试论企业信息化建设中的安全分析(3)

用户名/密码方式是最简单的也是最常用的身份认证方法, 它是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的, 只有用户自己才知道。只要能够正确输入密码, 计算机就认为操作者就是合法用户。但由于操作者为防止遗忘, 经常采用诸如生日、电话号码等易被猜测的字符串作为密码, 所以从安全性上来讲, 用户名/密码方式是一种极不安全的身份认证方式。

●智能卡( IC 卡) 方式

智能卡是一种内置集成电路的芯片, 芯片中存有与用户身份相关的数据, 它由专门的厂商通过专门的设备生产, 是不可复制的硬件。智能卡由合法用户随身携带, 登录时必须将智能卡插入专用的读卡器读取其中的信息, 以验证用户的身份。智能卡认证是基于“what you have”的手段, 通过智能卡硬件不可复制来保证用户身份不会被仿冒。

●动态口令方式

动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫作动态令牌的专用硬件, 内置电源、密码生成芯片和显示屏, 密码生成芯片运行专门的密码算法, 根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机, 即可实现身份认证。由于每次使用的密码必须由动态令牌来产生, 只有合法用户才持有该硬件, 所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同, 即使黑客截获了一次密码, 也无法利用这个密码来仿冒合法用户的身份。

●USB KEY 认证方式

基于USB Key 的身份认证方式采用软硬件相结合、一次一密的强双因子认证模式, 很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB 接口的硬件设备, 它内置单片机或智能卡芯片, 可以存储用户的密钥或数字证书, 利用USB Key 内置的密码算法实现对用户身份的认证。

1.8 虚拟专用网

虚拟专用( 简称: VPN) 是对企业内部网的扩展, 其被定义为通过一个公共网络( 通常是互联网) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。

VPN 至少可以提供以下几个功能:

●加密数据, 以保证通过公共网络传输的信息即使被他人截获也不会泄露密码;

●信息认证和身份认证, 保证信息的完整性、合法性和可用性;

●提供访问控制, 不同的用户有不同的访问权限。

VPN 可以帮助远程用户、企业分支机构及商业伙伴同企业的内部网建立可信的安全连接, 并保证数据的安全传输。由于VPN 只是在公用网络上临时建立的安全专用虚拟网络, 企业就已经节省了大量的通信费用, 而且企业还不必投入大量的人力和物理去安装和维护广域网设备和远程访问设备。

1.9 完善企业信息化安全保障体系

从建立安全管理组织、制定安全管理制度、制定信息化应急预案、加强员工安全意识等各方面, 来进一步保证物理安全、网络安全、信息安全各项措施的实现。