随着计算机网络的飞速发展,企业从传统的砖瓦水泥中脱离出来,利用互联网构筑强大的信息网络,以应对瞬息万变、不断白热化的竞争形势。而几乎等同于企业命脉的数据一旦遭受攻击或窃取,给企业带来的损失将是灾难性的。据美国司法部犯罪科的计算机犯罪研究报告统计,有超过82%的计算机犯罪是由于简单的user/password身份验证,为犯罪分子潜入企业网络提供可乘之机造成的。因而如何确保进入企业网络内部的ID是安全和不被盗用的,已经成为企业安全问题的最大困扰。
传统用户认证方式难堪安全重任
传统的认证方式大部分是从身份验证出发的,例如加密、U/P验证以及USB Key结合数字证书等方式。而对于高级攻击者来说,获得授权ID和密码并不是件困难的事情。相对于原始的身份验证,USB结合数字证书的认证方式由于拥有相对较高的安全性目前被广泛应用于各个领域。这种认证方式将经过授权的数字证书存放于USB Key中,通过对USB Key中数字证书的验证来确定使用者是否是经过授权的用户。但由于USB Key极容易发生丢失和盗窃,因此企业依然难以保证网络安全。
同时,随着网络资产越来越有价值和其高敏感性的特点,网络攻击的次数和复杂性日渐增加,更多基于用户身份进行验证的方式逐渐在使用过程中暴露弱点:在传统的针对用户身份认证的环境下,外来攻击者仅凭盗取的相关用户身份凭证或拿到相应的USB Key就能以任何一台设备进入网络,即使最严密的用户认证保护系统也难保安全。同时,由于员工可以通过任一台未经确认和处理的设备以有效的个人身份凭证登入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。
更有甚者,家贼难防,来自企业内部的失密竟然占据信息安全问题的绝大多数,统计数据的显示的确实令人遗憾和惊叹,80%以上的企业数据安全问题是由内部员工引起的!种种迹象表明,传统的基于身份验证的认证方式,已难以应对企业日益提高的安全要求。如何进一步为企业网络安全实施有效的保护措施成为市场关注的焦点。
“设备认证”安全靠BIOS
设想一下,如果能够使企业将访问控制水平扩展到用户名和密码之外,对进行连接的计算机也同时进行验证,在将这些电脑连接到网络之前,保证他们是已知的、可管理的设备,并且已经下载了最新的防病毒软件和补丁程序,那么企业的网络安全系数是否会大大提高?
基于这种需求,“用户的硬件设备”正在成为企业安全系统认证中的一个核心环节,确保只有使用“可信赖设备”的授权用户才能够访问企业网络。而凤凰科技的一款工具软件“TrustConnector”就在BIOS中实现了这种功能。TrustConnector的任务是确保计算机的所有硬件部件——例如硬盘、内存和键盘正确地安装和运行。利用在BIOS系统软件的核心技术,TrustConnector可以随机选择用户端电脑中不同零部件的唯一编号,如CPU系列编号、媒体存取控制地址等,以乱码形式产生代表该电脑设备的身份号码——设备密钥(Device Key),从而确保设备的唯一性。利用该DK可以保护任何敏感的数据或身份凭证,例如PKI/CA体系中客户终端的私钥。另外,TrustConnector能确保对于这些敏感数据的运算在一个特殊模式和内存空间里,防止黑客对内存的监控和分析。 再者,所有能调用DK的驱动或者应用程序都需要经过完整性验证后才能操作。这样三者共同打造了终端设备验证的安全性。在企业网络中只有使用已被授权的终端设备才可联网,因此确保了网络安全性,也真正实现了“安全从开机的第一刻开始”的理念。
