前言
随着企业信息化水平的提高,需要保密的数据越来越多,信息安全问题日益突出。当客户、员工和合作伙伴通过网络登陆企业内部网或者员工通过内部网络进行交流时,一方面,他可以访问企业的内部资源,另一方面,他也为企业打开了一个不安全的途径。数据加密、身份认证、Email安全等变得非常重要,传统的口令登陆模式显得非常脆弱,任何一个入侵者可以轻易的通过口令侦查就可以获得对资源的访问权限,监听者可以很容易的窃取不加密的数据传递。字典攻击、钓鱼等技术可以方便的获取不安全的口令。Entrust作为安全身份认证和访问控制发展过程中的领导者,十多年来,为世界各地的企业和政府提供了成功的数字身份和信息安全软件和服务的集成方案。Entrust的解决方案使企业能够:安全认证客户、合作伙伴和员工的身份;控制对各种应用(包括Email、Web访问、VPN)和敏感数据的访问;保护信息安全周期的安全。
Entrust企业安全解决方案
Entrust解决方案为各种不同的应用、平台和环境提供统一的安全管理接口和数字身份认证技术,特别为企业能够通过互联网和企业网络与合作伙伴、客户及各地分支机构进行安全的信息交换和交易。Entrust的完整的集成方案使用了认证、授权、数字身份和加密方面的创新技术,包括以下几个方面:
安全的身份管理――为企业提供安全的身份认证管理方案。企业可以通过Entrust提供的PKI技术进行安全的用户身份认证或通过Entrust’s IdentityGuard进行第二因子的身份认证。
安全的信息传递――为各种电子邮件环境(企业内部电子邮件、企业同外部电子邮件)提供透明的安全传递,保证内容的安全性,并为电子邮件提供可审计的记录,以减少安全风险。通过Entrust的安全电子邮件解决方案和安全的桌面安全方案,确保企业内部的数据交流安全。
安全的数据――为企业信息提供全面的保护,减少企业信息泄露、损失或毁坏的风险,而不论数据存储何处信息、信息如何传递,并且不影响用户原有的工作方式。
Entrust的主要企业应用产品
Entrust TruePass 使机构有信心将他们最关键的应用部署到网络上,通过使用TruePass,企业可以安全的在网上与客户、合作伙伴和分支机构、员工等通过加强的身份认证、可审计的交易记录、行业领先的数据保护和加密技术,进行商业信息交换和交易。
Entrust GetAccess将网络门户变成管理和建立个性化的安全的商业服务平台。通过提供用户身份认证、单点登录和访问管理,GetAccess使得网络访问和交易的个性化,并且安全可靠,可以与TruePass一起为企业提供安全的网络访问服务。
Entrust Entrelligence为企业桌面应用(如电子邮件、文档资料、VPN和电子表单)提供方便地增加安全应用和管理安全的能力。
Entrust IdentityGuard就是为弥补传统口令访问模式的缺陷而开发的新一代双因子身份认证解决方案,通过对一张身份卡片的挑战应答,大大改善了抵御盗窃网络身份 例如”钓鱼式” (phishing) 及”转发欺骗”(pharming)攻击的能力。对提高企业访问安全提供了一个性能价格比较高的解决方案。
Web 安全解决方案-TruePass
TruePass 是一个增强的 Web 安全解决方案,使用了由CA提供的高级的公钥基础设施(PKI)的功能。可以保护网站资源和应用、安全认证终端用户和允许可验证和秘密的交易。产品提供了以下增强安全服务:
主要功能
强大的TruePass用户身份鉴别能力
TruePass用户在提供了足够的识别信息以后才可以访问自己的数字证书。TruePass强制用户使用强口令以保证用户不使用那些弱口令或容易猜测的口令。从而降低了数字证书被攻破的风险。口令规则均可以通过服务器端的管理设置进行定制,允许组织权衡口令强度和所支持的用户及环境。
能够为交易的验证提供标准的数字签名
TruePass为最终用户提供数字签名的功能,允许公司在在线环境下可以进行校验。Entrust允许两种不同的方式配置产品,给组织机会使用符合公司需要的数字签名方式。第一种方式允许认证过的用户能够简单的对数据进行签名(例如已完成的在线表单)并且提供给Web服务器。第二种方式是另外提供一份签名数据的汇总给用户复核,并允许再次确认,然后再利用Truepass applet进行签名。这样保证给用户签名的数据与就是他们实际签名的数据。而且在服务器端所进行的签名还包括时间信息,可以防抵赖。
端到端加密保证WEB服务器以外的用户数据
TruePass透明的加密由用户提交给指定后台系统的数据。和单独使用SSL保证Internet安全不同,TruePass能够被配置成自动获取目标系统的证书,并且查询证书废止列表(CRL)检查证书合法性,然后通过168位的3-DES算法加密数据。从最终用户的角度,对他们提交数据的强保护完全是透明的,并且如SSL连接一样简单。然而,即使在数据到达Web服务器和Web服务器以外,没有128位的SSL安全连接,所提交的数据仍然保持加密状态。
数字证书安全存储位置
TruePass允许用户注册、存储和访问存放在不同安全位置的数字证书,数字证书的存储方式有:
Roaming Entrust Profile(漫游方式)
Desktop Entrust Profile(桌面方式)
Windows digital ID store
基于windows安全架构的智能卡(Smart card) 或令牌(Token);
不同的存放方式使得用户可以以最适合自己的方式来部署。
定制和加强漫游(Roaming)身份鉴别的能力
作为对前面描述的对于TruePass漫游用户的强认证的补充,公司能灵活的要求一些附加认证因素,包括外部数据源、随机数令牌、短信或其他别的方式加强身份认证过程的力度。 还提供一种可选的功能,也就是PIN服务器,它允许公司提供为用户认证提供高级别的安全。它允许用户使用电话号码作为认证的第二特征因子。认证时,用户需要在认证的电话上接收一个一次性的口令来访问受保护资源。 一次性的 “带外”口令传输显著的加强了TruePass已有的强认证过程。
为用户提供完全的灵活性
用户可以从任何 Java-Enable的浏览器登录到web资源,允许他们方便的从多个位置开展工作。对于漫游用户,数字证书透明的下载到用于访问web网站的机器上并在工作会话的过程中可用。会话完成以后,用户的数字证书被安全删除并自动的在其它位置可用。
强大的安全管理功能
TruePass提供自动、透明的数字证书管理。当数字证书要过期时,能自动更新,新的身份马上可以使用。 TruePass在每次login 的时候检查数字证书以确认用户是一个有效用户(CRL检查),同时也查看数字证书是否需要更新。如果需要更新,则TruePass自动和CA联系透明的更新用户的数字证书。这样显著的降低了管理费用。
系统性能和稳定性
TruePass设计为在大业务量、大交易额的门户环境下运行。构建在Java平台之上,使用servlets模式提供应用所需的功能,TruePass是以规模构建的。高可用性、高可靠性是TruePass支持的以市场为导向的应用服务器的特性。从J2EE架构方法到到产品中集成的特性,TruePass完全有能力为大业务量、大交易额的门户系统提供增强的安全。TruePass支持需要高可用性和高性能的大规模部署,可维护性好。
Entrust 网站单点登录管理解决方案――GetAccess
Entrust GetAccess产品是一个高性能的、可靠安全的、伸缩性好的WEB访问控制解决方案。系统通过单一访问入口,集中管理多个WWW应用服务,提供用户单点登陆(SSO)访问被授权的应用和内容。具有广泛的用户认证方式、灵活的角色分配、基于规则的访问控制和自服务定制应用等特性。并且已经用于上百万的用户系统,具有极高的性能。
作为Web Portal安全和身份管理的关键解决方案,Entrust GetAccess产品使你确认谁有权通过企业的访问入口获取应用访问权限。同时,可以基于用户的身份提供个性化的信息。
Entrust GetAccess软件为企业多种应用集中了统一的管理平台,为应用提供用户证书、身份认证和授权服务。
Entrust GetAccess解决方案是业界l领先的单点登陆、身份、个性化信息、私有信息、认证和安全管理无缝集成在一起的WEB安全解决方案,具有以下特色:
性能价格比好,性能优越
尽管包含了简洁的体系结构和高登陆率等高性能的特征, Entrust采用不限制用户的每处理器的价格模型帮助客户按他们的实际需求购买产品, Entrust'的解决方案的性能更依赖于事务处理的能力,使客户更加符合实际的应用系统. Entrust的专业的服务提供和快速的GetAccess的部署,将帮助客户达到最佳的性能和可靠性
扩展性好
当一个企业的Web Portal得到发展并开始需要身份和口令认证时, Entrust GetAccess与Entrust安全身份认证解决方案一起为客户提供了快速部署、性能价格比好的企业用户身份认证管理方案.当企业准备部署WEB服务时, ,Entrust® Secure Transaction Platform为服务器到服务器之间的事务提供了身份和授权服务. 而Entrust GetAccess是Entrust® Secure Transaction Platform的基础
开放性和互操作性
Entrust GetAccess 使客户更乐意于通过扩充基于标准的技术为外部企业扩展他们的Portal,例如: Security Assertions Markup Language (SAML) 1.0 和通过eXtensible Access Control Markup Language (XACML)设置详细的访问控制.
更有效的访问控制
除了 Entrust GetAccess强有力的角色访问控制外,最性的版本还提供基于XACML 标准的访问控制,使企业不仅可以通过角色进行方文控制,还可以根据策略来进行访问控制,包括:不同的时间段,物理位置和授权方式. 这个特征使得在大型网络里不同角色的人们访问不同敏感的数据进行不同的控制方式成为可能.
容易维护和管理
通过基于浏览器的管理界面, Entrust GetAccess通过制定不同服务、用户、角色、资源、应用和其他系统特征的管理使用户管理和维护变得非常简单。管理员可以通过远程管理这些系统特性,或者授权给其他管理员特定的管理权限实现流水型的管理。
广泛的系统集成支持
GetAccess支持目前市场上大部分主要的WEB服务器和系统平台,系统集成性好。
Entrust 桌面安全解决方案
Entrust 安全桌面解决方案提供易于配置的安全管理到企业应用桌面,该解决方案自动管理和保护用于基于Windows的应用认证的数字身份,用来加密,签名,安全文件保护,安全电子邮件,安全VPN,安全电子表单等集成。
Entrust安全桌面解决方案为企业内部网创建了一个安全的工作环境,能够使员工:
通过一个单一的安全入口访问公司的信息和资源
通过安全的数字签名和安全认证用户 Entrust 安全桌面解决方案保护访问工作站,作为用户单一的入口访问到公司敏感信息和资源。
保护敏感信息防止非授权访问
通过加密文件和文件夹, Entrust安全桌面解决方案提供仅仅允许授权的用户解密受保护的资源,保证数据的机密性和完整性。
Entrust安全桌面解决方案的特点如下:
易于快速配置
Entrust安全桌面能够无缝的与Windows集成, 能够透明的配置而不影响管理员和最终用户的使用方式。该解决方案提供一个瘦客户端能够适应灵活的配置选择,通过邮件或Web的方式,因此管理员能够快速的大规模配置。另外,由于Entrust 安全桌面解决方案利用内置在Windows安装的功能,管理员能够非常容易的通过熟悉的流程配置,并且该解决方案具有强大的扩展性,一旦用户拥有一个数字身份,使用该数字身份,能够扩展到基于Windows的其它企业应用。
减少对 IT 应用, 业务流程, 管理员和最终用户的影响
Entrust 安全桌面解决方案能够提供透明的对于基于Windows应用的out-of-the-box方式的安全管理, 与基于CryptoAPI的应用之间不需要任何集成,能够透明支持。因此,该解决方案能够快速的配置而且对管理员和客户没有影响。该解决方案提供简单的自助式注册流程,能够使最终用户非常容易的注册获取他们的数字身份,进一步减少对管理员和使用者的影响。最终用户需要的桌面支持也更少。同时,该解决方案支持个性化定制,以满足不同客户的个性化需求。
提供灵活的访问控制功能,并且能够限制对于特殊的文件及其文件夹的访问。
Entrust安全桌面解决方案提供对于工作站的访问控制功能,并且限制对于特殊文件或文件夹的访问,仅仅允许授权的用户访问敏感信息。该解决方案提供密钥和证书生命周期的设置,以及灵活存储方式选择。如果数字身份被存储在Entrust Security Store,则该解决方案能够强制密码规则来支持企业的安全策略。并且提供多种存储数字身份的方式,Entrust安全桌面解决方案 能够支持存储数字身份在一个智能卡上,提供增强型双因子认证,即仅仅拥有智能卡和适当权限的用户才能够被允许访问工作站。
对高敏感文件和文件夹强制安全并易于使用
Entrust 安全桌面解决方案通过自动安全的管理用于加密文件和文件夹的数字身份和密钥。强制安全保护敏感信息,通过增强型保护数字身份和强化密码策略,该解决方案仅仅允许拥有授权私钥的个人解密受保护的文件。该解决方案易于使用,作为最终用户不需要学习新的应用获流程,因为,Entrust安全桌面解决方案能够与操作系统无缝集成,提供对文件或文件夹的加密保护。如果用户已经熟练使用他们自己的桌面应用,由于该系统内嵌在桌面系统上,所以用户可以不改变使用习惯。
用户身份自动并透明管理,彻底减少管理员和最终用户的管理费用。
实际上Entrust安全桌面解决方案对最终用户透明。不像其它安全产品,例如内建在Microsoft 桌面的应用,用户需要非常困难的选择哪一个密钥用于解密数据,哪一个密钥用于签名等等。而Entrust安全桌面应用,对于最终用户不需要从事附加的任何步骤来安全她们的文件和文件夹。所有密钥和证书的更新,密钥历史的维护,密钥备份,废止列表检查以及名称修改等都对最终用户是自动和透明的。更为重要的是,该自动更能非常容易被管理员事先,大大减少管理的费用。比如用户忘记密码,丢失密钥或离开公司等,该安全桌面解决方案也能够简化数据恢复过程,能够减少对管理员的影响。
强大的可扩展性,如非常容易的扩展到额外的安全应用,如安全e-mail, 安全VPN, 安全WLAN, 安全e-forms电子表单等。
Entrust安全桌面解决方案通过使用一个单一的数字身份来安全化任何基于Windows的应用,而不需要任何集成。该功能帮助用户收回提供给最终用户附加安全应用的成本和费用。目前Entrust安全桌面解决方案与业界主流的e-mail厂商,VPN厂商,WLAN厂商,E-form厂商内嵌开发Entrust标准接口的安全应用套件,即用户如果购买这些主流厂商的产品,只需要部署Entrust桌面安全解决方案就能够无缝集成。目前Entrust在全球拥有300多家应用合作厂商,他们都参加Entrust-Ready计划,基于Entrust接口开发应用产品共享Entrust安全解决方案。目前主流的厂商如:Adobe, Checkpoint,Cisco, Nortel ,Microsoft, Oracle, Netscreen, Lots notes, IBM, HP, Sun, IBM等等。并且Entrust安全桌面解决方案提供标准接口,用户还可以自己开发定制个性化安全应用。
Entrust安全桌面解决方案能够可扩展性透明与Entrust TruePass , GetAccess ,IM 等解决方案集成。为用户应用层企业安全提供完成的单一体系的安全解决方案。
Entrust’s IdentityGuard-增加访问安全的第二因子解决方案
Entrust IdentityGuard 是一个简单,性价比高的提供第二因子的身份认证方案。非常容易同客户现有的网站登录, Windows登录集成和VPN集成。与传统的基于硬件的方案不同, Entrust IdentityGuard的实施非常容易,不需要特别的硬件或分布式的处理方案。同时,IdentityGuard的实施对终端用户的使用习惯影响很小。过去,使用用户名,口令的身份认证能满足大多数电子商务的需求。随着网上身份盗窃方法的升级,只用口令已不再足以保护用户的信息。 这样,在身份认证的过程中加入一个物理的器件可大大降低网上身份盗窃的可能性。用户拥有的这个物理器件被称为在口令(第一个因子)外的“第二个因子”。.这种方法防止了用户在不知情时把口令提交到一个欺诈网站或被“钓鱼”攻击。即使攻击者得到用户的口令在没有第二因子的情况下也无法用来盗取用户信息
增强抵御攻击能力
• 强身份认证增加了网上身份的安全性,大大改善了抵御盗窃网络身份 例如”钓鱼式” (phishing) 及”转发欺骗”(pharming)攻击的能力。
• Entrust IdentityGuard 提供了一个随机的相关提示(challenge)。该提示只有用IdentityGuard方格卡才能正确回答。这样一来,用户能容易发现欺诈活动,例如把网页转向欺诈网站。欺诈网站难于得到用户个人的IdentityGuard卡上的密码。
降低成本
• 降低了在大交易额、大交易量情况下的资产损失。
• 使用的卡比传统硬件身份认证器件成本低。
容易使用
• Entrust IdentityGuard 提供了一个双因子解决方案,可以与以前的口令认证系统有机的集成,而不改变认证模式,只需要在输入口令基础上,附加填入卡上提供的应答码即可。
• Entrust IdentityGuard管理简单方便,便于迅速部署。
Entrust IdentityGuard 卡的使用
在使用Entrust IdentityGuard时, 用户保留原有的认证方式(例如用户名+口令),而用本人的IdentityGuard卡作为第二个身份认证因子。认证的物理形式是在行/列表中印有不同字符的个性化卡。卡的形式可非常灵活多样。格中的内容可以是数字或字母(由应用设定)。 同样,行数及列数也可由应用设定。 重要的是每个用户有自己的一组随机产生的内容用以证实自己的身份。
使用时,用户仍然是熟悉的原有的登录界面:用户名+口令(见上图)。但除此以外,用户会收到一组随机位置的提示(如图的A2, C4,F3)用于证明使用者是持有第二因子卡的人。 象查看地图一样,用户在他的卡上查到对应格子中的内容。每次登录时,不同的随机位置会提示给用户。这样,使攻击变得非常困难。大大改善了用户名+口令的登录身份认证的安全性。
安全的可控性
灵活的形式使得IdentityGuard卡的能满足客户对安全的不同级别需求。IdentityGuard 栅格的安全可用改变其特性来提高。
• 最有效的影响安全方法是改变栅格大小:增加栅格行/列数可增强安全。
• 每个方格的熵也会对安全有影响:增加每格的字符数或数值可提高安全性,但不如增加栅格数。对于大多数的实用系统,Entrust 推荐使用5 X 10 单字符卡. 这样的卡较好地平衡了安全性和使用方便性。,该卡的高熵能保证制出超过1067 个不同的卡片。
• 安全性同时也能在服务器端增加提示数来提高。
使用的方便性
身份认证的方法是利用了用户非常熟悉的登录习惯。人们很容易地从其日常生活中的经验例如查地图得到类比。使用IdentityGuard卡不需对用户进行复杂的培训教育,非常简单。而且,实施分发方便,例如,栅格可印在银行卡大小的塑料卡上符合大众使用身份认证的习惯,牢固,易于携带,可承受物理上的“滥用”。而传统的硬件令牌是个电子器件须电源,损坏,气候等物理因素直接影响其正常工作。
支持多渠道身份认证方式
Entrust IdentityGuard可扩展来满足其它认证需要。在许多情况下,用户的交易不仅仅完全在Internet上, 可能通过电话,手机, PDA等。Entrust IdentityGuard 解决方案的提示/响应(challenge/response)方法不需要显示大量的信息 也不需要复杂的时间同步机制, 非常丰富适合在这些通讯上的身份认证。例如,交互式自动化语音回答 (IVR) 系统能自动提示卡的位置信息,用户用电话键回答响应的数字。Entrust IdentityGuard方案还可以用于PC桌面的登录及PC的远程登录(见下图)。大大提高了投资的该系统的使用率。降低了成本,同时简化了使用者的操作。
