業內部，登錄到企業的網絡訪問內部的信息，這些設備包括智能手機、平板等等各種各樣的客戶端。從以前企業網絡內部單一的設備到現在各式各樣的終端只是變化的一部分，事實上，使用這些終端的人員由以前單一的企業內部員工，已經演變成包上下游合作伙伴、客戶等等，而且這些設備接入的入口已經擴展到移動，連應用都延伸到各種“云”里。“任何用戶、任何設備、任何地方接入，這些對于咱們現在的身份認證就帶來了非常大的挑戰。” RSA中國區資深技術顧問馮崇彪表示。

    可見，新時期的身份認證，需要針對于不同的用戶的群體采取不同的認證方式。馮顧問列舉這些不同群體就包括內部的員工、臨時工、合同工、合作伙伴、客戶、審計人員，還有遠程需要接入的員工等等，這些用戶需要在任何的時間從任何的地方（比如在家里、出差的時候）使用任意設備（包括傳統的筆記本、臺式機或者是ipad等各種移動設備）通過這些設備來進行安全的訪問。

圖2 新時期身份認證的挑戰

    除了不同用戶和BYOD外，“認證”技術也需要加強。因為，新的高級威脅也給身份認證也帶來了更高的挑戰，比如攻擊者已經由一個黑客發展成地下產業鏈、APT攻擊今年讓很多企業損失慘重，這些威脅需要通過更高級的分層策略來判斷和控制。第四個方面，云和可管理服務資源共享給大家帶來便利的同時，用戶去“云”上訪問資源時候如何做身份認證？另外一方面，客戶如何安全的通過托管的、可管理的身份認證去訪問第三方云平臺提供的認證服務？

    應對這些挑戰，馮顧問介紹了四種認證技術：

    ·一次性口令（OTP）。它一般由一個靜態口令加上一個令牌組成比如時間型的令牌碼，在當前這一分鐘之內有效，過了這一分鐘就無效。并且這個口令用一次別人就不能再用了，所以叫做一次性口令。

    ·基于風險的認證呢。它根據用戶行為或者動作來判斷操作行為風險的高低，根據他風險的高低來判別使用什么樣認證的方式。比如判斷網購交易異常，數額高于一般交易時會彈出警告進一步認證操作者身份。

    ·數字證書。數字證書的技術是基于PKI的架構，用戶做認證，首先需要申請證書，激活之后，這個證書可以用于做郵件的加密或者做用戶的認證等等各。

    ·基于知識的認證。它是通過詢問客戶問題的方式來做認證。比如寵物的名稱等每個人設定的特有的問題和答案。

    這四種主流的身份認證方式，各有不同的應用場景，如圖2所示。“可以看出，數字證書的定位主要是基于設備的認證，一次性令牌是對于人的認證，基于知識的認證可以應對高速增長的客群，而基于風險的認證則可以廣泛應用，各個側重點不同。”馮顧問進一步區別了四種技術的應用場景。

圖3 不同認證技術的應用場景

    “RSA的身份認證方法主要是建立于基于風險的分析，是所有認證解決方案的基礎。”馮顧問講到RSA能提供廣泛的認證技術、方法以及平臺，來滿足客戶獨特的需求。他舉例到，“比如說我們針對于各行各業不同大小的機構，有不同的認證方式，同時可以保護集成最廣泛的應用和設備。對于不同的應用、設備，為不同的用戶群提供身份認證，包括不同的認證方式的因素以及認證處理的流程。并且，RSA根據客戶的預算來定制，可以做客戶的端到端的認證解決方案。”

    在解決方案方面，RSA針對于不同的目標市場都有相應的不同使用場景，并且采用不同的技術和不同的解決方案，如圖4和圖5所示。對于小型和中型的SMB的企業，主要用在保護SSL VPN和網絡應用，所以使用基于風險的認證，采用的是RSA Authentication Manager Express解決方案；對于企業級用戶，需要保護任何應用門戶以及網絡架構，這里面使用認證的技術有一次性口令以及基于風險的認證，后臺使用的是RSA Authentication Manager認證管理器；對于企業級的消費者，主要是保護團隊的應用，比如保護網銀、網上游戲等等，還是使用基于風險的認證技術，采用RSA自適應身份認證。（自適應是根據客戶的行為、根據客戶不同的用戶群、根據不同的使用產品和風險的級別，采用不同的認證方式。）；對于大型機構對設備的認證，采用RSA的數字證書服務；對于面向B2C的市場，是動態的基于知識的認證，比如我在賬號做登記或者做客戶支持電話的時候使用。

圖4 RSA解決方案平臺

圖5  RSA針對性的解決方案平臺

    馮顧問總結到，“RSA可以針對客戶不同的使用場景、不同的目標客戶、不同的用戶情況，采用不同的技術和不同的解決方案，來為各類客戶提供獨特的定制化的方案。”因此，RSA的方案是全方位覆蓋云時代的身份認證。這種全方位覆蓋，還體現在RSA對第三方平臺的集成上。比如RSA的自適應身份認證的平臺，實際上是可以集成各種第三方的認證方式。用戶可以從客戶端、中間的應用端以及后臺的認證端三方集成，包括提供KPI和開放結果，比如跟蘋果的app store做一些相應的集成。馮顧問指出“ RSA提供多種選擇給客戶，客戶是想從便利性、成本以及安全性方面都得到滿足。” 此外，為了完善RSA方案的覆蓋力，每年RSA通過召開信息安全大會和擴大合作陣容，和國內的友商一塊來推進整個中國的市場。

    在選擇身份認證解決方案方面，馮顧問認為需要注重三方面的內容，也是RSA做到的：第一點，可用性，即兼顧用戶使用感受，首先就要注重方便性——不讓用戶覺得麻煩；第二點是可擴展性，當用戶量擴大的時候額外擴充身份認證設備需要花很多錢；第三點是統一認證，在統一平臺上管理用不同的技術實現的不同客戶的身份認證，從而充分利用IT資源，最大化效率。

    后記：信息安全問題在云時代受到前所未有的重視，在身份認證這個信息安全前端領域，要把好這個關卡，需要用全面的解決方案應對多方的“情況”。因為這個“情況”不僅來自于不同的人，還有不同的設備，還有不同的分布式IT環境和不同地點的應用。RSA的理念就是讓任何人在任何時間任何地點使用任何設備來進行安全訪問，從馮顧問的訪談里，我們可以清晰的看到這一點。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：RSA馮崇彪：全面應對云時代的身份認證

本文網址：http://www.guhuozai8.cn/html/consultation/1083936525.html