数字时代,越来越多的企业将“数据”视为核心资产、新资源和新财富。数字身份是网络安全的关键部分,是企业网站数据的重要保护屏障。
钓鱼网站是每个电子商务企业的噩梦,一旦被黑客盯上,往往会令企业“人财两空”,应对这种在线身份威胁的方法是为品牌和网站建立可验证的数字身份,向客户和访问用户证明“我就是我”。
数字身份不仅仅是指在线身份。从技术上讲,数字身份是在特定情况下唯一标识个人、公司和设备为合法的身份。今天我们就来探讨什么是数字身份,为什么它对企业的身份管理流程很重要以及它是如何保护企业的业务安全的。
什么是数字身份?它好比是网络“身份”
MBA智库对数字身份的定义为:描述一个人或事物(有时指称主体subject或实体entity)的一组数据,或者是在网络中可获得的关于一个人的所有信息之总和。它是个人、组织或电子设备在网络中所采用的一个在线身份,或者说是网络身份。那么有哪些信息可以证明你这个网络身份呢?,这个身份信息就包括:
IP地址
登录凭据(用户名和密码)
数字证书
设备MAC ID。
所以拥有了经过验证的数字身份的一大好处就是,它是唯一识别企业的官网业务,并让客户知道该网站是合法且安全的。
数字身份是公钥基础设施的核心
从本质上讲,数字身份是公钥基础设施的关键组成部分,涵盖政策、流程和技术的整个完整的生态系统。它是确保Internet上所依赖的通信安全的框架,并且是确保数字通信安全的基础。它还是组织有效访问控制和访问管理的关键要素。
我们不会在这里讨论PKI工作原理的技术方面(感兴趣的同学可以点击文末链接了解),因为它太过复杂而且也无法小篇幅就能完全覆盖。简单地讲,它依靠公钥和私钥对来允许企业和用户安全地在公共渠道中存储和传输数据。而通常一个人或组织的数字身份需要通过受信任的第三方(证书颁发机构(CA))来与这些密钥相关联。
使用PKI验证用户的数字身份可帮助企业实施零信任架构。零信任模型涉及以下几个过程:
确认某人/某组织是他们声称的身份
验证他们对他们尝试访问的文件/系统具有授权或权限
审查这些标识符并确认其权限后,授予他们访问权限
在整个连接期间,继续验证他们的访问是否合法
数字身份应用示例
在虚无缥缈的网络世界中,你如何确定你和对方在线互动的真实实体是什么?有谁会在尝试访问你的系统或数据,那么这个时候有了数字身份就起到作用了:
刚登录到您的网络并访问了记帐文件的设备是你的会计师还是黑客?
该软件更新来自你的IT部门还是黑客?
你所使用的网站是由供应商拥有的合法网站还是网络钓鱼网站?
你通过老板收到的电子邮件电汇请求是否合法真实?
数字身份就是建立信任,没有信任,就不会有安全的在线通信。数字身份的组成部分是属于个人/组织独有的功能或属性。例如,个人的通用标识符一般包括:
名字和姓氏
驾驶执照
社会安全号码
用户名和其他凭证
电子邮件地址
IP地址
电话号码
生物识别(例如指纹,语音样本,面部扫描或视网膜扫描)
多因素身份验证方法(你所了解的一切证明,拥有的东西或存在的东西)。
那么针对于企业或组织呢?一样很好理解:
1.正式的公司记录(公司名称,经过验证的地址和电话号码)
2.X.509数字证书(SSL / TLS证书,电子邮件签名证书,设备或客户端身份验证证书,代码签名证书,文档签名证书等)
3.密码密钥
4.数字签名
5.网站信任印章。
数字身份本身没有任何价值。它必须与特定的个人,设备或组织绑定关联,并且必须是可验证的。没有那些数字身份指向特定(和可验证)的个人或设备,它也不会为你的企业或组织安全的访问管理计划等提供任何价值。
证书颁发机构使用数字身份来验证组织和用户
证书颁发机构(CA)是所有主要浏览器信任的信誉良好的第三方组织,CA使用正式记录来验证组织的真实信息(公司名称,地址,联系信息等)。他还负责提供或帮助生成列表中的其他项目(只要提出要求的组织满足某些要求)。
比如,为了帮助浏览器信任一个网站,CA向这个网站颁发了SSL / TLS证书,此证书是将组织的真实信息与其加密密钥对相关联的数字文件。这样,这些组织才能使用这些数字身份来证明自己的身份,这样就可以确保用户的一些权益:
确认已连接到正确的网站和服务器(身份验证)
该网站的数据是安全的,不会被网络罪犯窃取或弄乱(加密措施可确保数据完整性和安全性)。
比如在我们访问安全网站时浏览器中出现安全挂锁和“ HTTPS”:
在没有数字证书保护的情况下,将是以下这种情况:
为什么有的网络钓鱼网站也会使用HTTPS?
SSL / TLS证书也分为几个级别的验证,对应的验证效果也有所不同。像DVSSL / TLS证书它需要的验证资料是最少的,而且网络中有许多免费的DV SSL证书可以签发,所以造成了许多钓鱼网站通过某些渠道安装免费的DV SSL证书。国际反网络钓鱼工作组(APWG)的2020年第四季度网络钓鱼活动趋势报告的数据显示,该季度中有近十分之九(89%)的网络钓鱼网站使用DV证书欺骗用户,使用户以为这些钓鱼网站是安全合法的。
那么有同学就会疑惑,为什么免费的DV证书能被网络犯罪分子使用呢?这是因为域验证是一个自动过程,仅在初始请求后的几分钟内为网站颁发证书之前,仅验证有关网站的最低信息要求。但这并不确保该网站是否合法。
那要怎么样才能确保网站是合法的网站,是安全的网站而不是那些钓鱼网站?参照以下小编整理的表格,参照着进行查看辨认,一般不会出错。
数字身份不仅仅适用于企业/组织的网站,也适用于企业/组织的内部IT环境。通过监视连接的设备和用户的数字身份可以确定网络上发生的任何棘手的活动。这也可以帮助企业减轻由于与网络有关的危害或网络攻击而可能造成的任何潜在损害或数据盗窃。
最后我们简单介绍一下关于数字证书的主要应用场景。
1、可信网站服务
这个是我们在文中多次提到的,网站SSL证书为企业提供可信网站服务。企业可以通过部署数字证书,实现对不确定的网站进行验证和检查,可有效避免恶意网站、钓鱼网站和假冒网站对企业网络和数据造成损失。
2、代码签名保护
一个软件从开发到发布,再到用户对软件进行分享,这每一个过程中都存在着大量的不安全因素,即使软件供应商能够保证软件自身的安全性,但也没有办法防御盗版软件或者供应链木马等网络威胁带来的后果。这时候,通过签署软件代码就来保证你的软件的合法可信,使软件安全发布并得到安全使用。
3、安全终端保护
数字化时代,电子商务的发展越来越普遍,用户终端和数据安全问题日益凸显。为了避免终端数据信息的损坏或泄露,数字证书作为一种加密技术,可以用于终端的保护。
4、电子邮件安全
电子邮件中使用数字证书可以建构安全电子邮件证书,主要用户加密电子邮件的传输,保护电子邮件在传输和接收过程中的安全。
5、身份授权管理
授权管理系统是信息系统安全的重要内容,对用户和程序提供相对应的授权服务,授权访问和应用的方法,而数字证书必须通过计算机网络的身份授权管理后才能被应用。当系统双方相互认同时,身份授权系统的工作才能展开。同时,正确使用数字证书,适当授权,完成系统的用户认证,才能切实保护身份授权管理系统的安全性。
做好数字身份认证,找权威CA机构
沃通CA是获得工信部颁发《电子认证服务许可证》和国密局颁发《电子认证服务使用密码许可证》、《电子政务电子认证服务机构》资质的权威CA机构,在SSL证书领域深耕十余年,具备合规资质和专业服务能力,是国内SSL证书市场第一梯队服务商!产品体系涵盖全球信任的SSL证书、代码签名证书、PDF签名证书、可信时间戳服务等,更以国密技术应用为创新,提供基于国密SM2算法的国密SSL证书、国密代码签名证书、国密客户端证书等数字证书产品,结合软硬件产品和PKI服务设施,打造国密改造整体解决方案以及互联网安全可信解决方案。
来源:freebuf.com 2021-04-21 11:18:17 by: CA-沃通WoSign
请登录后发表评论
注册