risk-based authentication:基于风险的认证
基于风险的认证(RBA)是是针对进程访问系统而导致风险的可能性而采用不同强度的认证程序的方法。随着风险等级的增加,认证程序会变得更加全面和严格。 你很可能已经体验过RBA了,比如你曾经从其它国家登陆你的银行账户,被询问比平时更多的安全问题。风险评估的通用标准包括地理位置、IP地址和防病毒软件的情况。 当进行网络或者Web站点的风险评估时,管理员应该考虑一下因素: • 根据用户的数量判断系统的规模。随着系统规模的变大,出现破坏的机会也就越多。 • 系统的程度是维护组织操作的关键。最关键的系统携带着最危险的破坏。 • 容易被人破坏或者打算破坏的数据或系统。理想情况下,像防火墙和杀毒软件这类的保护措施应该很可靠,而且能随时更新,但是当预算紧张的时候,这类措施没有优先权。 • 系统中包含的数据的相对敏感度。需要重点保护的客户重要信息,如姓名、地址、社会安全号码。 RBA可归类于用户独立组或者业务独立组。用户独立的RBA程序对一个用户访问开始以后使用相同的认证,网站需求的这种准确认证取决于用户是谁。在业务独立的RBA程序中,一个用户在不同的情况下会有不同的认证程度,这种情况基于业务的敏感性或者潜在的风险。
最近更新时间:2012-10-28 作者:Stan Gibilisco翻译:刘前程EN
相关推荐
-
如何保护AI基础设施:最佳做法
AI和生成式AI给企业带来巨大的创新机会,但随着这些工具变得越来越普遍,它们也吸引着恶意攻击者来探测其潜在漏洞 […]
-
最常见的数字身份验证方式?
数字身份验证是验证用户或设备身份的过程,以便能够访问敏感应用程序、数据和服务。现在有多种方法可以验证身份。以下 […]
-
零信任策略使网络面临横向威胁
很多公司忽视零信任安全的核心原则:假设网络已经受到攻击。 企业管理协会(EMA)的研究发现这个被忽视的零信任原 […]
-
企业中通行密钥的好处和挑战
尽管密码是主要身份验证方式,但它们是企业安全的薄弱环节。数据泄露事故和网络钓鱼攻击利用被盗或弱密码,让企业面临 […]