摘要: 前两天有人跟我讨论信息安全中一个比较成熟的技术,就是网络实名认证体系建设,让我感觉到有一定的理由必须写一段感触,警醒自己,并寻找自己的知音来共同创造和发展这个技术。网络实名认证体系是啥东西呢?自己百度就知道了,技术上实现主要分成几个层面实现,第一个就是常用...
前两天有人跟我讨论信息安全中一个比较成熟的技术,就是网络实名认证体系建设,让我感觉到有一定的理由必须写一段感触,警醒自己,并寻找自己的知音来共同创造和发展这个技术。
网络实名认证体系是啥东西呢?自己百度就知道了,技术上实现主要分成几个层面实现,第一个就是常用的用户名+口令的方式,比如我们每个人都用的QQ用的普遍是这个认证模式;第二个是个人私钥保存模式,这个提法是因为完成这个模式有两个技术,以前我们常说的有PKI技术,以私钥为私密模式,借助有源计算,在一个便携式的设备里封装特有的计算模块及个人私钥,在认证的时候先要插上电源,进行封闭计算,提交计算结果进行ldap或者认证网关查找相关公钥及对比认证;另一个技术就是CPK技术,个人私钥在生成个人证书的时候是存在服务器端的,这个技术的关键在于对企业良心的考验,自身管理规范性的考验,对于国内无论企业还是那啥,谈到良心我只能呵呵,更别说是自律性的企业规范。第三个是基于生理特征完成的认证机制,例如指纹、掌纹、虹膜、面部等识别技术,推广最多的是指纹和掌纹,现在的技术并不是简单的比对特征点,还可以通过轻压采集器完成对指纹内毛细血管血液流速及体温的对比,更加强化了实体人的认证。
阐述这类技术主要的不是要比对哪个技术好,哪个技术不好,主要是我们在信息安全行业上分清楚主次,什么是基础性安全措施,什么是专业性安全措施,但是在我看来,我们就不应该有基础性安全措施,但是国内的信息安全行业发展都是公共安全标准加固每个行业自身的安全水平,如果有特色的东西就是在原有架构的基础上进行策略的更新,但是地基仍然是普遍技术产品。这种模式也无形中产生了好多的隐含操作,价格保护等,厂家也乐得其所的完成了市场占有率,完成了业绩并整合上市啊、引进风投啊等措施,这样的发展普遍完成了一个事,就是疯狂的将自己产品作为一个公共服务类安全产品整合包装推广到各个行业,谚语说,“样样通,样样松”,诸如推出的UTM设备,迎合了小微型企业的安全需求,但是更多的厂家知道UTM真正的策略全开的话,大部分的网络基本就处于崩溃的边缘,这个产物在国外是有一定的应用环境的。在国内又一群不负责任的厂商说这个东西好啊, 能够提高安全防护水平,又投入少量的钱,我也只能呵呵;产品如此,公司更是如此,信息安全的发展方向如何,只是靠一两个标准制度,一两个领先的安全专家就能够完成吗?
使然,国内的信息安全发展路径,依然是照搬照抄国外的安全技术,国内的公司作为销售部门提供国内相关的市场关系,完成国外技术的国产化,将大部分的采购维护资金高高兴兴的送出国,再有就是有志青年好不容易弄了一个好用的工具,大的安全厂商就是说这个卖给我吧,不卖的话我们可以马上copy一个,并依仗大公司的市场战略迅速推广。欺负的小公司无法生存,只能依附大公司,然后按照大公司的战略模式,把这个小产品包装成公共安全类的产品推广,完成了市场占有率,但是小产品的设计初衷在哪?小产品的最原始的需求在哪?大公司全然不理,美其名曰你连吃饭都费劲,还考虑你产品的价值?加入我们让你的产品升华,让你的产品占据国内各领域的市场,你的产品就应该是全行业产品。我到这也只能是呵呵了,理想的信息安全应该是根据业务系统派生出来的,按照国内国际普遍标准为依据生产的,强化本行业信息系统发展的信息安全服务能力的安全产品,也就是说每个行业要有自己独特的安全产品,只能局限在本行业使用。后续的安全产品依附行业标准,行业系统的能力只能越来越强,全面适合于行业内的系统,并不是依托某个需求生产出来一个全能型的产品,在各行业都能适配。
后续的信息安全行业就应该是百家齐鸣的形式,像各个行业大佬一样,每个信息安全厂商都还应该有自己独特的标签,为自己领域内的客户提供更专更新更好的安全服务。
出处:游侠安全网 作者:刘新航
