RSA安全专家陈华工程师
云计算的发展随着社会的进步而不断发展,近日,RSA安全专家陈华工程师表示,新的发展时代,要通过不断努力,在当今复杂网络安全形势下推行强认证技术。
从网络信息安全的身份认证、授权、保密性、完整性和不可否认等五个要素来看,现代身份认证技术是网络信息安全的基础,然而,静态口令仍然是目前最普遍使用的身份认证方式。然而,静态口令存在终身使用、复杂的易于忘记而简单的易于破解、难于管理、被第三方技术支持人员掌握等安全隐患。
近日表示,可以兼容多种认证技术的平台身份认证解决方案将成为未来云计算环境下身份认证的主流平台,强认证技术将越来越成为企业或组织的必然选择。近年来发生的多起信息安全事件,都与静态口令的不安全性有关。最基本、最简单的口令问题已经成为网络安全最薄弱、最容易被忽视的问题。
陈华介绍,与静态口令相对应的,是强身份认证技术,有生物认证技术、数字证书认证技术、OTP认证技术、智能卡身份认证技术、短信/手机认证和多因素风险身份认证等。
当前,可以让使用者无限扩展资源的云计算技术,正在企业IT部门的重要考察对象之列。然而,安全因素是CIO们对云计算犹豫的主要因素之一。基于网络分配资源的云计算,面临诸多的安全挑战,如身份认证安全挑战、虚拟化安全挑战和数据安全挑战等。
由于云的应用离不开网络,云的共享性让安全隐患增大,简单的静态口令显然不适合云环境,那么,企业应当如何解决云环境下的身份认证安全隐患呢?
首先是生物认证技术,包括指纹、虹膜、面容识别、语音、DNA比对等的。该技术具有精确性与唯一性完美结合、使用者无需随身携带认证设备的优点,然而,该技术无法继承现有应用,且需要特殊的外围采集设备,使用维护成本很高。还有数字认证技术,这是一种基于公私钥密码体系的身份认证技术,通过为每一个用户分配一个私钥和一个公钥证书来实现安全的身份认证和数据加密功能。该技术具有双向认证、数据加密、数字签名等优势,然而也无法集成现有应用,且客户端需要驱动程序,管理、部署和维护复杂,此外,某些特定场景(如登录unix)无法使用。通过技术认证的推动和发展实现科技公司的全面发展。
