2008企业安全：访问管理的挑战

核心提示：如果2007年你的组织一直在努力解决访问管理的难题，那么2008年还需做得更多，2008企业安全：访问管理的挑战，公司面对的关键问题并没有消失，远程访问、用户自动配置、Web身份验证将仍然是最关键的问题，如何保障相应的安全访问，，法规遵从的压力会继续推进人们采用多因素认证，然而

如果2007年你的组织一直在努力解决访问管理的难题，那么2008年还需做得更多。公司面对的关键问题并没有消失，远程访问、用户自动配置、Web身份验证将仍然是最关键的问题。法规遵从的压力会继续推进人们采用多因素认证。然而，新技术将给混合型认证增加一些乐趣。在本篇技术技巧中，我们将回顾一下访问管理的情况，以及今年可能发生的变化。

我们从远程访问和端点安全难题的一个关键问题说起：笔记本电脑等移动设备的网络认证、BlackBerry（黑莓）、PDA（掌上电脑）和其它无线设备。对于笔记本配备的“马路勇士”，一直严阵以待的VPN（虚拟专用网络），无论采用IPsec还是SSL，都将不断增长，并占据主导地位，因为它们的跟踪记录非常成功，可以简化部署且价格合理，不过SSL仍将比IPsec先胜一筹。

主要的VPN供应商将仍然包括收购了Aventail公司的SonicWall公司，以及Citrix公司，不过收购的步伐可能会使该领域收缩。允许通过互联网进行远程访问、发挥类似第三方SSL VPN作用的网站，例如GoToMyPC (Citrix拥有) 和LogMeIn，都将会引起关注，因为它们都是在传统的VPN尤其是IPsec的基础上成长起来的。但是，对于较大规模企业的扩展性，其它相似服务的竞争以及安全性仍是这些产品在2008年将要面对的问题。

至于PDA及其它手持设备，最大的挑战仍在于连接到网络的各种设备的用户自动配置。身份验证仅限台式电脑和工作站的日子已经一去不复返。公司将面临的挑战来自只针对移动设备市场的认证产品，例如Credant技术公司提供的产品就专注于如何保障各种移动设备的安全。

除了身份验证，企业在2008年面临的最大安全威胁就是Web和应用安全。去年，攻击Web应用程序漏洞的bot病毒快速增长，键盘登录的木马病毒、网络钓鱼事件也不断增加。2008年，我们可以看到新的网站认证方式，旨在反击这样的攻击。这些行为将会受到法规遵从的驱动，最著名的是2005年美国联邦金融机构研究委员会（FFIEC）制定的法规，建议所有的网上银行实施多因素认证方式。

但是传统的多因素验证，包括一次性密码（OTP）、智能卡和生物识别在内，都不会在2008年得到迅猛发展，自公布FFIEC的指导政策以来，就有人这么预测过。设备缺乏客户的认可、公司的部署和维护成本高都会阻碍它们的发展。针对OTP进行的中间人（MITM）攻击不断增长引起的安全关注，也减慢了它们的采用率。

相反，金融机构会继续推出“软性”验证技术，包括安全问题、后端欺诈监控系统。这种趋势将会从对用户进行验证向对交易进行验证过渡。具有讽刺意味的是，尽管这并不是信息安全专家所理解的真正意义上的双因素认证方式，但这些方法却仍然符合FFIEC法规。

2008年，通过跨站脚本攻击（XSS）和跨站点请求伪造（CSRF)）等进行的浏览器攻击将会要求人们进一步改善网页验证。攻击者变得越来越有创造性，防御人员也必须随机应变。

单点登陆（SSO）将会在2008年像2007年一样继续增长，大量的厂商和产品为其奠定好了基础。支持SSO的工具，如管理GUI、Directory Store等，在2007年逐渐成熟，并变得更加先进。2008年这些公司将面临的挑战是，如何在正趋于成熟的市场中不断创新，且能够与提供相同服务的对手竞争。

SSO领域的领头公司包括Citrix 公司、Passlogix公司及其V-GO产品，以及面向小型公司和机构提供硬件产品的Imprivata公司。其它值得关注的公司还有ActivIdentity 、CA 和Novell公司。

与SSO类似的模型联邦身份 识别管理在2008年将缓慢增长。SSO可以在一家公司内的综多个应用中实现单点登录，而联邦身份认证可以跨多家机构实现单点登录。这种想法是让用户在自己的系统中一次性身份验证，但仍然能够访问另一个连通过网络连接的合作伙伴，而无需再到合作伙伴的系统进行登录。

Liberty同盟组织是为联邦身份识别管理设定统一标准的组织之一，预期在2008年中旬，将对一个共享电子交易的新框架进行论证。

所以，我们可以期待，访问管理将在2008年成为一个关键领域，企业可以采用访问管理，走在攻击者之前。和过去几年一样法规遵从将驱动某些市场的成长，如Web的身份验证；移动设备采用不断更新的技术，如何保障相应的安全访问，，也将推动某些市场的发展；有的市场则受不断变化的用户自动配置需求而得到增长。