SafeNet Axis在政府机构中的应用案例

　　背景介绍

　　美国某政府部门部署了SafeNet Axis来为其约5000名雇员提供强大的验证及单点登录（SSO）功能。本案例总结了该客户有关此次部署的经验。文章首先总结了客户在需求及业务目标方面需要解决的问题，然后介绍了部署策划、所采用的方法以及成功标准。本文旨在为那些考虑试验性部署或生产部署SafeNet Axis的机构提供一个参考模型。

　　客户需求

　　该客户IT部门曾使用静态的口令作为对其应用程序进行访问控制的基本手段。客户需要引入更为强大的双因素验证来提高其目前使用的静态口令的安全性。客户还需要消除由于用户记录下所需访问的每一应用程序的口令及/或选择易于猜测的口令所导致的安全性方面的易受攻击性。

　　客户的其它需求包括：

　　· 一种可以有效加强其全国范围内应用程序访问口令的定期修改以及能够自由使用随机生成的强大口令。

　　· 一种解决方案来提高用户对于强大口令的接受程度，同时消除对最终用户的影响或将其最小化。

　　· 希望使用一张单独的卡作为员工带有照片的ID牌，作为控制对其办公室物理访问的一种手段以及一种对应用程序访问进行验证的强大工具。而且，他们仍希望选择将USB令牌提供给选定的用户使用。

　　· 客户的经费并不充裕，并且希望通过满足其它需求来降低其它领域内的成本。

　　客户选择了SafeNet Axis来满足以上要求以及业务需求，其原因在于SafeNet Axis能够解决其管理员在进行口令策略管理时所遭遇的问题，为办公人员和用户提供帮助。

　　客户的IT基础结构

　　SafeNet Axis可以为客户的IT基础结构提供强大的验证及单点登录功能，该基础结构由以下部分组成：
　　1. 运行既存应用程序、CICS、TSO并通过Attachmate 2000及其它IBM 3270终端仿真程序访问的Back Office主机。
　　2. 在Windows 2000服务器上运行的、由不同厂商提供的Front Office商务应用程序。
　　3. 微软Active Directory（活动目录）
　　4. 使用Internet Explorer V5及V6的Windows 98、2000 Pro及XP桌面操作系统。

　　实施计划

　　客户着手采用在一个详细计划中规定的有组织的、分阶段的部署方法，该计划要求首先进行试验性部署然后再最终扩展部署至所有5000名雇员。该计划定义了所有的风险承担者及他们在项目中的任务、总体目标、成功标准、任务和责任以及时间限制。

　　计划中定义了一个涉及30名用户的试验性部署来评估和解决以下问题：

　　1. SafeNet Axis为所有用户及群体使用的所有应用程序、工作站登录、站点以及终端仿真程序提供单点登录（SSO）的能力。
　　2. 智能卡与身份牌及物理访问系统的集成。
　　3. 针对远程访问及主机访问的强大验证功能。
　　4. 谁需要使用USB令牌以及谁需要使用智能卡。
　　5. 管理员及最终用户的培训需求以及培训材料的准备。
　　6. 确定部署智能卡、USB令牌、读卡器以及策略客户端软件的模式和程序。
　　7. 所需的基础结构准备要求，例如Active Directory（活动目录）的群体策略定义更新以及能够访问所有应用程序及终端仿真程序的登录对话窗口。
　　8. 确定哪些验证功能可以通过Axis Policy Client（策略客户端）配置工具来为不同的用户和群体分配权限。

　　SafeNet Axis的实施

　　对于30名用户的试验性部署而言，管理员和用户在3个小时内获得了充分培训。管理员培训在两个小时内完成，而最终用户培训在一小时内完成。管理员立即开始安装Axis，并且为用户建立策略客户端。管理员关于策略客户端进行自动单点登录覆盖的培训将针对每一项使用Axis Rapid Deploy Technology（快速部署技术）的应用程序、网络访问以及终端仿真程序而迅速进行并在4个小时内完成，未出现任何混乱。

　　对于试验性部署而言，这些经过预置的策略客户端软件（Policy Clients）被置于服务器上，而用户则接受了有关如何下载并安装这些程序的指导。智能卡读卡器以及未经初始化的智能卡被分发给用户，同时发放的还有有关在客户端软件的下载和安装完成后如何进行安装和加入的指导。对于更为复杂的试验性用户而言，这已经足够了。

　　在完整安装中使用了以Active Directory（活动目录）为特点的Microsoft Group Policy Operation （GPO）程序，将策略客户端软件推入式安装至每一用户工作站中。在完整安装中之前经过培训的管理员在机构群体的基础上向用户提供了培训，然后将扩展至每一群体。由于非常易于使用并且最终用户仅需在最低限度上加以理解，所以培训得以迅速完成。在这一扩展过程中发生了一个有趣的现象。关于这一新的、易于使用的登录方法迅速在用户当中传播开来，他们开始排队并要求成为下一组接受智能卡的群体。

　　选定的策略客户端软件选项包括基于用户名/口令的验证、Windows登录、用户个人加入（enrollment）、用户个人加入更新以及SmartNotes（智能记录）。在本文撰写时未选定的策略客户端软件选项包括智能卡恢复、基于证书的验证、Citrix支持以及智能记录用户选定的单点登录覆盖。

　　成功标准

　　客户规定了具体的成功标准，并且在部署的各个阶段根据这些标准来对过程进行监控。成功标准包括：
　　1. SafeNet Axis可以接受培训，并且为所有应用程序中至少80%提供单点登录（SSO）覆盖。
　　2. 管理对于是否易于使用并不担心。
　　3. 用户对于新的访问控制方法感到舒适，并没有任何抵触。
　　4. 令牌及读卡器的操作如预期一样可靠。
　　5. 如智能卡及令牌使用相关的Help desk申请可以管理并且迅速消失。
　　6. 可以实现强大的验证功能以及口令修改安全策略目标。

　　结论

　　对于此客户而言，SafeNet Axis能够满足所有的需求。SafeNet Axis易于部署的程度、管理员便于使用的程度以及其用户对于登录的积极态度均给此客户留下了极深的印象。