多重身份验证
多因素身份验证(MFA)是一种分层的方法来保护在线账户及其包含的数据。在在线服务(如电子邮件)中启用MFA时,必须提供两个或多个身份验证器的组合以验证身份之前该服务授予使用权。使用MFA保护账户不仅仅是使用用户名和密码。据微软称,启用MFA的用户被黑客入侵的可能性降低了99%。为什么?因为即使有一个因素(比如你的密码)受到威胁,未经授权的用户将无法满足第二次身份验证要求,最终阻止其访问账户。
概述
多重身份验证(MFA)是一种保护物理和逻辑访问的分层方法,其中系统要求用户提供两个或多个不同身份验证器的组合,以验证用户的身份以进行登录。MFA提高了安全性,因为即使一个身份验证器受到威胁,未经授权的用户也无法满足第二个身份验证要求,并且无法访问目标物理空间或计算机系统。
为什么MFA很重要?
实施MFA会使威胁参与者更难获得对业务场所和信息系统(如远程访问技术、电子邮件和计费系统)的访问权限,即使密码或PIN因网络钓鱼攻击或其他方式而受到威胁。
攻击者越来越能够猜测或获取密码以获得非法访问。密码破解技术变得越来越复杂,高性能计算越来越便宜。此外,攻击者通过网络钓鱼电子邮件或识别从其他系统重复使用的密码来获取凭据。MFA通过大大增加对手的难度来增加对账户接管的强大保护。
MFA如何工作?
MFA要求用户在登录时提供两个或多个身份验证因素,以便在被授予访问权限之前验证其身份。添加到登录过程中的每个附加身份验证因素都会提高安全性。典型的MFA登录需要用户提供以下各项的某种组合:
例如,MFA可能要求用户将智能卡或银行卡插入读卡器(第一个因素),然后输入密码或PIN(第二个因素)。拥有该卡的未经授权的用户在不知道密码的情况下将无法登录;同样,如果没有对卡的物理访问,密码也是无用的。
考虑在面向Internet的系统(如电子邮件、远程桌面和虚拟专用网络(科学))上强制实施MFA。实施计划、成本、采用意愿和提供的保护程度因所选解决方案和要保护的平台而异,因此应将功能与需求相匹配。
微软基于每天有超过 3 亿次针对微软云服务的欺诈性登录尝试,Weinert 表示,启用多因素身份验证解决方案可以阻止 99.9% 的这些未经授权的登录尝试,即使黑客拥有用户当前密码的副本。同时,科技巨头谷歌也曾经有类似表述。
什么是ADSL协议
ADSL根据它接入互联网方式的不同,它所使用的协议也略有不同,当然了不管ADSL使用怎样的协议,它都是基于TCP/IP这个最基本的协议,并且支持所有TCP/IP程序应用。 以下是ADSL使用中常见协议: ①RFC1483B:就是指通常所提及的1483桥接协议,该功能是基于基本的桥接协议的基础上,其在网络的第一层(物理层)实现,在使用该方案时,MODEM只是充当桥接设备,不提供任何协议转换或地址过滤功能,一般当MODEM能与DSLAM同步后,设置好其中的VPI/VCI后,基本上就可以实现用户上网,简而言之此时MODEM仅仅充当HUB相同的功能,在该方案下也有几种联网方案,在该模式下可以实现专线上网(ISP给用户分配固定的IP地址以及子网掩码和默认网关,在不支持NAT功能的MODEM上地址信息必须配置在用户的PC上),同时也可以实现PPPoE拨号方式(MODEM使用1483B方式,在用户PC上安装第三方拨号软件);但现在很多地方还要使用专线方式下的1483B+NAT、1483B+DHCPclient功能(该功能是为了在专线方式时,MODEM的WAN口能动态获得IP地址,这样可以减少ISP的管理工作)。 ②RFC1483R:指1483路由模式,该功能是在桥接的基础上可以实现路由功能,在该模式时,可以在MODEM的广域网口设置公网IP地址,在MODEM的LAN口设置私有IP地址,这样可以轻松实现地址转换功能。 ③RFC1577:即IPOA,通过ATM网传输IP数据包,在该方式下用户必须拥有固定的IP地址和子网掩码以及其他一些网络参数,由于在该方式下无法提供用户名以及密码验证,无法满足网络使用过程中的网络管理以及安全等QoS服务,故该方式目前基本上不再广泛使用。 ④RFC2364:即PPPoA,该方式与上面的RFC1577基本相同,但其在用户与ISP建立基于ATM的物理连接后,通过PPP协议在链路层和网络层上建立会话,使用该协议方式时可以实现PAP、CHAP等安全验证功能,这样为ISP网络的安全管理提供了相应的支持。 在该方式下,MODEM的地址是在通过PPP协议建立连接后由ISP的DHCP服务器自动分配。 ⑤RFC2516:即PPPoE,该方式是基于桥接方式的,当使用该方式时,当MODEM与DSLAM建立基本的物理连接后,由用户端(在MODEM上使用PPPoE方式时,用户端指MODEM)发起PPP请求,通过PAP(PAP:口令认证协议,是用户身份认证的一种形式,它通过用户名和用户口令来验证用户的合法性,由于用户的ID和口令在链路上以文本形式直接传输,因而安全性较差)或CHAP(CHAP:质询握手认证协议,也是用户认证的一种形式,它通过服务器发出认证质询,用户以应答的形式来验证用户的合法性,由于用户的ID和口令经过加密之后再在网络上传输,因此其安全性较好)两种验证方式通过ISP中的UAS验证,而建立网络连接。 注:RFC是Request for Comments Document的缩写。 RFC实际上就是Internet有关服务的一些标准。
网络安全涉及的内容有哪些?
为了保证企业信息的安全性,企业CIMS网至少应该采取以下几项安全措施:(1)数据加密/解密 数据加密的目的是为了隐蔽和保护具有一定密级的信息,既可以用于信息存储,也可以用于信息传输,使其不被非授权方识别。 数据解密则是指将被加密的信息还原。 通常,用于信息加密和解密的参数,分别称之为加密密钥和解密密钥。 对信息进行加密/解密有两种体制,一种是单密钥体制或对称加密体制(如DES),另一种是双密钥体制或不对称加密体制(如RSA)。 在单密钥体制中,加密密钥和解密密钥相同。 系统的保密性主要取决于密钥的安全性。 双密钥体制又称为公开密钥体制,采用双密钥体制的每个用户都有一对选定的密钥,一个是公开的(可由所有人获取),另一个是秘密的(仅由密钥的拥有者知道)。 公开密钥体制的主要特点是将加密和解密能力分开,因而可以实现多个用户加密的信息只能由一个用户解读,或者实现一个用户加密的消息可以由多个用户解读。 数据加密/解密技术是所有安全技术的基础。 (2)数字签名 数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充等问题。 它与手写签名不同,手写签名反映某个人的个性特征是不变的;而数字签名则随被签的对象而变化,数字签名与被签对象是不可分割的。 数字签名一般采用不对称加密技术(如RSA): 通过对被签对象(称为明文)进行某种变换(如文摘),得到一个值,发送者使用自己的秘密密钥对该值进行加密运算,形成签名并附在明文之后传递给接收者;接收者使用发送者的公开密钥对签名进行解密运算,同时对明文实施相同的变换,如其值和解密结果一致,则签名有效,证明本文确实由对应的发送者发送。 当然,签名也可以采用其它的方式,用于证实接收者确实收到了某份报文。 (3)身份认证 身份认证也称身份鉴别,其目的是鉴别通信伙伴的身份,或者在对方声称自己的身份之后,能够进行验证。 身份认证通常需要加密技术、密钥管理技术、数字签名技术,以及可信机构(鉴别服务站)的支持。 可以支持身份认证的协议很多,如Needham-schroedar鉴别协议、X.509鉴别协议、Kerberos鉴别协议等。 实施身份认证的基本思路是直接采用不对称加密体制,由称为鉴别服务站的可信机构负责用户的密钥分配和管理,通信伙伴通过声明各自拥有的秘密密钥来证明自己的身份。 (4)访问控制 访问控制的目的是保证网络资源不被未授权地访问和使用。 资源访问控制通常采用网络资源矩阵来定义用户对资源的访问权限;对于信息资源,还可以直接利用各种系统(如数据库管理系统)内在的访问控制能力,为不同的用户定义不同的访问权限,有利于信息的有序控制。 同样,设备的使用也属于访问控制的范畴,网络中心,尤其是主机房应当加强管理,严禁外人进入。 对于跨网的访问控制,签证(Visas)和防火墙是企业CIMS网络建设中可选择的较好技术。 (5)防病毒系统 计算机病毒通常是一段程序或一组指令,其目的是要破坏用户的计算机系统。 因此,企业CIMS网必须加强防病毒措施,如安装防病毒卡、驻留防毒软件和定期清毒等,以避免不必要的损失。 需要指出的是,病毒软件也在不断地升级,因此应当注意防毒/杀毒软件的更新换代。 (6)加强人员管理 要保证企业CIMS网络的安全性,除了技术上的措施外,人的因素也很重要,因为人是各种安全技术的实施者。 在CIMS网中,不管所采用的安全技术多么先进,如果人为的泄密或破坏,那么再先进的安全技术也是徒劳的。 因此,在一个CIMS企业中,必须制定安全规则,加强人员管理,避免权力过度集中。 这样,才能确保CIMS网的安全。
防火墙一般保护网络的什么区域?
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。 由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。 如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。 防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。 防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。 与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。 例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。 当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。 另外,收集一个网络的使用和误用情况也是非常重要的。 首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。 而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。 使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。 Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。 但是Finger显示的信息非常容易被攻击者所获悉。 攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。 防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
发表评论