安全管理實務之四：口令管理(轉)[@more@]

　　作為簡單有效的安全措施，口令一直是身份管理普遍采用的方式。網絡接入、電子郵件和Web服務使口令得到了廣泛的應用，口令的安全問題開始被人們關注。我們知道，口令的安全與它的長度和復雜度息息相關，越長越復雜的口令越不容易被黑客破解，但是這樣的口令卻難于記憶。口令管理產品被專家認為是化解上述矛盾的有效解決辦法。

　　

　　安全管理實務之四：口令管理

　　

　　在Sun Trust公司網管員每天收到的來自企業內部的求助電話中，有27%到35%是與口令相關的。為了解決這一問題，該中心開始采用口令管理軟件。通過部署口令管理軟件，員工可以從內聯網中重新設置其在Windows NT、NetWare和IBM大型機資源訪問控制系統中的口令。在重新設置后，口令管理軟件同步新口令，使員工使用一個口令就可以訪問所有的系統，這樣做之后，網管員接到的求助電話驟減。Sun Trust并不是一個孤立的案例，事實上與Sun Trust有相同遭遇的公司數不勝數。

　　

　　口令管理產品在一年前開始大量進入市場。目前，產品已相當成熟和穩定。口令管理產品的起價通常為每用戶15美元，這一價格還可以降低。許多用戶已經意識到，如果僅僅依靠人工進行密碼管理，既費時費力，又效率低下，而且還需要額外支付一筆費用，相比之下，采用口令管理軟件顯然是一個省時省力、經濟實惠的解決辦法。

　　

　　口令管理產品的分類及功能

　　

　　企業級口令管理產品可以分為三類：點產品(point product)、一次性登錄工具（single sign-on tools）和框架產品(provisioning framework)。

　　

　　點產品的成本最低，大型公司還可以將價格降至1美元。盡管功能相似，但是不同的點產品具有不同的特性。一些點產品可以與幫助軟件一起使用，當口令需要重新設置時就會生成審計日志或故障清單；一些點產品支持基礎入侵檢測系統和其他模塊；另一些點產品提供大量預置的應用接口。點產品具有較低的成本和較高的投資回報率，適合中小型企業用戶采用。

　　

　　在批準客戶或合作伙伴訪問企業的系統時，一次性登錄工具就體現出重要作用。大多數一次性登錄工具不僅能夠同步口令，而且還可以將用戶登錄到多個后端系統上。一次登錄工具的標價高于點產品，每用戶為80美元。Web認證工具也屬于一次性登錄產品，它將口令管理與Web應用一次登錄捆綁在一起。

　　

　　配置框架將工作流引擎與口令管理和賬戶授權功能組合在一起，自動創建和刪除特定用戶要求的賬戶集合。對于只需要口令管理的用戶來說，配置框架的功能和費用超出了這些用戶的需求，而且配置框架需要大量進行應用集成和業務重建，僅部署費用一項就高達上百萬美元。在大型口令管理任務中，配置框架顯示出強大的威力。例如，一些大學IT部門使用配置框架處理學生賬戶，迅速按照每位學生的學習課程定制創建新賬戶，同時刪除幾千名離校學生的賬戶，或是暫停學生賬戶。

　　

　　部署配置框架的用戶不再需要點產品，那些使用點產品的用戶可以很容易地遷移到配置框架上來。幾乎所有的點產品廠商都提供配置框架的添加件。遷移到配置框架技術意味著用戶必須拆除已安裝的口令管理系統。對于業務規模不斷擴大的大、中型用戶來說，框架產品是一種比較理想的選擇。

　　

　　無論是哪一種口令管理產品，都必須具有以下三種功能：自助服務口令重新設置、口令同步和口令政策實施。其中，自助服務口令重新設置使得用戶通過正確回答以前提供的“質詢問題”來重新設置忘記的口令，而且大多數產品支持代理的口令重設，即由用戶打電話給代理人，由代理人進行密碼重設。口令同步允許將一個口令用于多種系統。當一個口令被重新設置后，所有的系統都被自動更新。口令政策實施保證新口令不僅符合操作系統要求，而且還遵守網絡部門的政策。

　　

　　口令管理產品的選擇要點

　　

　　由于大多數口令管理產品具有類似的功能，所以當用戶選擇口令管理產品時，不僅需要考察其功能和兼容性，而且需要格外重視以下幾點。

　　

　　是否使用自己的數據庫，是否支持用戶已有的目錄產品和數據庫產品。

　　

　　一些產品采用加密數據庫進行密碼重設，這時用戶需要查看數據庫加密的原理。一些產品采用哈希算法進行數據庫加密，這種產品要求密碼高精度匹配，具有很高的安全性；另外一些采用密鑰加密方法，允許密碼冗錯匹配，使數據容易恢復。對于以上兩種產品，用戶應該根據實際情況，酌情選擇。

　　

　　客戶端界面是否支持密碼重設和是否使用代理技術。一些產品支持代理，而另外一些產品不支持代理。是否支持代理決定了口令管理產品在網絡中的部署會有很大不同。

　　

　　目前和計劃支持的系統有哪些。大多數口令管理產品目前只支持輕量級的目錄訪問，很少提供XML輸出格式，XML格式對于實現數據共享有重要意義。而目前多數產品只能通過API為應用提供接口。

　　

　　口令管理產品的實際應用

　　

　　許多口令管理產品在支持多客戶機、操作系統和應用的同時，能夠與幫助臺、審計和其他網絡管理產品進行集成。下圖顯示了口令管理產品在網絡環境中的工作流程。

　　

來自 “ ITPUB博客 ” ，鏈接：http://blog.itpub.net/8403220/viewspace-935280/，如需轉載，請注明出處，否則將追究法律責任。

0 0 分享到： 上一篇： 防范和抵御兩手都要硬(轉) 下一篇： 安全管理實務之三：漏洞管理(轉) 請登錄后發表評論 登錄 全部評論 <%=items[i].createtime%>

<%=items[i].content%>

<%if(items[i].items.items.length) { %> <%for(var j=0;j <%=items[i].items.items[j].createtime%> 回復

<%=items[i].items.items[j].username%>???回復???<%=items[i].items.items[j].tousername%>： <%=items[i].items.items[j].content%>

<%}%> <%if(items[i].items.total > 5) { %> 還有<%=items[i].items.total-5%>條評論) data-count=1 data-flag=true>點擊查看 <%}%> <%}%> <%}%> blogzone

• 博文量 834
• 訪問量 6246437

最新文章

• 添加/刪除Windows2000/XP系統組件一法(轉)
• WindowsXPProfessional系統恢復淺談(轉)
• 軟件卸載全攻略(轉)
• “電腦萬能加鎖專家”讓文件緊鎖(轉)
• 非常關機“秀”(轉)
• Win系統目錄解析(轉)
• 玩轉XP“多用戶”功能（上）(轉)
• 玩轉XP“多用戶”功能（下）(轉)
• Windows2000中藍屏死機之停止信息分析(轉)
• 在WindowsNT退休前應考慮的問題(轉)

支持我們 作者招募 用戶協議 FAQ Contact Us

北京盛拓優訊信息技術有限公司. 版權所有??京ICP備09055130號-4??北京市公安局海淀分局網監中心備案編號：11010802021510

廣播電視節目制作經營許可證(京) 字第1234號 中國互聯網協會會員

轉載于:http://blog.itpub.net/8403220/viewspace-935280/

總結

以上是生活随笔為你收集整理的安全管理实务之四：口令管理(转)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。