下载掌阅APP,畅读海量书库
立即打开
在数字化时代,各行各业都希望技术能为大家所用并给用户提供无缝的使用体验。企业随着技术进步而采用全新的创新方式来开展业务,即实施数字化转型。数字化转型是一个使用数字化工具从根本上实现转变的过程,是指通过技术和文化变革来改进或替换现有的资源。
各行各业在数字化转型时,进行了信息化建设,建立了许多应用系统,而每个应用系统在开发时分别采用不同的技术架构和安全策略,这使得企业信息的管理变得越来越复杂,导致了企业管理成本的增加。同时资源分散在各处,系统管理员在管理和维护这些资源的时候存在很大的困难。而每个系统有自己的认证和权限管理策略,员工访问应用系统时采用本系统的用户身份和认证方式进行身份认证进而登录应用系统,每天打开多个应用系统将要使用多个身份登录多个应用系统。对员工用户来说,存在账户和密码容易忘记、记混、定期更改密码等困扰,同时打开多个应用系统客户端或输入系统地址带来工作效率低下;对于系统管理员来说,需要管理多个系统的用户和访问权限,工作复杂度高、工作强度较重。
在网络环境下的信息世界,身份是区别于其他个体的一种标识。为了与其他个体有所区别,身份必须具有唯一性。网络环境下的身份不仅仅用于标识一个人,也可以用于标识一个机器、一个物体,甚至一个虚拟的东西(如进程、会话过程等)。因此,网络环境下的身份是只在一定范围内用于标识事、物、人的字符串。
随着网络的发展,企业为了资源共享建立了越来越多的应用系统,这些应用系统给企业和用户的日常办公和生活带来了很大的方便。但是同样多应用系统的不同身份的分散管理给企业信息和用户隐私的安全性带来了很大的风险,企业需要能够控制由“谁”访问企业的信息、能访问“什么信息”,即“谁”被授予什么样的“权限”。
企业为了实现这些控制,必须建立良好的用户管理系统。用户管理是在企业,甚至在更大范围内管理用户身份和用户权限的一个过程。它可帮助企业以最低的成本将恰当的资源提供给用户。它的管理覆盖用户的整个工作流程,包括在应用系统上创建账号、将访问权扩展到外部服务,以及临时暂停访问权限或永久废除账号。有效的用户管理不但能够降低诸如密码保密性能不足之类的安全风险,并且最大限度地消除可能影响用户办公效率的障碍。
身份管理系统可在某个系统内管理个人身份,如一家公司、一个网络,甚至一个国家。具体来讲,企事业单位中的身份管理,就是定义并管理单个网络用户的角色和访问权限,以及用户被赋予/拒绝这些权限的情况。
身份管理是用于有效管理信息系统中用户相关数据的业务流程和技术的组合,管理的数据包括用户对象、身份属性、安全权限和认证因素等。身份信息可能来自多个存储库,如活动目录(Active Directory,AD)或人力资源应用程序。单个系统可以直接将用户身份存储在自身的数据库表中进行管理。身份管理系统必须能够在所有这些系统中同步用户标识信息,提供一个单一的身份信息来源。
企事业单位在数字化转型的过程中,建设了各种各样的线上应用系统,如办公自动化系统(Office Automation System,OA)、企业资源计划(Enterprise Resource Planning,ERP)系统、客户关系管理(Customer Relationship Management,CRM)系统等。这些应用系统由不同的厂商独立建设,各个应用系统独自管理一套独立的用户身份,这样一个员工或用户就会存在多个应用系统不同的用户身份,若没有将所有应用系统的用户身份做到统一,用户在登录应用系统时,就需要使用不同的账户和密码进行登录不同的应用系统。对于管理员来说,需要对多个用户管理中心进行单独管理,增加管理的工作量、难度和复杂度。由于当今IT人员的短缺,企事业员工流动性较大,新员工入职、老员工调岗、老员工离职等,手动调整多个用户中心以及成千上万用户的身份管理和访问权限控制无疑是件繁重的工作,且容易出现管理错误,进而带来企业安全风险,如弱认证、身份冒用、撞库等。
另外,企业为了业务发展的需要,不断扩大经营,不断扩大员工招募,企业员工数量和业务不断地扩大。用户数量增大的同时,用户的类型也在不断地增多,如正式员工、临时员工、子公司/分公司人员、外协人员、第三方运维人员等各种用户类型。针对这些用户的管理和访问权限的控制,很多企事业单位没有专门的管理策略,用户身份管理也不能及时进行,访问权限没有严格的限制。例如,外协人员或第三方运维人员已经离场,系统管理员还没有及时地对用户进行销毁,对用户权限进行回收;或是给予外协人员或第三方运维人员的访问权限没有细粒度控制、给予权限过大等现象。
网络环境下的身份认证不是对某个事物的资质审查,而是对事物真实性的确认。结合起来考虑,身份认证就是要确认通信过程中另一端的个体是谁(人、物、虚拟过程)。身份认证技术是通过网络对端通信实体的身份进行确认的技术。在网络通信的各个层次上都具有同层通信实体,都需要身份确认。其中最为核心的是应用级的用户身份确认。
根据身份认证的对象不同,认证手段也不同,但针对每种身份的认证都有很多种不同的方法。若被认证的对象是人,则有三类信息可以用于认证:①你所知道的(What You Know),这类信息通常理解为口令;②你所拥有的(What You Have),这类信息包括密码本、密码卡、动态密码生产器、U盾等;③你自身带来的(What You Are),这类信息包括指纹、虹膜、笔迹、语音特征等。在对人进行身份认证时,可验证用户的其中一类信息,也可对用户多类别的信息同时进行认证,这类认证称为多因素认证。
当前企事业单位应用系统常用的网络身份认证方式包括用户名/密码方式、USB Key和生物特征。
1.用户名/密码方式
用户名/密码方式是最简单也是最常用的身份认证方法,它是基于“What You Know”的验证手段。每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为“他就是这个用户”。
然而实际上,由于许多用户为了防止忘记密码,经常采用诸如自己或家人的生日、电话号码、123456、666666、888888等容易被他人猜测到的有意义的或过于简单的字符串作为密码,或者把密码抄在一个自己认为安全的地方,这都存在着许多安全隐患,极易造成密码泄露。即使能保证用户密码不被泄露,由于密码是静态的数据,并且在验证过程中需要在计算机内存储和网络中传输,而每次验证过程使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此,用户名/密码方式是一种极不安全的身份认证方式。可以说基本上没有任何安全性可言。
随着现在用户使用的应用系统越来越多,多个应用系统设置为同一个密码,容易被撞库造成数据或资金的遗失;如多个应用系统设置为多个密码,则密码难以管理,容易遗忘,需要自身进行密码找回申诉或找系统管理员进行重置,给自身和系统管理员带来诸多额外工作量。
2.USB Key
基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术,它采用软硬件相结合一次一密的强双因子认证模式,很好地解决了身份安全性的问题。
USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码学算法实现对用户身份的认证。USB Key身份认证系统主要有两种应用模式:一是基于冲击/响应(挑战/应答)的认证模式;二是基于公钥基础设施(Public Key Infrastructure,PKI)体系的认证模式。
USB Key在使用上也存在着很多的用户体验差的问题。首先,需要随身携带,如忘记携带或丢失,则无法进行身份认证,进而无法登录应用系统进行事务办理。近年来移动交易情形的普及,各个银行推出相应的移动蓝牙盾、音频盾等,蓝牙盾、音频盾同样存在忘记携带或丢失的情形;其次,蓝牙盾、音频盾存在电量较低无法正常使用的现象,需要保持电量充足;最后,以上所有类型的USB Key都需要向专门的厂商购买,需要一定的工本费,且USB Key的使用权限有限制,授权到期需要再次进行授权才能继续使用。
3.生物特征
生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说,生物特征认证是可靠的身份认证方式,因为它直接使用人的物理特征来表示每个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计。
生物特征认证基于生物特征识别技术,受到现在的生物特征识别技术成熟度的影响,采用生物特征认证还具有较大的局限性。首先,生物特征识别的准确性和稳定性还有待提高,特别是如果用户身体受到伤害或污渍的影响,往往导致无法正常识别,造成合法用户无法登录的情况;其次,近年来出现指纹仿冒、人脸识别仿冒的现象,安全性上受到挑战。
访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
自主访问控制是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权限授予其他用户和从授予权限的用户收回其访问权限。
强制访问控制是指由系统(通过专门设置的系统管理员)对用户所创建的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样操作,即使是创建者本身,在创建一个对象后,也可能无权访问该对象。企事业单位内部员工办公系统多是强制访问控制类型,由系统管理员进行用户的访问权限控制。
企事业单位的应用系统多是独立建设的,由不同的厂商单独承建,运维阶段由系统管理员对单个应用系统的用户访问权限进行管理。企事业单位,尤其是大型企事业单位,往往有上百个办公应用系统,每个应用系统的管理员单独对用户的访问权限进行管理,管理工作繁重,权限配置容易出错,且权限配置易出现滞后的现象。在遇新员工入职、老员工调岗、老员工离职等情形时,不能及时开通、调整或关闭用户对某些应用系统的访问权限,往往会导致办公延误、效率低下或企业信息泄露。
另外,当前的应用系统多为一次认证机制,如图3-1所示,即在登录时对用户身份进行认证,认证通过后即认为用户是合法用户,即可享有全部的既有系统访问权限,即传统的“非黑即白”的二元制身份认证机制。即使用户身份被冒用后窃取企业隐私或合法用户做出异于常态的操作时也不会动态地调整用户的访问权限,或者给予告警、给予更强级别的身份认证或及时阻断用户的行为。
图3-1 一次性认证机制风险
网络基础设施的迅速发展,应用系统及网络用户的增多,网络建设和应用的过程中也会出现很多难以监控与管理的用户行为。公安部颁布的《互联网安全保护技术措施规定》中要求,网络管理员或运营者必须记录并留存用户登录和登出时间,主叫号码、账号、互联网地址或域名等信息,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系,并保留3个月以上的上网行为信息。
建立网络用户行为审计系统,对用户网络行为进行审计,包括审计登录主机的用户、登录时间、退出时间、使用的设备情况、网络之间连接协议(Internet Protocol,IP)地址、登录系统后的操作行为等,对重点数据操作的全过程审计;对发现可疑操作如多次尝试用户名和密码的行为,及时报警并采取必要的安全措施(如关机等);及时分析行为日志,可以发现可疑的信息,并重点跟踪监测,有助于发现网络中的薄弱环节及可疑因素,提高企事业单位网络用户的网络安全意识,也是对网络安全破坏分子的震慑。
目前在企业内部网络安全防范策略中,普遍缺乏有效的行为审计功能,这样会导致无法及时发现和解决网络安全事故,在网络安全事故发生后也会因为没有可信、完善的网络行为审计记录,无法发现安全事故的责任人。部分应用系统自带安全审计功能,可对用户或管理员访问行为进行审计,对用户登录应用系统的账户、使用的设备情况、网络IP地址、登录时间、访问什么功能模块,做了什么操作行为、登出时间等进行详细的审计,并对用户行为进行报表展示。但这些应用系统的审计功能都是单独进行的,审计用户访问本系统的情况,各个应用系统的审计数据无法统一展示,不能对用户的行为进行全局的把控,进而无法对用户的行为风险进行全面评估。另外,当前应用系统自身的审计功能只是记录用户的网络行为,但对用户行为的风险评估缺乏相应的手段,无法判断用户的行为是否为恶意行为,进而无法对用户的风险操作行为进行及时的风险阻断。