內(nèi)網(wǎng)安全在面對威脅時(shí)，防火墻、殺毒軟件、IPS等產(chǎn)品往往形同虛設(shè)，這些產(chǎn)品早已在企業(yè)網(wǎng)絡(luò)中普遍部署，但這些主要針對的是外網(wǎng)的安全防護(hù)。CA是采用PKI公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，且具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)，它的作用就像我們現(xiàn)實(shí)生活中頒發(fā)證件的公司，如護(hù)照辦理機(jī)構(gòu)。

內(nèi)網(wǎng)安全數(shù)據(jù)為本

涉及內(nèi)網(wǎng)安全的因素非常多，產(chǎn)品形式也比較多樣，在哪些環(huán)節(jié)如何部署就顯得非常重要?？傮w而言，內(nèi)網(wǎng)安全集中關(guān)注的對象包括引起信息安全威脅的內(nèi)網(wǎng)用戶、應(yīng)用環(huán)境、應(yīng)用環(huán)境邊界和內(nèi)網(wǎng)通信安全，因此，如何在企業(yè)內(nèi)網(wǎng)構(gòu)建一個(gè)切實(shí)可行、簡單易用的安全防護(hù)體系，是實(shí)施內(nèi)網(wǎng)安全部署的關(guān)鍵所在。

怎樣才能有效地實(shí)現(xiàn)內(nèi)網(wǎng)安全呢？除了制定健全的內(nèi)網(wǎng)安全機(jī)制，數(shù)據(jù)加密也是保護(hù)企業(yè)有價(jià)值數(shù)據(jù)的有效工具。利用數(shù)據(jù)加密解決方案可保護(hù)筆記本電腦、工作站和服務(wù)器等設(shè)備硬盤上所有文件(包括操作系統(tǒng)文件)的安全。即使硬盤被盜，企業(yè)依然可放心數(shù)據(jù)不會(huì)被非授權(quán)人瀏覽和獲取。雖然黑客可以潛入企業(yè)的服務(wù)器，但是，也無法對服務(wù)器上的數(shù)據(jù)和信息資產(chǎn)造成破壞，因?yàn)檫@些資產(chǎn)都得到了安全的加密保護(hù)。

在對數(shù)據(jù)進(jìn)行有效加密的同時(shí)，身份識(shí)別也可以幫助用戶實(shí)現(xiàn)高強(qiáng)度的安全保護(hù)。隨著“中國的賽班斯法”——《企業(yè)內(nèi)部控制基本規(guī)范》的推廣和實(shí)施，目前各大公司都在進(jìn)行一場IT內(nèi)控的變革，而業(yè)界普遍將身份識(shí)別定位為首要解決的關(guān)鍵問題。有效的身份識(shí)別方式能夠?yàn)樽匪菪袨楹拓?zé)任體系、審計(jì)證據(jù)鏈提供最有效和最有力的支撐。這種過程的價(jià)值在于它能夠：允許有正當(dāng)理由需要訪問的人員訪問;通過限制信息資產(chǎn)外露來降低風(fēng)險(xiǎn);建立監(jiān)控機(jī)制，針對事件追溯具體用戶;高效地管理類似的用戶群;實(shí)現(xiàn)內(nèi)控符合風(fēng)險(xiǎn)管理的要求。因而建立更符合法律要求和審計(jì)的身份標(biāo)識(shí)方法是每一個(gè)優(yōu)秀企業(yè)完善內(nèi)控，提高企業(yè)核心競爭力的必要前提。

身份認(rèn)證可以通過智能卡、一次性口令，或者令牌的方式進(jìn)行。當(dāng)然，身份認(rèn)證的授權(quán)方式必須是可定制的。用戶可以選擇使用密碼或令牌做為授權(quán)的方式。真正好的身份認(rèn)證技術(shù)，并不是要通過繁瑣的加密步驟來困擾用戶。企業(yè)用戶每天都要登錄各種應(yīng)用系統(tǒng)，因此在不影響用戶使用的前提下，簡單的操作和高強(qiáng)度的保護(hù)，才能為用戶提供一個(gè)安全、便利的環(huán)境。

數(shù)字證書認(rèn)證身份

目前企業(yè)網(wǎng)絡(luò)中應(yīng)用的身份識(shí)別技術(shù)主要分為用戶與主機(jī)、主機(jī)與主機(jī)之間的認(rèn)證。在企業(yè)統(tǒng)一的身份認(rèn)證框架中，集中身份認(rèn)證系統(tǒng)需要對目前已有的身份認(rèn)證方式，及未來可能會(huì)有的身份認(rèn)證方式均提供支持，方便管理員根據(jù)需要進(jìn)行選擇。

在調(diào)查中，記者通過訪問業(yè)內(nèi)資深人士、天威誠信高級副總裁李延昭了解到，目前企業(yè)在選擇身份認(rèn)證方式時(shí)，通常需要考慮如下原則：第一，足夠安全，即認(rèn)證方式不容易被模仿(包括認(rèn)證憑證的復(fù)制、認(rèn)證過程的重放)或攻擊(包括DOS攻擊);第二，成本適當(dāng)，安全和成本常常成反比，但是對于企業(yè)來說，既不能為了降低成本而采用不安全的認(rèn)證方式，也不能為了片面追求安全而不顧成本;第三，使用方便，所有東西都是給人用的，如果因?yàn)槭褂貌槐愣兄路锤校瑒t所有的安全措施都形同虛設(shè);第四，提供開放的API接口，便于將認(rèn)證方式集成到當(dāng)前以及未來的應(yīng)用框架中。

基于數(shù)字證書的認(rèn)證方式能夠滿足當(dāng)前以及未來的企業(yè)內(nèi)網(wǎng)安全應(yīng)用需求。數(shù)字證書通常是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通訊中識(shí)別通訊各方的身份，從而在網(wǎng)絡(luò)上解決"我是誰"的問題。以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障企業(yè)各種網(wǎng)絡(luò)應(yīng)用的安全性。

對企業(yè)用戶而言，構(gòu)建基于數(shù)字證書的身份認(rèn)證體系有兩個(gè)方法可以實(shí)現(xiàn)，一種是企業(yè)自建模式，企業(yè)購買整套的PKI/CA軟件，然后自行建立一整套相關(guān)的服務(wù)體系。在這種模式下，企業(yè)參與建立、維護(hù)、培訓(xùn)和運(yùn)營整個(gè)PKI過程并對PKI軟件所有事務(wù)負(fù)全責(zé)，其中包括系統(tǒng)、通信、數(shù)據(jù)庫、物理安全、網(wǎng)絡(luò)安全配置、高可靠性的冗余設(shè)計(jì)、災(zāi)難恢復(fù)等方面，還包括運(yùn)營系統(tǒng)需要的PKI專家、法律、資金等方面。

第二種方法是面向服務(wù)，購買第三方認(rèn)證服務(wù)的建設(shè)模式。企業(yè)利用第三方CA服務(wù)提供商的集成PKI平臺(tái)，通過配置和管理，將企業(yè)端的前臺(tái)與第三方高可靠性、高安全性的PKI后臺(tái)組合在一起，對外提供證書服務(wù)。此模式下，企業(yè)的CA被托管在可信的第三方，復(fù)雜、專業(yè)的PKI核心服務(wù)及維護(hù)將交與專業(yè)的第三方CA完成，企業(yè)復(fù)雜的設(shè)備以及PKI專家、法律專家，不需要單獨(dú)承擔(dān)全部的投資與風(fēng)險(xiǎn)。而基于數(shù)字證書的電子簽名技術(shù)更完全符合我國相關(guān)法律的要求，實(shí)現(xiàn)諸如電子合同、網(wǎng)上招投標(biāo)等高端應(yīng)用。

面向產(chǎn)品的自建CA與面向服務(wù)的托管CA代表著兩種不同的建設(shè)模式,但兩者間并不矛盾，因該是各有所長。針對數(shù)字證書體系的建設(shè)，企業(yè)需要根據(jù)自身的需求，仔細(xì)研究后選擇合適的模式，當(dāng)需要自主可控時(shí)選擇自建方式，當(dāng)涉及第三方交易時(shí)選購服務(wù)模式化解風(fēng)險(xiǎn)，企業(yè)完全可以找到適合自己的認(rèn)證系統(tǒng)建設(shè)模式。

簡單可靠是關(guān)鍵

李延昭表示，從天威誠信以及業(yè)界主流廠商多年的實(shí)際經(jīng)驗(yàn)看，多數(shù)大型企業(yè)在建設(shè)CA認(rèn)證平臺(tái)時(shí)，強(qiáng)調(diào)系統(tǒng)的自主可控，此時(shí)采用自建CA模式更加適合。對于自建型的PKI/CA系統(tǒng)，客戶需要考慮系統(tǒng)的后期運(yùn)營和維護(hù)，建立完整的運(yùn)營管理體系，并負(fù)責(zé)系統(tǒng)的日常維護(hù)和升級等。此時(shí)客戶應(yīng)當(dāng)利用第三方認(rèn)證中心的運(yùn)營管理經(jīng)驗(yàn)和提供的運(yùn)營管理咨詢服務(wù)，來建設(shè)自己的運(yùn)營管理體系，有人可以借助PKI/CA軟件提供商提供的維護(hù)和升級服務(wù)，對系統(tǒng)進(jìn)行日常維護(hù)和升級。

李延昭同時(shí)強(qiáng)調(diào)，自建CA平臺(tái)通常需要很長的周期，企業(yè)需要根據(jù)自身情況有計(jì)劃分步驟的實(shí)施，因?yàn)樽约航ㄔO(shè)一個(gè)PKI系統(tǒng)需要主管部門的審批、資金的籌集、PKI產(chǎn)品的認(rèn)證、物理環(huán)境的準(zhǔn)備、系統(tǒng)的安裝調(diào)試、操作規(guī)程的形成、系統(tǒng)的認(rèn)證以及注冊運(yùn)營等多個(gè)環(huán)節(jié)。而對于一些規(guī)模較小或僅僅核心業(yè)務(wù)，例如財(cái)務(wù)系統(tǒng)、合同審批系統(tǒng)需要CA認(rèn)證支持，完全可以采用服務(wù)模式來實(shí)現(xiàn)。在第三方服務(wù)模式下，對于PKI/CA核心后臺(tái)的建設(shè)(包括安全性、可靠性和穩(wěn)定性等方面的建設(shè))、運(yùn)營管理和系統(tǒng)維護(hù)都將由第三方PKI/CA服務(wù)提供商負(fù)責(zé)，企業(yè)只需要購買第三方PKI服務(wù)提供商的PKI/CA服務(wù)，并完成本地部分系統(tǒng)的建設(shè)、運(yùn)營管理和維護(hù)即可。

PKI/CA發(fā)展到今天，自建和服務(wù)兩種模式下的產(chǎn)品從功能上看差別已經(jīng)很小，技術(shù)已經(jīng)不是用戶選擇的主要因素，最重要的是技術(shù)支持下的應(yīng)用模式。在國內(nèi)，自建PKI和基于服務(wù)的PKI長期共存著。今天，基于自建的CA還有相當(dāng)?shù)氖袌?同時(shí)，從行業(yè)發(fā)展來看，以市場方式運(yùn)作的CA認(rèn)證服務(wù)方式正在一些電子商務(wù)應(yīng)用領(lǐng)域擁有更多的市場。

由于客戶需求的多樣性，這對CA服務(wù)供應(yīng)商的服務(wù)能力提出了巨大挑戰(zhàn)，目前，市場上能夠同時(shí)提供兩種建設(shè)模式的CA服務(wù)商并不多。但是從市場發(fā)展的角度看，根據(jù)企業(yè)實(shí)際應(yīng)用需求，量身定制多種服務(wù)模式融合的CA認(rèn)證服務(wù)將成為主流。以目前在電子認(rèn)證服務(wù)領(lǐng)域處于領(lǐng)先的天威誠信(iTrusChina)為例，該公司目前可以向企業(yè)提供多種模式的PKI/CA服務(wù)，充分滿足各種類型企業(yè)的實(shí)際應(yīng)用需求。同時(shí)，天威誠信還在如何讓用戶簡單、便捷地應(yīng)用好CA上花費(fèi)不少精力。

據(jù)了解，天威誠信是VeriSign在國內(nèi)的首要合作伙伴，通過大量借鑒吸收VeriSign的技術(shù)以及運(yùn)營管理經(jīng)驗(yàn)，公司目前能夠以最快的速度、最新的技術(shù)、最簡便的方式、最適宜的投入，向企業(yè)提供高可靠的PKI/CA服務(wù)，幫助企業(yè)用戶解決網(wǎng)絡(luò)應(yīng)用的多種安全問題。

CA認(rèn)證服務(wù)經(jīng)過多年的發(fā)展，已經(jīng)不是一個(gè)簡單的安全概念，而是更加務(wù)實(shí)地應(yīng)用到企業(yè)實(shí)際業(yè)務(wù)中去。在這種背景下，擁有穩(wěn)定可靠的多種服務(wù)能力和第三方電子認(rèn)證服務(wù)運(yùn)營資質(zhì)將成服務(wù)提供商最終贏得市場的關(guān)鍵。

【編輯推薦】

1. 輕松實(shí)現(xiàn)內(nèi)網(wǎng)安全
2. 電力行業(yè)內(nèi)網(wǎng)安全管理發(fā)展趨勢及解決方案
3. 電力行業(yè)內(nèi)網(wǎng)安全管理發(fā)展趨勢及解決方案 續(xù)