目前，很多企業(yè)已建立一套服務(wù)于業(yè)務(wù)，驅(qū)動(dòng)業(yè)務(wù)發(fā)展的IT系統(tǒng)架構(gòu)、OA系統(tǒng)及各種業(yè)務(wù)系統(tǒng)，同時(shí)也部署了諸如防火墻、VPN等技術(shù)來保護(hù)IT系統(tǒng)。

 

盡管網(wǎng)絡(luò)的硬件和軟件環(huán)境看上去都受到了保護(hù)，達(dá)到理論的安全標(biāo)準(zhǔn)。但事實(shí)上，在整個(gè)IT系統(tǒng)架構(gòu)中依然存在一個(gè)很容易被忽視的部分——“用戶身份認(rèn)證”。如果“身份”問題不能得到解決，黑客將會(huì)很容易冒充正常用戶進(jìn)入到公司系統(tǒng)，竊取公司內(nèi)部的機(jī)密信息，使貌似安全的環(huán)境，卻成為“網(wǎng)絡(luò)安全最薄弱環(huán)節(jié)”。

 

許多公司僅用靜態(tài)密碼對(duì)他們重要的信息和交易業(yè)務(wù)進(jìn)行保護(hù)，這是完全不夠的。靜態(tài)密碼很容易被黑客破解，對(duì)于一些重要的、機(jī)密的數(shù)據(jù)信息，只使用靜態(tài)密碼保護(hù)是絕對(duì)不足夠的。

 

20011年3月，RSA公司透露其受到網(wǎng)絡(luò)攻擊，攻擊造成SecurID的關(guān)鍵信息丟失。6月2日，RSA確認(rèn)了在3月份的被盜的數(shù)據(jù)被用來攻擊洛克希德-馬丁公司和其他美國國防承包商。6月6日，該公司在全球范圍召回4000萬只SecurID。

 

針對(duì)這一事件的一項(xiàng)調(diào)查發(fā)現(xiàn)，越來越多的安全令牌用戶對(duì)雙因素認(rèn)證技術(shù)感到焦慮。在接受調(diào)查的400名IT專業(yè)人士中，該事件讓他們有所覺醒，其中，44%的人正重新評(píng)估他們目前使用的令牌，15%的人加快了已經(jīng)計(jì)劃好的令牌選項(xiàng)評(píng)估。

 

由此可見，加密是確保認(rèn)證安全性的關(guān)鍵。身份認(rèn)證、數(shù)據(jù)傳輸安全、后臺(tái)系統(tǒng)安全性，這些都與加密息息相關(guān)。

 

來自SafeNet的一位技術(shù)專家表示，即使是竊取數(shù)據(jù)，一個(gè)攻擊者使用SecurID技術(shù)入侵一個(gè)公司也需要高超的技術(shù)和好運(yùn)氣。

 

目前，加強(qiáng)用戶的身份管理，防止用戶身份的泄露，是公認(rèn)的預(yù)防認(rèn)證安全隱患的最有效措施。一方面是對(duì)使用用戶的認(rèn)證，即使用認(rèn)證服務(wù)的這個(gè)人是不是合法用戶？另一方面訪問的站點(diǎn)是不是合法站點(diǎn)，這個(gè)站點(diǎn)是否是合法站點(diǎn)，通過用戶自定義密碼和動(dòng)態(tài)密碼結(jié)合的方式更保證了密碼的安全性。

 

來自SafeNet的亞太區(qū)副總裁陳泓先生，對(duì)這一事件表示非常遺憾和震驚，同時(shí)他自己也做了相關(guān)的分析，如下圖所示：

 

他認(rèn)為通常身份認(rèn)證供應(yīng)商采用對(duì)稱算法，在每一個(gè)OTP（一次性密碼）里放置一個(gè)種子文件，認(rèn)證的時(shí)候該種子文件需要與OTP服務(wù)器進(jìn)行簽名，這一在給所有的客戶分發(fā)發(fā)Token令牌時(shí)，供應(yīng)商會(huì)自己做編程然后把種子文件放在OTP認(rèn)證的服務(wù)器上。

 

顯然，如果種子文件被偷了，將意味著整個(gè)安全系統(tǒng)的崩潰，任何拿到該種子文件的黑客可以輕易地仿冒任何客戶的身份，后果之嚴(yán)重可想而知。陳泓分析認(rèn)為，SecurID事件很可能是因?yàn)檫@樣造成的，同時(shí)他也強(qiáng)調(diào)，對(duì)所有供應(yīng)商來說，種子文件是令牌的核心。

對(duì)于可編程的種子，陳泓也給出了另一種解決方案，這也是SafeNet的解決方案，與前面那種方式相比而言，種子的生成不是在SafeNet這邊完成的，而是在客戶端做的，這樣做的最大優(yōu)勢(shì)在于，即使一個(gè)客戶存在安全風(fēng)險(xiǎn)并出現(xiàn)問題，也不會(huì)影響到其他客戶。同時(shí)，陳泓也強(qiáng)調(diào)，客戶為了保證種子文件的安全，需要建立一整套的安全機(jī)制。

 

不過在記者看來，將可編程的種子放在客戶端，雖然可以避免整體受損，但并非所有客戶都能做到安全的保護(hù)，需要很專業(yè)的IT人員和完善的安全策略。所以，陳泓分析的這兩種方案各有千秋，都會(huì)存在一定的風(fēng)險(xiǎn)，客戶在選擇時(shí)也應(yīng)該慎重考慮。

 

對(duì)于SecurID事件，RSA官方一直未就種子文件是否被攻破而表態(tài)，不過陳泓認(rèn)為，種子文件是令牌的核心，如果不是核心出現(xiàn)問題，RSA也不太可能全部召回，因?yàn)镽SA要把所有的種子文件都換掉，才能保證安全，保證網(wǎng)路不會(huì)再被黑客侵入。

 

值得一提的是，目前市場(chǎng)上有很多一次性密碼（OTP）身份驗(yàn)證解決方案，雖然這些解決方案的特點(diǎn)無非是上述陳泓所說的那兩種，但用戶可選擇的供應(yīng)商依然有很多，如Safenet就是一家比較專業(yè)的身份認(rèn)證解決方案提供商。

 

在基于智能卡的身份驗(yàn)證、密碼管理和公鑰基礎(chǔ)設(shè)施（PKI）方案等領(lǐng)域內(nèi)，SafeNet都取得了相當(dāng)不錯(cuò)的市場(chǎng)份額，該公司提供基于一次性密碼技術(shù)的身份驗(yàn)證解決方案基于eToken NG-OTP設(shè)備，是SafeNet獨(dú)創(chuàng)的基于智能卡的混合Token令牌?？梢栽谶B通模式（采用USB連接）或分離模式（采用one-time密碼）下訪問網(wǎng)絡(luò)和應(yīng)用程序。

 

SecurID事件的影響還在繼續(xù)，隨著多家供應(yīng)商表示愿意為客戶更換使用RSA SecurID的解決方案，構(gòu)建可信的身份認(rèn)證環(huán)境就顯得越來越重要。對(duì)于可信的身份認(rèn)證，希望以下四個(gè)方面對(duì)用戶在選擇身份認(rèn)證解決方案時(shí)，有所幫助：

◆可控性: 客戶能夠控制令牌種子值數(shù)據(jù)，并對(duì)令牌進(jìn)行設(shè)置。

◆選擇性: 一個(gè)好的Token令牌認(rèn)證服務(wù)提供商，應(yīng)該有不同的選擇給客戶。

◆集中管理：更好地進(jìn)行控制，實(shí)現(xiàn)統(tǒng)一平臺(tái)管理。

◆為云部署做好準(zhǔn)備，無需改變現(xiàn)有平臺(tái)。