risk-based authentication：基于风险的认证

基于风险的认证（RBA）是是针对进程访问系统而导致风险的可能性而采用不同强度的认证程序的方法。随着风险等级的增加，认证程序会变得更加全面和严格。

你很可能已经体验过RBA了，比如你曾经从其它国家登陆你的银行账户，被询问比平时更多的安全问题。风险评估的通用标准包括地理位置、IP地址和防病毒软件的情况。

当进行网络或者Web站点的风险评估时，管理员应该考虑一下因素：

• 根据用户的数量判断系统的规模。随着系统规模的变大，出现破坏的机会也就越多。

• 系统的程度是维护组织操作的关键。最关键的系统携带着最危险的破坏。

• 容易被人破坏或者打算破坏的数据或系统。理想情况下，像防火墙和杀毒软件这类的保护措施应该很可靠，而且能随时更新，但是当预算紧张的时候，这类措施没有优先权。

• 系统中包含的数据的相对敏感度。需要重点保护的客户重要信息，如姓名、地址、社会安全号码。

RBA可归类于用户独立组或者业务独立组。用户独立的RBA程序对一个用户访问开始以后使用相同的认证，网站需求的这种准确认证取决于用户是谁。在业务独立的RBA程序中，一个用户在不同的情况下会有不同的认证程度，这种情况基于业务的敏感性或者潜在的风险。

最近更新时间：2012-10-28 作者：Stan Gibilisco翻译：刘前程EN