通过NIST指导方针提高安全认证水平

 提示：美国国家标准化和技术协会（NIST）发布了一份极具价值的报告。系统管理员可以据此来判断公司所需的安全认证级别。 
 

如果你认为安全对于你的企业来说是头等大事，那么请翻阅一下TechRepublic的IT Security Survival Guide。此书以及CD提供了保护企业IT系统安全以免受目前流 行网络威胁的相关信息，及对如何对系统和数据进行保护的方法。

由美国国家标准化和技术协会所发布的一份安全文档能够帮助系统管理员处理在设计和实施Web电子商务安全方案时所遇到的复杂问题。这里，我将介绍这份材料所提供的大致内容。

关于此报告
NIST（之前的国家标准局）已经发布了最终版本的Special Publication 800-63，“电子认证指导方针：国家标准技术局建议”。

联邦机构需要遵守NIST所提出的一些指导意见，但这些建议对于商业IT部门来说，尤其是对于那些正在寻找保障Web运行安全的现成指导方针的系统管理员来说，同样很有价值。电子认证是很多系统管理员很关心的一种判定安全的方法，报告提供了许多有用的信息。

报告将认证问题分解成为四个基本层次，对应各层次所能够提供的不同安全信任度级别。非常适合设计自己的安全计划，尤其如果你希望利用此指导意见的后一部分。这一部分的内容主要是关于特定协议以及针对不同安全级别的各种威胁。

显然，如果对方正在下单定购或是正在接收你发送的金融信息，这时的认证对象的确定性就会显得尤为重要。即使是在最基本的认证级别，在发送甚至诸如报价等基本信息（尤其如果你根据市场变化或者信誉因素对不同用户给出了不同报价）之前，能够对在数据流的另一端的使用者进行确认仍显得非常必要。

SP 800-63可以帮助你确定最为适合你的企业的认证级别，诸如你为达到各级别要求所应当使用的协议。此外，当你需要准备一份可能面对实际威胁的完整列表时，文档还为你节约了大量时间。IT专业人士知道，不可能对于你不了解的危险做出有效的防范措施。同时，我们也知道，当你试图对每一种你危险因素作出防范时，则很容易会忽略掉其中的一个。

当然，并不是文档里面的所有内容都可以直接应用到你的IT环境。最好明白你只能粘贴复制部分合适的段落到你的安全计划中。给予NIST的贡献以信任是很好的方式，而且这是一份免费的材料，因此，在你的安全项目实施中使用这些建议之前，不需要花费大量时间来重新编写或者修改其中的段落。同样你也不需要担心你应该使用多少文本才不会招致作者的愤怒。

第九部分的表格“各级别技术需求摘要（Summary of Technical Requirements by Level）”也非常有用。如果可以确定前面提到的四种预定义级别中某种是你需要的，这些表格将迅速显示出在实施这些指导方针中你可能遇到的技术障碍，诸如哪些令牌适用于某种特定安全级别，以及为达到某种特定安全程度你应当尤其注意哪种安全威胁。

SP 800-63中所描述的令牌种类包括（列表第一项是最为安全的）：

硬加密令牌（Hard crypto tokens）

一次密码设备（One-time password devices）

软加密令牌（Soft crypto tokens）

密码（Passwords）

PINs
包括以下不同的攻击描述：

在线密码帐户猜测（Online guessing）

重放攻击（Replay）

窃听（Eavesdropping）

冒充证明者（Verifier impersonation）

“中间人”攻击（Man-in-the-middle attacks）

强占会话（Session hijacking）
最高一级的安全防护需要采取应对所有以上六种类型攻击的措施，而最低级别的安全防护只需要防备重放攻击和在线密码帐户猜测。

密码分析
附录A专门给出了基于信息理论的密码分析，包括对任何密码评估密码强度和密码信息内容（平均信息量级别）的计算公式。在密码术方面，平均信息量被作为猜测特定密码或判断密码种类难易程度的度量方式。尽管你可能对数学不感兴趣，这些宽泛的概述性讨论还是能够对从事系统安全的人士（而不是专业密码研究人员）提供一定的帮助。

结束语
有很多次，我们因为忙于自己的工作而忽视了我们领域内的政府成果。我们当中很多人与政府机构进行了有限的面对面接触，有时忘记了这些机构同时还做了很多我们可以在日常工作中加以利用的非常有用的工作。作为美国公民的我们已经以某种方式为这些工作支付了报酬，所以我们为什么不利用从诸如NIST发布文档中可获取的宝贵财富呢？即使抛开其他方面，这份文档也可以作为极好的培训材料，以帮助新加入的IT员工尽快适应各种安全方面的工作。