西方商界在刚刚过去的大年初一举起裁员大刀,在这个被称为“黑色星期一”的一天,欧美多家大型企业总计裁掉超过7.6万名员工,以应对日益严峻的经济环境。这种激烈的应变手段势必对公司的运营带来各种深远影响,而其中一环就是IT潜在安全风险将飙升。
数字安全厂商金雅拓数字认证与安全业务亚洲区高级副总裁伍福成指出:“企业大幅度削减人手所带来的挑战不容忽视,例如有些被裁的员工心怀不忿导致做出过激行为,而有些公司可能需要依靠临时工、合同工或兼职工以填补被裁员工的空位。这不仅是人力资源的问题,也是企业的IT安全顾虑。”
伍福成表示:“保护IT资源和用户身份是安全企业运营的基石。安全的远程访问网络、应用程序和数据对移动员工是必要的。为了预防企业遭受损失及符合有关法规的要求,对存储、移动和传送档案进行数据保护是十分重要的工作。”
伍福成表示:由于员工编制极度不稳定,IT系统管理人员需要有一个高效而高度可靠的用户身份鉴别机制,这也保护企业网络的安全,防止各种报复性的攻击。因为它可以追踪到来自内部的信息侵袭。”
两难的选择
伍福成解释说:“目前市场上有三种身份鉴别机制,即单因素、双因素及三因素身份鉴别。这三种层次的身份鉴别在安全表现、部署成本和复杂性方面相去甚远。
目前大多数企业网络对访问设施、网络和敏感信息只要求静态身份鉴别。电脑能力的大幅度提升使得单因素身份鉴别形同虚设,而且迅速过时。
在另一方面,诸如生物识别技术的三因素身份鉴别解决方案提供卓越的安全水平,但其部署成本和复杂性也非常高,因此它们的应用大多仅限于边境控制等类的大型政府项目。因此,许多公司采取一个“中庸”之道,就是选用双因素身份鉴别,这相对单因素方案更加安全,但成本却低于三因素身份鉴别。
公共密钥基础设施与一次性密码
伍福成表示,对企业来说,强大的身份鉴别方案可以是把个性化的智能卡、企业身份管理系统和基于公共密钥基础设施( PKI )的数字证书服务结合起来。这些解决方案能够在现存IT基础架构上分阶段部署,例如企业可以从为远程访问设置基于一次性密码(OTP)的强大身份鉴别开始,继而使用相同的基础架构和终端用户设备,迁移到PKI服务和联合身份系统。
利用基于智能卡的设备可以结合个人数字身份信息,并提供第二个认证因素,这一因素非常方便,可以在任何地方使用。这些设备通过输入只有终端用户知道的个人识别码( PIN )开始运作 ,通过一个安全的加密处理器进一步加强,它们可以生成一次性密码并且存储身份信息、数据、应用程序、证书及公共和私人密钥。
PKI解决方案将公共密钥、个人密钥和证书,与软件、加密技术、流程和服务整合,保证了通讯和交易的安全。应用范围包括开机前验证、安全的网络和工作站登录、邮件加密、安全的数据覆盖和数字签名等。
三因素和生物识别技术就在咫尺
然而,伍福成指出,随着越来越多的企业意识到身份鉴别安全的重要性,它们正在探讨应用结合生物识别技术的三因素方案的可能性。
生物识别技术有许多优点,如基于用户的个人生理特征。从用户的角度而言,相对于用户名、密码或PIN更具代表性。由于用户不会遗忘这些信息,这种技术也十分方便,因为用户不需要记得携带它们,而它们总是可用,始终伴随身边。
伍福成表示,生物识别技术提高了解决方案的安全级别,如果配合一个安全、便携和个人专用的设备使用 -- 用户的智能卡,其安全保护效果将如虎添翼。虽然生物识别身份本身的安全水平已经甚为出众,但它也有一些漏洞,例如指纹传感器可被塑料手指欺骗;及服务器对应解决方案也容易受到重放攻击的威胁。
金雅拓将推出一个名为Gemalto.NET Bio的生物识别安全解决方案,该解决方案允许用户灵活采用双因素(生物识别+智能卡)或三因素(识别码+生物识别+智能卡) 。
Gemalto. NET Bio是一种创新的软件解决方案,它能与金雅拓智能卡共同运作,在Windows Vista中无缝融合生物识别技术。
Gemalto .NET Bio解决方案使基于卡的指纹识别,能与智能卡PIN识别配合使用或代替品。在另一方面,它也可以访问卡上的数字认证信息,即可以用于Windows登录、数字签名、文件加密、虚拟专用网络(VPN)安全访问和其它的PKI应用。
伍福成表示:“通过这个新产品,金雅拓为企业提供了采用双因素或者三因素鉴别的选择,以及令它们全面享用生物识别技术带来的优点。“