全部产品
云市场
云游戏

身份安全的重要性

更新时间:2020-07-17 15:45:53

身份安全面临的威胁

数据已经成为国家和企业发展的重要资源,随着云化、移动化的进程加快,网络边界变得越来越模糊,在互联网访问网站,在政府或者企业进行办公,我们都需要有一个身份才能访问对应的系统和资源。日益成熟的数据挖掘技术,廉价的存储手段使得个人信息更加透明,充满高利用价值和商业利益的个人身份信息成为各方争夺的资源,一旦这些用户身份信息被泄露或者进行恶意使用,将给政府,企业和个人带来不可挽回的巨大损失。

近年来国内外经常发生各类信息和数据泄露的事件都跟身份安全离不开关系,例如雅虎数据泄密事件、乌克兰电网受攻击事件,万豪酒店数据泄露事件,甚至也不乏因为身份管理不当导致离职员工恶意删除公司资料的案例等。从个人的隐私到企业的商业秘密,甚至是政府国家的核心机密,都出现了不同程度的信息安全问题。

数据泄露简介

当发生敏感的受保护或机密数据可能被未经授权的个人查看,偷窃或使用的事件时,即可定义为数据泄露。数据泄露往往涉及支付卡信息,个人健康信息,个人身份信息,商业秘密或知识产权。

在数据泄露方面,81%的数据泄露涉及撞库或弱口令,都与账号密码被盗用有关。使用传统的账户密码认证方式,很容易被破解和泄露,大部分人习惯使用相同的账户和密码登录不同的系统,绝大部分的人并没有养成定期修改密码的习惯,不但给登录的应用系统带来风险,也给其它应用系统带来巨大的安全隐患。

身份安全给企业带来的挑战

据统计其中89%的数据泄露都是由经济利益或商业间谍驱动的,对于个人,用户信息泄露,则用户账号面临被盗风险,个人隐私及财产安全难以保障;对于企业,数据泄露导致其在公众中的威望和信任度下降,会直接改变客户原有选择倾向,使企业失去一大批已有的潜在的客户。也可以说,在数据信息的作用和地位日渐重要的今天,数据信息的安全关乎企业声誉,公众信任感,经济利益,生死存亡,企业数据信息的安全程度将会影响企业的外部竞争力。

image.png

从全球来看,数据泄露的威胁大部分来自于外部恶意攻击,而内部人员的威胁也在上升。从企业角度考虑,确保正确的人在正确的时间,因为正确的原因访问了正确的资源是非常重要的。比如,客服人员可以即时查询客户信息,运营人员可以查询负责产品的运营数据,研发人员可以查看有权限访问的代码。IT部门需要保持对系统访问的严密控制,从而保证只有经过授权的人才能访问企业资源。但是面对庞大的员工、不同应用的账户体系,各应用的访问权限控制,IT部门不但需要花费大量的人力用于维护以上数据,还很容易导致误操作,导致数据泄露的风险。

现在越来越多的外部人员需要访问企业敏感IT资源,如客户、供应商和合作伙伴,那些对外公布的资源通常以Web形式进行发布,外部人员可以很容易的通过浏览器进行访问。但是越来越多的数据泄露事件来源于第三方未经授权的访问,如何保证对外发布数据访问的安全性是越来越大的挑战。

身份认证技术

如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说,保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题应运而生的。

身份认证技术是网络通信双方进行真实身份鉴别,也可以说是网络信息安全的看门人。身份认证的目的是鉴别网络使用者的身份是否合法真实,再决定是否给与访问网络资源的授权。对于身份认证不能通过的使用者,网络系统就会阻止其对相关网络的访问,身份认证技术是计算机网络中鉴别使用者身份的有效手段。

随着信息化过程的不断推进以及计算机网络技术的发展,人们的日常生活不断网络变化,资产不断数字化,身份认证逐渐成为保障用户信息安全的基本手段。身份认证安全是任何一个互联网产品的生命线, 身份认证安全依托于网络安全产品和策略的升级。

在真实世界,对用户的身份认证基本方法可以分为以下三种,也可将这几种认证方式相结合。

    1. 根据你所知道的信息来证明你的身份,比如账号密码,手势密码,PIN码等
    2. 根据你拥有的东西来证明你的身份,比如移动PKI体系认证,USB key, 智能卡,硬件动态令牌,手机等
    3. 根据独一无二的生物特征来证明你的身份,比如人脸,声纹,指纹,掌纹,虹膜,静脉等

在信息复杂的网络时代,安全与便捷似乎一直是一个矛盾的话题,但在安全的基础上如何便捷的实现身份认证是需要重点关注的。身份认证从单因子认证到多因子认证,从静态认证到动态认证,安全级别逐渐提升。作为防护网络资产的第一道关口,身份认证将起着越来越重要的作用。