面临云端、私有数据和设备安全日益严峻的应战。现在,树立通用的身份验证处理办法是最理想的办法:a) 支撑楼宇、网络以及云端服务和资源的归纳安全拜访;b) 支撑移动密钥,可以通过智能手机或平板电脑便当和安全地拜访;c) 供给多重因子身份验证功用,完成最有用地要挟防护;d) 可以与支撑近场通讯技能(NFC)的笔记本电脑、平板电脑和手机互操作,完成最佳安全性和用户体会。通用的身份验证处理方案可以保证IT和物理根底设备的安全,一起又可以作为集成处理方案的一部分,完成与传统卡和NFC设备的互操作,有多种最佳实践可以满意这些要求。
IT安全的最佳实践
最重要且最佳的实践是摒弃纯暗码的身份验证,而选用暗码与多重安全办法相结合。企业一般重视网络周边的安全,并在防火墙内部依托静态暗码验证用户的身份。跟着要挟的多元化趋势,如高档持续性要挟(APT)、移动自组网黑客进犯和运用自带设备带来的内部危险,因而传统的办法显着缺乏。静态暗码后患无穷,因而企业应该将增强的身份验证扩展到个人运用程序和服务器以及云端体系。
多重安全办法应该包括多因子身份验证、设备身份验证、浏览器维护和买卖身份验证。该办法选用集成式通用身份验证渠道以及实时要挟检测功用。要挟检测技能已经在网上银行和电子商务范畴运用了一段时间,该技能估计可以转移到企业中,作为VPN或虚拟桌面等长途拜访运用的额定安全办法。
双因子验证办法曾经一般局限于动态口令(OTP)密钥、显现卡和其他物理设备,可是现在正在被存储到手机、平板电脑上的“软件密钥”以及浏览器密钥替代。各个安排可以运用用户的智能手机替换专用的安全密钥,遍及第二个身份验证因子(“具有的东西”),完成便当性。手机运用程序发生OTP,或许通过短信将OTP发送到手机。为了完成更高的安全性,将身份验证凭据卡存储到移动设备的安全元件上或用户身份模块(SIM)芯片上。移动密钥也可以与云端运用程序单点登录功用相结合,将传统的双因子验证与单一设备上多个云端运用程序的简化拜访相交融。
跟着身份办理转向云端,需求考虑其他要害因素。现在,关于此形式安全的讨论都会集在保证渠道安全上,但跟着企业将运用程序移动到云端并充分运用软件即服务(SaaS)的形式,在多个云端运用程序中装备和吊销用户身份,一起保证安全、顺利的用户登录,处理这些应战至关重要。此外,本行业需求界说用于办理和支撑自带设备(BYOD)环境中许多的个人手机的最佳实践。从个人设备到公司网络或云端运用程序的身份验证将成为一项要害要求。在维护企业数据和资源的一起,保证BYOD用户的个人隐私也十分要害。
门禁安全的最佳实践
门禁体系的安全最佳实践包括:运用两层身份验证和密钥维护机制的非触摸式智能卡技能;智能卡根据开放式规范,可以运用安全生态体系内部的可信通讯渠道上的安全信息传送协议,与广泛的产品进行互操作。智能卡具有通用、规范的卡边际,进步适应性和互操作性,保证可以在NFC智能手机上运用,然后用户可以在门禁操控中轮换运用智能卡或移动设备。
坚持门禁体系的 “与时俱进”十分重要,其原因有许多。安排或许需求未来添加新运用,如生物辨认模板;兼并、并购或搬迁需求在短时间内重塑品牌并在重组时发行新凭据卡;满意新的安全需求以削减丢掉,特别是当现有体系是简单克隆的低频处理方案时,进步危险办理或许十分必要。别的,新立法或监管要求或许要求进步安全性。另一方面,将多种运用集成到一种处理方案可以带来许多优势,可以为安排供给会集式办理,为职工供给便当,使他们无需带着多张卡,即可履行开门、登录电脑、运用考勤和安全打印办理体系、付出餐费或交通费、履行非现金买卖和其他运用。该集成能在整个IT根底设备的要害体系和运用程序上完成多因子验证,而不只仅在周边进行验证,因而进步了安全性。此外,集成使安排可以运用现有的凭据卡出资,为网络登录无缝添加电脑桌面登录,在整个公司网络、体系和设备上树立彻底互操作的多重安防处理方案。
门禁和网络登录的集成在联邦安排中尤为重要。2005年联邦信息处理规范刊物201(FIPS 201)界说了规范化个人身份验证(PIV)智能凭据卡的要求,即,运用智能卡和生物辨认技能进行桌面电脑和门禁体系以增强身份验证。现在为止,FIPS 201多因子验证首要用于运用PKI验证的电脑桌面登录和数字文档签名,但这些功用关于门禁PKI也十分有用,估计今后将被广泛选用,成为联邦身份验证的最佳实践。PIV卡(或许包括用于电脑桌面登录和物理门禁的多因子验证)估计将移植到NFC手机。现在,将PACS根底设备晋级至支撑PIV卡,仅需求晋级读卡器,并运用身份验证模块(包括一切的门禁PKI验证功用)增强现有面板和门操控器的功用。在读卡器和现有的PACS面板之间刺进这些模块,无需像曾经相同将现有操控器根底设备“撤除和替换”。
此外,也可以在商业场所供给相同的PKI验证功用。在PIV卡呈现后的数年内,又界说了两种凭据卡–用于政府承包商的PIV-interoperable (PIV-I)以及用于商业用途的商业身份验证 (CIV)卡。后者是PIV-I的商业版,而且可以充分运用联邦政的PIV项目界说的规范,将牢靠的开放式智能卡技能带到联邦政府安排以外的安排安排。
移动化
将物理门禁和电脑桌面登录集成到NFC手机上也是最佳实践之一—用户很少会丢掉或忘记该设备。通过供给一种、快捷的处理方案,用户无需带着独自的卡、OTP密钥或密钥卡,即可进入大楼、登录网络、拜访运用程序和体系、长途拜访安全网络。此外,移动门禁操控的云端身份装备模型可防止凭据卡仿制,使发行暂时凭据卡、刊出丢掉或失窃的凭据卡、根据需求监控和修正安防参数等操作愈加简单。
虽然移动门禁操控有许多优势,该技能不或许在未来几年内彻底替代物理智能卡。相反,NFC手机将与胸卡和胸章共存,这样安排可以在物理门禁体系内施行智能卡、移动设备或两者混用。为该混合门禁操控环境树立一个晋级途径保证现在的技能出资在将来也可以运用,这一点十分重要。晋级至新功用需求一种可扩展和适应性强的多重技能智能卡和读卡器渠道,该渠道可以使旧凭据卡和新凭据卡技能集成到相同的卡上,一起可以支撑NFC移动渠道。
一起,安排也有必要优化传统卡的安全发行。这包括为多重验证集成要害的可视和逻辑技能,以及通过运用多重办理程序进一步进步安全性,一起还需求进步发行体系的功率。大部分ID卡发行体系依托二维身份验证,比照个人供给的凭据以及卡上显现的身份数据(例如相片ID),以及更杂乱的元素,如高分辨率图画,或激光刻蚀的永久个人化特征,这使假造和篡改根本行不通。智能卡芯片、磁条和其他数字部分成为第三个安全维度,卡数据容量扩展后可以包括生物辨认信息和其他信息,进一步增强了验证。联网智能化制卡体系可以在一步内处理一切必要使命,另一种有用的最佳实践是将读卡器/编码器集成到卡打印机硬件中,使安排可以在今后运用智能卡运用带来的优势。
物理门禁和电脑桌面登录以及将两种功用集成到单一处理方案的最佳实践要求运用根据开放式规范的智能卡技能,而且该技能支撑许多运用并可以移植到NFC手机。通过树立这一根底并预先计划晋级至新功用,各个安排可以挑选在其物理门禁体系内运用两类凭据卡技能。各个安排也可以通过不断改造满意新需求,因而他们将可以维护现有根底设备的出资。
