 1aiJbr7q.txt (3.16 KB)
请大家看了附件,再回帖!
近来,直报系统公告栏关于更改密码反对的多,支持的少。对大家感到麻烦,深表理解!
想说一个例子:目前,咱们会员中网上银行用户可能不多吧?假如你要开户,保密问题如何解决?用一个永远不变的密码可以吗?肯定不行!其实,你要成为网上银行客户,好,一番繁琐的手续并签署协议必不可少,银行界目前都是用一些非常复杂的算法(实在太专业,恕不详说),生成位数多且结构非常复杂的密码(英文大小写与数字无规律组合),多半会与你的手机绑定,而且申明以你的身份(卡号+密码+随机验证码)登陆进行的一切操作视为你本人主动行为,一旦发现密码丢失,你要在最快时间通知银行……每次交易时,还要进行复杂的网上身份认证。即使如此复杂,过去和最近媒体上均仍披露西方国家信用卡密码被盗事件。
咱们的网络直报系统有什么两样呢?一个网络系统的安全,中心节点的安全固然重要,但最主要的是保证各个终末节点的安全(网络边际安全)。直报系统如此庞大(数万用户),安全方面隐患很大,1个月更换1次密码,我看完全是只好基于对所有用户的信任,而且是不可靠的信任。且看:
几种身份认证技术特点的比较
| 认证技术 |
特点 |
应用 |
主要产品 |
| 用户名/密码方式 |
简单易行 |
保护非关键性的系统,不能保护敏感信息 |
嵌入在各种应用软件中 |
| IC卡认证 |
简单易行 |
很容易被内存扫描或网络监听等黑客技术窃取 |
IC加密卡等 |
| 动态口令 |
一次一密,较高安全性 |
使用烦琐,有可能造成新的安全漏洞 |
动态令牌等 |
| 生物特征认证 |
安全性最高 |
技术不成熟,准确性和稳定性有待提高 |
指纹认证系统等 |
| USB Key认证 |
安全可靠,成本低廉 |
依赖硬件的安全性 |
iKey 2000、ePass 1000等 |
目前,疾病预防控制对网络直报系统的依赖与日俱增,一旦系统瘫痪,修复前全国疾控人都是瞎子、聋子。退一步说,就是采用USB Key认证技术,有了绝对复杂的密钥,一样需要您不断更改登陆口令啊!即使将来能够使用采用PKI身份认证,也不是就万无一失了。
身份认证只是信息系统安全的基础,不是系统安全的全部。作为21世纪的疾控人,都将成为网络人,连1月换1次密码都嫌麻烦的话,我们的安全意识和知识也太欠缺了。
说得不对的地方,请指出,请别扔砖啊! :) | 
发表于 2005-7-11 01:43
| 
发表于 2005-7-12 10:18
|