网络规范认证保障企业内网安全
现在我们用的互联网的时间越来越多,需要掌握的网络技能也很多,那么你了解网络规范认证保障企业内网安全吗?下面是小编整理的一些关于网络规范认证保障企业内网安全的相关资料,供你参考。
网络规范认证保障企业内网安全一:内网安全数据为本
涉及内网安全的因素非常多,产品形式也比较多样,在哪些环节如何部署就显得非常重要。总体而言,内网安全集中关注的对象包括引起信息安全威胁的内网用户、应用环境、应用环境边界和内网通信安全,因此,如何在企业内网构建一个切实可行、简单易用的安全防护体系,是实施内网安全部署的关键所在。
怎样才能有效地实现内网安全呢?除了制定健全的内网安全机制,数据加密也是保护企业有价值数据的有效工具。利用数据加密解决方案可保护笔记本电脑、工作站和服务器等设备硬盘上所有文件(包括操作系统文件)的安全。即使硬盘被盗,企业依然可放心数据不会被非授权人浏览和获取。虽然黑客可以潜入企业的服务器,但是,也无法对服务器上的数据和信息资产造成破坏,因为这些资产都得到了安全的加密保护。
在对数据进行有效加密的同时,身份识别也可以帮助用户实现高强度的安全保护。随着“中国的赛班斯法”——《企业内部控制基本规范》的推广和实施,目前各大公司都在进行一场IT内控的变革,而业界普遍将身份识别定位为首要解决的关键问题。有效的身份识别方式能够为追溯行为和责任体系、审计证据链提供最有效和最有力的支撑。这种过程的价值在于它能够:允许有正当理由需要访问的人员访问;通过限制信息资产外露来降低风险;建立监控机制,针对事件追溯具体用户;高效地管理类似的用户群;实现内控符合风险管理的要求。因而建立更符合法律要求和审计的身份标识方法是每一个优秀企业完善内控,提高企业核心竞争力的必要前提。
身份认证可以通过智能卡、一次性口令,或者令牌的方式进行。当然,身份认证的授权方式必须是可定制的。用户可以选择使用密码或令牌做为授权的方式。真正好的身份认证技术,并不是要通过繁琐的加密步骤来困扰用户。企业用户每天都要登录各种应用系统,因此在不影响用户使用的前提下,简单的操作和高强度的保护,才能为用户提供一个安全、便利的环境。
网络规范认证保障企业内网安全二:数字证书认证身份
目前企业网络中应用的身份识别技术主要分为用户与主机、主机与主机之间的认证。在企业统一的身份认证框架中,集中身份认证系统需要对目前已有的身份认证方式,及未来可能会有的身份认证方式均提供支持,方便管理员根据需要进行选择。
在调查中,记者通过访问业内资深人士、天威诚信高级副总裁李延昭了解到,目前企业在选择身份认证方式时,通常需要考虑如下原则:第一,足够安全,即认证方式不容易被模仿(包括认证凭证的复制、认证过程的重放)或攻击(包括DOS攻击);第二,成本适当,安全和成本常常成反比,但是对于企业来说,既不能为了降低成本而采用不安全的认证方式,也不能为了片面追求安全而不顾成本;第三,使用方便,所有东西都是给人用的,如果因为使用不便而招致反感,则所有的安全措施都形同虚设;第四,提供开放的API接口,便于将认证方式集成到当前以及未来的应用框架中。
基于数字证书的认证方式能够满足当前以及未来的企业内网安全应用需求。数字证书通常是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,从而在网络上解决"我是谁"的问题。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障企业各种网络应用的安全性。
对企业用户而言,构建基于数字证书的身份认证体系有两个方法可以实现,一种是企业自建模式,企业购买整套的PKI/CA软件,然后自行建立一整套相关的服务体系。在这种模式下,企业参与建立、维护、培训和运营整个PKI过程并对PKI软件所有事务负全责,其中包括系统、通信、数据库、物理安全、网络安全配置、高可靠性的冗余设计、灾难恢复等方面,还包括运营系统需要的PKI专家、法律、资金等方面。
第二种方法是面向服务,购买第三方认证服务的建设模式。企业利用第三方CA服务提供商的集成PKI平台,通过配置和管理,将企业端的前台与第三方高可靠性、高安全性的PKI后台组合在一起,对外提供证书服务。此模式下,企业的CA被托管在可信的第三方,复杂、专业的PKI核心服务及维护将交与专业的第三方CA完成,企业复杂的设备以及PKI专家、法律专家,不需要单独承担全部的投资与风险。而基于数字证书的电子签名技术更完全符合我国相关法律的要求,实现诸如电子合同、网上招投标等高端应用。
面向产品的自建CA与面向服务的托管CA代表着两种不同的建设模式,但两者间并不矛盾,因该是各有所长。针对数字证书体系的建设,企业需要根据自身的需求,仔细研究后选择合适的模式,当需要自主可控时选择自建方式,当涉及第三方交易时选购服务模式化解风险,企业完全可以找到适合自己的认证系统建设模式。
网络规范认证保障企业内网安全的评论条评论