安全是平的从身份认证与内网安全说起

来源：hackbase 作者：出处：巧巧读书 2006-11-10 进入讨论组

　　《世界是平的》是美国《纽约时报》专栏作家托马斯·弗里德曼今年最轰动的著作，继早年的《凌志汽车与橄榄树》之后，弗里德曼再一次将全球化的平坦之路呈现在全球读者面前，只不过，这次的主角是IT。

【平坦安全】内网安全之美

前面讲过了，目前安全界的趋势是平坦化。一套认证系统做的再强大，如果仅仅孤立存在，仍然无法带来更多的价值。事实上，认证系统越来越成为内网安全的一个子系统，它确保了企业网在出现安全问题的时候，内网安全机制能够最终定位到具体的设备或者具体的人员上。

要知道，把安全问题落实到点上是多少年来企业IT人员的梦想。新华人寿的IT安全负责人向记者表示，以前企业配置了IDS，结果一旦网络出现问题，IDS 就会不停的报警，然后给网管人员发出一大堆可疑的IP地址信息。网管不是计算机，让它从一堆IP地址中定位某一台设备，这简直是在自虐。

利用认证系统，首先就可以保证网络用户的真实性与合法性。只有界定了合法用户的范围，才有定位的可能性。

目前，不少安全厂商已经开始完善自身的内网安全技术，并与身份认证系统做到有机结合。王景辉介绍说，他们已经把防水墙(客户端系统)、DCBI认证系统、 IDS、防火墙结合在一起组成了DCSM内网安全管理技术，作为3DSMP技术的具体化。而在DCSM技术中，提出了五元素控制:即用户名、用户账号、 IP地址、交换机端口、VLAN绑定在一起，进一步去做访问控制。

在此基础上，内网安全机制可以根据IDS/IPS的报警，对用户进行判断:比如是否为某个用户发动了攻击?或者某个用户是否感染了特定的病毒，比如发现该用户扫描特定端口号就可以判断感染了蠕虫病毒。此时，DCBI控制中心就会进行实时告警。若告警无效，系统就可以阻断某个用户的网络联结。

由于通过完整的认证过程，系统可以知道用户所在交换机端口和所在的VLAN，封杀就会非常精确。

不难看出，一套安全的认证系统，在内网安全方案中扮演着网络准入控制NAC的角色。Cisco的安全工程师介绍，一套完善的认证机制与内网安全管理软件组合在一起，就可以实现丰富的准入控制功能。此外，一般这类管理软件本身不需要安装，只要通过服务器进行分发，就可以推给每一台试图接入网络的计算机上。

而Juniper的安全产品经理梁小东也表示，把认证系统与内网安全系统结合起来，可以确保总体的网络设计更加安全。而且通过内置的安全协议，可以最大程度地让更多的安全产品，如防火墙、IDS/IPS、UTM、VPN等互动起来。而用户也可以根据自己的预算和资金情况，选配不同的模块，具备了安全部署的灵活性。

在采访的过程中，记者发现各个安全厂商已经在内网安全的问题上达成了共识。也许正如王景辉所讲的，虽然企业用户都拥有完善的基础设施，包括全套防病毒系统，可近两年的状况是，病毒大规模爆发的次数不但没有减少，反而更多了，而且大量安全事件都是从内网突破的。

因此总结起来看，要实现一套完善的内网安全机制，第一步就需要一个集中的安全认证;第二步是部署监控系统。让IDS/IPS来监控网络中的行为，去判断是否存在某种攻击或者遭遇某种病毒;第三步是具体执行。当问题判断出来以后，让系统合理地执行很重要。传统上封堵IP的做法，对于现在的攻击和病毒效果不好，因为现在的攻击和病毒MAC地址及IP地址都可以变化。因此有效的方式，就是在安全认证通过以后，系统就可以定位到某一个IP的用户是谁，然后确定相关事件发生在哪一个交换机端口上。这样在采取行动的时候，就可以避免阻断整个IP子网的情况。此外，通过利用802.1X协议，整套安全系统可以把交换机也互动起来，这样就可以更加精确地定位发生安全事件的客户机在哪里。

主流安全认证技术一瞥
属性	类型	主要特点	应用领域	主要问题
单因数认证	用户名密码体制	静态的认证方式，实现简单	常见于办公网络	安全性较差
单因数认证	短信认证	动态的认证方式，部署方便，成本较低，安全性较高	常用于企业IT部门或部分金融机构	无法与AD结合
双因数认证	数字证书	安全性很高，可以与AD结合使用。	常见于金融机构，政府部门	系统开发的复杂度高，存在一定的证书安全隐患
双因数认证	动态令牌	具有最高的安全性，基本不会有单点安全的困扰	IT安全厂商有使用	成本高昂