產品特寫

兼具方便性與安全性-資通身分識別及存取管理系統ARES uIAM

洪伯岳 洪伯岳

現代化企業管理模式的進步以及資訊傳遞的快速發展,使得經營企業要不斷進步,才能不被潮流所淘汰,企業導入各式的管理系統或是資訊系統,不僅可以提升工作效率,也提供經營者面對問題時,可以快速的找出解決方法,或是預先掌握問題的發生,而加以預防。然而當企業建置越來越多的應用系統,增加工作效率時,從不同的角度來看,使用者就必須有許多組帳號密碼,不僅相當不方便,且很容易就忘記。管理方面,使用者擁有多組帳號密碼較複雜易發生處理錯誤,而造成運作不穩定。在資安問題上,使用者不小心洩漏密碼發生機率就更高,管理者在授權或是停權處理上,沒有完整的處理好,更會使得系統漏洞增加,例如:離職員工使用的帳號沒有全被刪除,企業機密很可能就洩漏。

建置單一簽入系統,可以減輕使用繁瑣帳號密碼的困擾,管理者能集中控管帳號並有效授權管理,不僅提高了工作效率,也提升了安全度以及穩定度。

常常安全性與方便性是相違背,提高了安全性會造成使用上的複雜,增加了方便性,會不會等於開了後門,讓駭客更容易入侵。單一簽入系統等於是資訊系統的大門,系統更是必須穩定,不能負荷過大,而造成資訊系統的癱瘓,所以在選擇建置單一簽入系統更是必須考量資安問題以及效能問題。以下我們分析傳統的單一簽入系統與資通身分識別及存取管理系統ARES uIAM的差異。

傳統的單一簽入系統

代登入系統:
將使用者進入各應用系統的帳號密碼全部集中於單一簽入伺服器,使用者只要進入單一簽入系統之後,當要前往其他系統,單一簽入伺服器會代送帳號密碼給應用系統,完成登入。

對應帳號密碼:
單一簽入伺服器負責對應各應用系統的帳號密碼,不斷的修改應用系統帳號資料庫,讓使用者登入單一簽入系統的帳號密碼都與各應用系統相同,使用者只要輸入一次帳號密碼,單一簽入系統將帳號密碼記住,往後使用者要登入其他系統,單一簽入系統就會幫使用者提出帳號密碼做登入。

利用通行碼登入:
登入單一簽入系統後,發給使用者通行碼,當使用者要登入其他系統時,必須提交通行碼,應用系統收到通行碼後,再送給單一簽入系統做認證,並發與授權資料。

傳統單一簽入的風險
傳統單一簽入的風險

傳統單一簽入系統的資安風險

代登入系統:
不僅相當的不安全,單一簽入系統將所有帳號密碼都在網路上傳送,很容易就被攔截,而造成風險,在管理方面,雖然已經集中控管,但是卻不是單一帳號,容易造成漏洞,例如:沒將離職員工的帳號完整刪除,公司資訊就容易洩漏。效能方面,也會因為人員或是應用系統增加而降低。

對應帳號密碼:
只要單一簽入系統被入侵,等於是企業資訊系統被全部瓦解。管理方面,很容易造成對應上的失誤,一旦發生對應錯誤,管理者很難查出錯的環節,造成系統使用上的不方便。

利用通行碼登入:
將認證都交由單一簽入系統,應用系統並不做驗證動作,如果利用重送攻擊,很容易就可以進入系統,駭客只要攔截通行碼就可以進入系統。整合度方面,通行碼交換方式在非web-base的應用系統中整合難度較高。

資通 uIAM

資通身分識別及存取管理系統,防止了傳統單一簽入系統的資安風險,並結合了uPKI的電子簽章認證機制,更是提高了安全的強度,並且可以跨不同的平台以及程式語言。

資安解決方案
資安解決方案

產品特色

  • 網路上只傳遞帳號,不傳送密碼,避免被攔截。
  • 帳號全部集中控管,使用者僅有單一帳號。
  • 授權獨立,各應用系統可以針對各使用者身份做出不同的授權。
  • 分散式認證,降低系統負載。
  • 代理伺服器,可避開防火牆。

高安全度

  • 不交換通行碼,應用系統有獨立驗證能力。
  • 防止重送攻擊,訊息均加密且有時戳。
  • 雙向認證,client與server均互相認證。
  • 單一系統被入侵,不會影響其他系統。

高整合度

  • 應用系統需安裝元件,即可做到驗證功能。
  • 針對各種程式語言開發不同的元件。

資通電腦以多年輔導許多客戶專案之經驗發展 ARES uPKI及 uIAM系列產品,協助客戶輕鬆架構安全環境機制。運用資通元件,不但可以協助企業對抗外部的資安侵略,亦可協助企業保障內部的資訊安全,避免企業機密資料外洩。