WEB开发网
开发学院网络安全安全技术 2008企业安全:访问管理的挑战 阅读

2008企业安全:访问管理的挑战

 2008-09-10 13:22:20 来源:WEB开发网   
核心提示:如果2007年你的组织一直在努力解决访问管理的难题,那么2008年还需做得更多,2008企业安全:访问管理的挑战,公司面对的关键问题并没有消失,远程访问、用户自动配置、Web身份验证将仍然是最关键的问题,如何保障相应的安全访问,,法规遵从的压力会继续推进人们采用多因素认证,然而

如果2007年你的组织一直在努力解决访问管理的难题,那么2008年还需做得更多。公司面对的关键问题并没有消失,远程访问、用户自动配置、Web身份验证将仍然是最关键的问题。法规遵从的压力会继续推进人们采用多因素认证。然而,新技术将给混合型认证增加一些乐趣。在本篇技术技巧中,我们将回顾一下访问管理的情况,以及今年可能发生的变化。

我们从远程访问和端点安全难题的一个关键问题说起:笔记本电脑等移动设备的网络认证、BlackBerry(黑莓)、PDA(掌上电脑)和其它无线设备。对于笔记本配备的“马路勇士”,一直严阵以待的VPN(虚拟专用网络),无论采用IPsec还是SSL,都将不断增长,并占据主导地位,因为它们的跟踪记录非常成功,可以简化部署且价格合理,不过SSL仍将比IPsec先胜一筹。

主要的VPN供应商将仍然包括收购了Aventail公司的SonicWall公司,以及Citrix公司,不过收购的步伐可能会使该领域收缩。允许通过互联网进行远程访问、发挥类似第三方SSL VPN作用的网站,例如GoToMyPC (Citrix拥有) 和LogMeIn,都将会引起关注,因为它们都是在传统的VPN尤其是IPsec的基础上成长起来的。但是,对于较大规模企业的扩展性,其它相似服务的竞争以及安全性仍是这些产品在2008年将要面对的问题。

至于PDA及其它手持设备,最大的挑战仍在于连接到网络的各种设备的用户自动配置。身份验证仅限台式电脑和工作站的日子已经一去不复返。公司将面临的挑战来自只针对移动设备市场的认证产品,例如Credant技术公司提供的产品就专注于如何保障各种移动设备的安全。

除了身份验证,企业在2008年面临的最大安全威胁就是Web和应用安全。去年,攻击Web应用程序漏洞的bot病毒快速增长,键盘登录的木马病毒、网络钓鱼事件也不断增加。2008年,我们可以看到新的网站认证方式,旨在反击这样的攻击。这些行为将会受到法规遵从的驱动,最著名的是2005年美国联邦金融机构研究委员会(FFIEC)制定的法规,建议所有的网上银行实施多因素认证方式。

但是传统的多因素验证,包括一次性密码(OTP)、智能卡和生物识别在内,都不会在2008年得到迅猛发展,自公布FFIEC的指导政策以来,就有人这么预测过。设备缺乏客户的认可、公司的部署和维护成本高都会阻碍它们的发展。针对OTP进行的中间人(MITM)攻击不断增长引起的安全关注,也减慢了它们的采用率。

相反,金融机构会继续推出“软性”验证技术,包括安全问题、后端欺诈监控系统。这种趋势将会从对用户进行验证向对交易进行验证过渡。具有讽刺意味的是,尽管这并不是信息安全专家所理解的真正意义上的双因素认证方式,但这些方法却仍然符合FFIEC法规。

2008年,通过跨站脚本攻击(XSS)和跨站点请求伪造(CSRF))等进行的浏览器攻击将会要求人们进一步改善网页验证。攻击者变得越来越有创造性,防御人员也必须随机应变。

单点登陆(SSO)将会在2008年像2007年一样继续增长,大量的厂商和产品为其奠定好了基础。支持SSO的工具,如管理GUI、Directory Store等,在2007年逐渐成熟,并变得更加先进。2008年这些公司将面临的挑战是,如何在正趋于成熟的市场中不断创新,且能够与提供相同服务的对手竞争。

SSO领域的领头公司包括Citrix 公司、Passlogix公司及其V-GO产品,以及面向小型公司和机构提供硬件产品的Imprivata公司。其它值得关注的公司还有ActivIdentity 、CA 和Novell公司。

与SSO类似的模型联邦身份 识别管理在2008年将缓慢增长。SSO可以在一家公司内的综多个应用中实现单点登录,而联邦身份认证可以跨多家机构实现单点登录。这种想法是让用户在自己的系统中一次性身份验证,但仍然能够访问另一个连通过网络连接的合作伙伴,而无需再到合作伙伴的系统进行登录。

Liberty同盟组织是为联邦身份识别管理设定统一标准的组织之一,预期在2008年中旬,将对一个共享电子交易的新框架进行论证。

所以,我们可以期待,访问管理将在2008年成为一个关键领域,企业可以采用访问管理,走在攻击者之前。和过去几年一样法规遵从将驱动某些市场的成长,如Web的身份验证;移动设备采用不断更新的技术,如何保障相应的安全访问,,也将推动某些市场的发展;有的市场则受不断变化的用户自动配置需求而得到增长。

Tags:企业 安全 访问

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接