的確，IT產業將全球供應鏈與市場結合到一起。記者無意去研究宏觀的IT環境，不過當記者把全部精力投入到安全上面的時候，有趣的結果產生了:安全也是平的。

從安全網關、防火墻、UTM、防病毒、IDS/IPS、VPN，到內網身份認證、安全客戶端、安全日志、網管系統，看似獨立的安全產品已經出現了改變，無論是從早先的安全聯動、802.1X、還是近期的私有安全協議、安全與目錄服務整合，都體現出了一個趨勢:安全是密切相連的，是“你中有我，我中有你。”

信息安全的第一要素就是制定“企業安全規范”，而這個“安全規范”恰恰是企業各部分業務與各種安全產品的整合，涵蓋了從存儲、業務傳輸、行為安全、網絡基礎設施、運行安全、系統保護與物理連接的各個層面。

換句話說，安全已經不是傳統上的單一設備，或者像某些廠商所講的那種獨立于網絡的設備。事實上，近三年的發展已經證明，日后信息安全將會逐漸以用戶需求的系統方案為核心。而在這套完整的安全方案之內，各部分都是有機聯系的，之間呈現一種技術與需求交織的扁平網狀關系。

因此當大多數人還沉迷于“不著邊際”的《藍海戰略》的時候，記者則開始關注信息安全的平坦化了。同時，為了讓更多的讀者了解信息安全的現狀，記者專門打造了“安全是平的”系列專題，與大家一起研究信息安全的新技術與新應用。

作為本系列的開篇之作，記者從“身份認證與內網安全”入手。這一對密不可分的安全要素，已經成為了當前安全界最熱門的話題，很多企業用戶對于兩者的關聯與部署充滿了疑問，而記者也專門咨詢了Cisco、CA、Juniper、神州數碼網絡、深信服、新華人壽保險集團和福建興業銀行的IT安全專家，與讀者一起分享其中的心得。

【大勢所趨】從雙因數認證入手

目前在信息安全界有三大技術趨勢:第一，可信計算;第二，身份認證與內網安全;第三，統一威脅管理(UTM)。根據IDC在今年1月份的統計報告，目前在身份認證與內網安全方面的需求最多。而IDC近期出爐的《2006～2010中國IT安全市場分析與預測》報告則顯示:排名靠前的安全廠商都與身份認證與內網安全沾邊。

在身份認證過程中，一般都是基于用戶名和密碼的做法。根據美國《Network World》今年8月份的調查結果，超過60%的企業已經對傳統的認證方式不放心了。

所謂雙因數認證，是針對傳統身份認證而言的。深信服的安全產品經理葉宜斌向記者表示，隨著各種間諜軟件、鍵盤記錄工具的泛濫，企業的IT人員發現，僅僅依靠用戶名、密碼的單一認證體制非常不安全。而雙因數認證則基于硬件建權，通過建立證書系統來進行客戶端的認證工作。

另外，采用雙因數認證還可以保證客戶端登錄網絡的唯一性。神州數碼網絡的安全產品經理王景輝介紹說，安全證書的生成可以提取其他一些信息，比如網卡MAC 地址、客戶端CPU的序列號等。因此當一臺筆記本電腦第一次進入企業網絡時，第一步是認證系統產生用戶名和密碼，第二步則是系統收集筆記本的特征，進而提取具備唯一性的信息，以便生成一個唯一對應的證書。所有的認證信息都可以導入認證服務器，從而實現對客戶端唯一性登錄的檢查。

根據美國和中國的統計，超過七成的政府部門都在使用證書系統保證身份認證的安全可靠。此外，大部分網絡銀行服務業采用了證書模式。

招商銀行的IT專家透露說，目前該行已經在專業版網上銀行系統中采用安全數字證書，并通過USB Key的方式進行保存。USB Key中存放的是用戶個人的數字證書，銀行和用戶各有一份公鑰和私鑰，用戶僅需要記憶一個密碼就可以使用。

新華人壽保險集團的IT經理向記者表示，USB Key的認證模式在新華人壽已經全部實現了，主要還是為日常的OA服務。而該項目的實施方，CA的安全專家介紹說，現在很多大型企業已經開始采用證書系統，像新華人壽這樣的企業，對系統數據流安全非常關注，特別是關注那些很多到桌面、到用戶文件的內容。

除了數字證書，還有一種雙因數認證方式，即動態令牌。動態令牌根據基于時間的算法，每分鐘都產生一個5-6位的認證串號。在客戶端，用戶通過一個類似電子表的硬件，計算出每分鐘產生的令牌串號。那么用戶登錄系統，只要輸入用戶名和相應時間段的串號，就可以安全登錄。

有意思的是，記者發現很多IT安全廠商自身都在使用動態令牌技術。像神州數碼網絡內部的SSL VPN就采用了動態令牌的安全登錄方式。動態令牌避免了記憶密碼的過程，其壽命一般為三年。不過動態令牌由于內置了一個相當精確的時鐘，因此成本較高。

【平坦安全】內網安全之美

前面講過了，目前安全界的趨勢是平坦化。一套認證系統做的再強大，如果僅僅孤立存在，仍然無法帶來更多的價值。事實上，認證系統越來越成為內網安全的一個子系統，它確保了企業網在出現安全問題的時候，內網安全機制能夠最終定位到具體的設備或者具體的人員上。

要知道，把安全問題落實到點上是多少年來企業IT人員的夢想。新華人壽的IT安全負責人向記者表示，以前企業配置了IDS，結果一旦網絡出現問題，IDS 就會不停的報警，然后給網管人員發出一大堆可疑的IP地址信息。網管不是計算機，讓它從一堆IP地址中定位某一臺設備，這簡直是在自虐。

利用認證系統，首先就可以保證網絡用戶的真實性與合法性。只有界定了合法用戶的范圍，才有定位的可能性。

目前，不少安全廠商已經開始完善自身的內網安全技術，并與身份認證系統做到有機結合。王景輝介紹說，他們已經把防水墻(客戶端系統)、DCBI認證系統、 IDS、防火墻結合在一起組成了DCSM內網安全管理技術，作為3DSMP技術的具體化。而在DCSM技術中，提出了五元素控制:即用戶名、用戶賬號、 IP地址、交換機端口、VLAN綁定在一起，進一步去做訪問控制。

在此基礎上，內網安全機制可以根據IDS/IPS的報警，對用戶進行判斷:比如是否為某個用戶發動了攻擊?或者某個用戶是否感染了特定的病毒，比如發現該用戶掃描特定端口號就可以判斷感染了蠕蟲病毒。此時，DCBI控制中心就會進行實時告警。若告警無效，系統就可以阻斷某個用戶的網絡聯結。

由于通過完整的認證過程，系統可以知道用戶所在交換機端口和所在的VLAN，封殺就會非常精確。

不難看出，一套安全的認證系統，在內網安全方案中扮演著網絡準入控制NAC的角色。Cisco的安全工程師介紹，一套完善的認證機制與內網安全管理軟件組合在一起，就可以實現豐富的準入控制功能。此外，一般這類管理軟件本身不需要安裝，只要通過服務器進行分發，就可以推給每一臺試圖接入網絡的計算機上。

而Juniper的安全產品經理梁小東也表示，把認證系統與內網安全系統結合起來，可以確?？傮w的網絡設計更加安全。而且通過內置的安全協議，可以最大程度地讓更多的安全產品，如防火墻、IDS/IPS、UTM、VPN等互動起來。而用戶也可以根據自己的預算和資金情況，選配不同的模塊，具備了安全部署的靈活性。

在采訪的過程中，記者發現各個安全廠商已經在內網安全的問題上達成了共識。也許正如王景輝所講的，雖然企業用戶都擁有完善的基礎設施，包括全套防病毒系統，可近兩年的狀況是，病毒大規模爆發的次數不但沒有減少，反而更多了，而且大量安全事件都是從內網突破的。

因此總結起來看，要實現一套完善的內網安全機制，第一步就需要一個集中的安全認證;第二步是部署監控系統。讓IDS/IPS來監控網絡中的行為，去判斷是否存在某種攻擊或者遭遇某種病毒;第三步是具體執行。當問題判斷出來以后，讓系統合理地執行很重要。傳統上封堵IP的做法，對于現在的攻擊和病毒效果不好，因為現在的攻擊和病毒MAC地址及IP地址都可以變化。因此有效的方式，就是在安全認證通過以后，系統就可以定位到某一個IP的用戶是誰，然后確定相關事件發生在哪一個交換機端口上。這樣在采取行動的時候，就可以避免阻斷整個IP子網的情況。此外，通過利用802.1X協議，整套安全系統可以把交換機也互動起來，這樣就可以更加精確地定位發生安全事件的客戶機在哪里。

主流安全認證技術一瞥
屬性	類型	主要特點	應用領域	主要問題
單因數認證	用戶名密碼體制	靜態的認證方式，實現簡單	常見于辦公網絡	安全性較差
	短信認證	動態的認證方式，部署方便，成本較低，安全性較高	常用于企業IT部門或部分金融機構	無法與AD結合
雙因數認證	數字證書	安全性很高，可以與AD結合使用。	常見于金融機構，政府部門	系統開發的復雜度高，存在一定的證書安全隱患
	動態令牌	具有最高的安全性，基本不會有單點安全的困擾	IT安全廠商有使用	成本高昂

#p#副標題#e#

【精明用戶】混合認證模式

的確，純粹的雙因數認證對于安全起到了很高的保障作用。但不可否認的是，其帶來的IT管理問題也無法忽視。

美國《Network World》的安全編輯撰文指出，美國很多年營業額在1.5億到10億美元的中型企業用戶，很多都不考慮雙因數認證的問題。因為他們認為，雙因數認證系統不僅難于配置，而且花費在購買和實施上的資金也較高，特別是其管理和維護的復雜度也過高。

回到國內，記者發現類似的問題確實也有不少。這個問題的關鍵在于，這些中型企業恰好處于市場的成長期，用戶的賬號像兔子繁殖一樣增加。因此認證需要的安全預算和人力不成正比。在此模式下，部署最安全的雙因數認證體系固然會給企業的IT部分增加較大的壓力。

不過，這并不意味著認證安全無法解決。事實上，很多企業已經開始行動了。在此，記者很高興地看到了一種具有中國特色的“混合認證”模式已經投入了使用。

顧名思義，“混合認證”就是把傳統的身份認證與雙因數認證進行了整合，以求獲得最佳性價比。在此，請跟隨記者去看看福建興業銀行的典型應用。福建興業銀行在認證系統中，將對人的認證和對機器的認證進行了有機結合。在OA辦公領域，采用的都是傳統的“用戶名+密碼”的方式，而在分散各地的ATM機器中，采用了雙因數認證，通過收集ATM機器的序列號與后臺的Radius服務器進行自動無線認證，從而確保了安全監管的需求。

“我們通過這種混合認證模式，既保證了OA系統的簡單、高效，同時又在安全的基礎上，降低了企業網的運營成本。”福建興業銀行的IT安全負責 人解釋說，“這是把有限的資金用在生產網上。”

對于類似的認證，確實可以確保企業的安全與利益。神州數碼網絡的安全產品經理顏世峰曾向記者坦言，如果國內企業普遍采用了混合認證模式，那么可以極大地規范企業網中的隱性安全問題，包括一些私有設備和無線設備的準入控制，都可以低成本地解決。

事實上，中國特色的模式還不僅如此。葉宜斌曾經和記者開玩笑地說道:“在這個世界上，沒有哪個國家的人比中國人更喜歡發短信了。”因此，利用短信進行安全認證也成為了一大特色。

短信認證的成本很低，客戶端只需要一部手機，服務器端類似一部具備SIM卡的短信群發機。用戶登錄時用手機接收用戶名和密碼，這種模式甚至可以規定用戶安全認證的期限。不過葉宜斌也指出，短信認證雖然安全、成本低，但是其無法與企業目錄服務(AD)進行整合，因此易用性受到挑戰。

【系統整合】平坦概念出爐

近年來，在美國安全界一直有一個困擾:就是如何避免內網安全的泥石流問題。所謂泥石流問題，其根源還是多重賬戶密碼現象。要知道，無論是多么完善的認證系統，或者認證系統與內網安全技術結合的多么好，用戶都難以避免多賬戶密碼的輸入問題。

登錄賬戶、密碼，郵件賬戶、密碼，辦公賬戶、密碼等等，還有多賬戶、多密碼的問題已經引起企業IT人員的重視。因為人們難以記憶不同的賬戶名和密碼，而這往往導致安全隱患的出現。事實上，在2004年8月歐洲的InfoSecurity大會期間，有70%的倫敦往返者欣然地和其他在會議中的人士共享他們的登錄信息，其初衷僅僅是為了少記憶一點賬戶名和密碼。

為此，將安全認證、內網安全、包括VPN信息中的賬戶密碼統一起來，已經是不可忽視的問題了。王景輝介紹說，目前各家廠商都希望將認證系統、內網安全設備，包括VPN、UTM等，與企業的AD整合到一起。他認為，這樣做絕對是一個很好的思路。

因為目前企業用AD的很多，微軟的產品多，因此安全技術中的所有模塊都可以進行整合，包括認證系統與AD的深度開發。在很多情況下，讓企業的IT人員維護兩套甚至更多的賬號系統一樣也是不現實的，而且相當麻煩。

合理的方法是與用戶既有的認證系統結合起來，而目前使用最多的就是域賬號。對此，企業的VPN、動態VPN包括認證系統都可以使用相同的AD賬戶，從而實現單點登錄(Single Sign On)。

從更大的方面說，整個網絡準入控制階段都可以與AD結合。正如Cisco的安全工程師所說的，現在的整體安全技術，最起碼都要做到與AD結合，做到與Radius認證結合，因為這兩個是最常用的。

有意思的是，根據美國《Network World》和本報在2005年的統計，無論是中國用戶還是美國用戶，企業網中部署AD的都相當多，從中也反映出Windows認證的規模最廣。但要把AD與內網安全進行整合，目前最大挑戰在于，安全廠商必須對微軟的產品特別了解，需要一定的技術支持才能做相應的開發。

以新華人壽的認證系統為例，傳統的Windows登錄域界面已經被修改，新的界面已經與后臺AD和企業郵件系統作了整合，一次登錄就可以實現訪問所有應用。

此外，根據用戶的具體需求，王景輝表示內網安全技術還可以進一步與LDAP、X.509證書進行結合。記者了解到，目前國內的很多政府部門都在做類似的工作。以河南計生委的安全系統為例。河南計生委的數字證書都是基于原CA公司的認證系統生成的。因此，他們在部署其他安全設備的時候，不能另起爐灶再搞一套，否則會出現多次認證的問題。這就要求安全廠商需要同原CA廠商合作，一起做認證接口的數據交換——安全廠商負責認證信息提交，CA廠商負責認證與返還信息。最后，與CA證書結合后的安全系統同樣可以實現一次性的三點認證(身份、域、VPN)。

記者注意到，美國《Network World》的安全編輯近期非常熱衷于統一認證管理UIM的概念，他認為將雙因數認證、企業中央AD、后臺認證服務器和信任倉庫、以及部分網絡準入控制的模塊整合在一起，就可以形成最完善的UIM體制。

其理由也很簡單—認證幾乎無可避免:很多應用使用權力分配的、或者所有權的認證方法和數據庫，因此想要利用一個簡單的認證平臺去支持所有的應用幾乎是不可能的。而這正是UIM存在的基礎。

對此，國內安全廠商的看法是，UIM很重要，可以解決企業用戶的認證管理問題，不過從更大的內網安全方向看，UIM仍不是全部。顏世峰的看法是，一套完善的內網安全技術至少包括三方面:第一網絡準入控制NAC(也可以算是UIM)。它保證了只有合法的、健康的主機才可以接入網絡，其中包括用戶身份認證與接入設備的準入控制管理;第二，網絡終端管理NTM。它解決企業辦公終端的易用性、統一管理、終端安全等問題;第三，網絡安全運行管理NSRM。它可以動態保證網絡設備、網絡線路的安全、穩定運行，自動發現網絡故障、自動解決并報警。

看到了么，一套身份認證系統，就牽扯出整個內網安全的各個組成部分?，F在應該沒有人會懷疑安全的平坦化了，但請記住，平坦才剛剛開始。

編看編想:平坦的安全缺乏標準

安全是平的，但在平坦的技術中缺乏標準。不論是身份認證還是更加龐大的內網安全，各個國家都沒有對應的通用標準。事實上，即便是802.1X協議，各個安全廠家之間也無法完全通用。

對內網安全技術來說，現在國內外沒有一個廠商大到有很強的實力，把不同的專業安全廠商的產品集成到一起，因此很多還要靠大家一起來做。因此業界有天融信的TOPSEC，也有CheckPoint的OPSEC，也有神州數碼自己定義的協議SOAP。

業界需要標準，但是沒有。王景輝無奈地向記者表示，各家廠商不得不定義自己的通信接口和密鑰協商機制，其中還要確保協議隧道中的所有數據都是加密的。不過他同時認為，目前的狀態可以滿足市場需求。

記得有印象，早在2000年就有人提出統一安全標準的問題，但是做不到。退一步說，目前安全市場的趨勢是變化和更新速度非?？?。開發一個安全協議要考慮保護用戶現有和既有的投資，要讓過去的設備能用起來。但現在的情況是，還沒有等協議出來，過去的設備已經過時了，從這個角度上說，統一所有廠家的安全協議沒有價值。

而且，各國政府在安全上是有自己的想法的，國際廠商出一個協議，不一定能夠認同。