设为首页 - 加入收藏
热搜: 网络推广 电子商务
广告位
当前位置: 网销中国 > 大营销 > 管理信息化 >

启用PIN码来提高消息安全性

2010-06-15 00:36 [管理信息化] 来源于:
导读:手机用户一定知道,在手机中可以通过pin码来提高手机的安全性,如限制手机批量删除数据或者手机恢复默认设置等破坏性操作。

    手机用户一定知道,在手机中可以通过pin码来提高手机的安全性,如限制手机批量删除数据或者手机恢复默认设置等破坏性操作。在Exchange2007中也提供了类似的安全机制。通过设置,可以让用户访问统一消息系统之前,提供用户输入他们合法的pin码。

    Pin是区别于普通的用户密码的。在统一消息系统中pin码使用的是数字字符串。这主要是为了满足多种场合的应用需求。如方便用户通过电话机直接输入pin码等等。一般来说,pin码的安全程度取决于编码的长度、编码的保护措施(如可以限制不能用888888等特殊号码作为pin码)等等。Pin码是统一消息安全的第一道关卡。作为系统管理员来说,需要非常重视这一内容的配置。并根据企业对于安全性的要求,来灵活的配置相关参数。具体来说,需要注意如下几方面的内容。

    一、pin码自身的安全性设置

    同其他密码一样,pin码也有自身的安全性。如系统管理员需要根据自身安全性的需要,来规定pin所使用的长度、最大登陆尝试次数、历史计数等安全性参数。这些参数之间有些是相互关联的,如“重置之前的登陆失败次数”和“最大登陆次数”就有这种关系。重置之前的登陆失败次数主要用来规定邮箱Pin重置之前连续进行不成功登陆的次数。如果不启用这个功能,则需要将这个参数设置为无限。如果要启动的话,则必须将“最大登陆尝试”次数设置为一个合理的值。默认情况下,这个最大登陆尝试次数为5。在设置这个参数的时候,需要注意这可能是一把双刃剑。减少这个参数的值,显然可以提高系统的安全性。但是如果将这个参数减少到一定的程度,如减少到小于默认值的数字,则可额能会将一些合法的用户不必要的被锁在外面。故这些参数的值还是需要根据企业用户的文化背景、企业的安全需要等因素去综合的考虑。

    另外值得一提的是,在系统提供的pin码管理策略中,已经提供了一种安全模式。在Exchange统一消息平台中,有一个叫做“通用模式”的安全策略。在这个通用模式中,主要包括三种不安全性的行为。分别为连续数字(如使用12345678作为pin码)、重复数字(如使用88888888作为Pin码)和使用邮箱分机号码作为Pin码等等。如果系统管理员选择使用通用模式,则表示接受这些不安全的Pin码。相反如果选择不使用通用模式,则表示不能够接受这些pin码。笔者建议,为了安全性考虑,还是拒绝使用这个通用模式为好。对于大部分企业来说,只要禁用这个模式,安全性基本上有所保障了。如果还有特殊的安全要求,那么还可以搭配其他参数来实现更高的安全级别。如历史计数。PIN历史计数设置用于配置在可以复用先前用过的任何PIN之前用户必须使用的不同PIN的个数,等等。

    二、为用户设置合适的Pin策略

    如果企业有安全性方面的考虑,则最好能够根据企业安全性的级别,来为用户设置合适的pin策略。在为用户设置策略之前,需要注意以下几方面的内容。

    一是需要注意策略的生效时间。更改PIN策略时,新PIN设置将应用于当前与UM邮箱策略相关联的用户。例如,如果修改UM邮箱策略并将最小PIN长度由5位更改为8位,那么在下一次用户登录时,将强制用户更改PIN,以便满足更改的PIN要求。也就是说,策略在用户下一次登陆系统时有效。对当前登陆的用户是不会有任何影响的。

    二是可以在邮箱策略级别来更改用户的pin策略,而不是在用户级别。因为在邮箱策略级别进行更改时,所做的更改将会影响创建的所有用户以及当前与邮箱策略相关联的用户。如此的话,就不用一个个为用户设置Pin策略了。当然,邮箱策略中的Pin策略只是一些共性的内容。如某个用户需要特别高的安全性或者需要低一点的安全性,则还可以在用户级别进行调整。通常情况下,用户级别的设置优先性要比在邮箱级别的设置要高。也就是说,用户级别中的设置为覆盖邮箱策略中的相关设置。

    在实际工作中,可以通过管理控制台或者通过命令行两种方式来为用户设置Pin策略。对于初学者来说,通过管理控制台来操作可能会更加的直观。而对于大部分专业人员来说,可能更加喜欢通过命令行方式来实现。这主要是因为从远程管理的角度来将,命令行方式会更加的简便。

    三、重置用户的pin码

    如果为用户设置了Pin安全策略的话,当用户多次尝试使用不正确的pin码登陆或者粗心大意忘记了Pin码导致无法正常访问统一消息平台的话,则管理员需要为用户重置Pin码。这里需要注意的是,出于安全的考虑,管理员是无法查询到用户原先设置的Pin码的。因为用户原先存储的Pin码信息在系统中是通过密文存储。所以当用户忘记了Pin码或者Pin码被锁住了,则管理员就必须对其进行重置。

    在实际工作中,可能系统管理员会将新建用户、pin设置与重置的工作交给其他人来维护。毕竟如果所有的工作都在同一个系统管理员身上,其工作量会比较大。如果企业存在这种分工合作的情况,特别是有分支机构的企业,这种情况比较常见。此时就需要注意权限的分配问题。为了安全起见,是不能够给其他维护人员以邮箱管理员的最高权限的。在实际工作中,系统管理员可以将邮箱收件人管理员角色赋予给维护人员。如此的话,其就有足够的权限来对用户的Pin码进行重置。

    当系统管理员重置了用户的pin码之后,系统会自动通过电子邮件将新的pin码发送给用户。这里需要提醒的是,即使是系统管理员,也不知道这个重置后的Pin码。为此用户还是需要自己记住这个Pin码,免得后续的麻烦。在pin码重置的时候,统一消息也提供了比较多的选择。如在有必要的时候,系统管理员可以在重置用户pin码的时候,设置其他的一些有用选项供用户选择。如可以指定是自动生成Pin码还是用户手动指定Pin码。默认情况下,系统采用的是自动生成pin码机制。系统会将自动生成的Pin码通过用户的电子邮件发送到用户指定的邮箱。当然,用户在以后还可以对系统自动生成的Pin码进行更改。不过需要注意的是,用户自己修改Pin码的话,还需要符合系统管理员设置的安全策略。对于不怎么熟悉企业pin安全策略的用户,还是建议使用系统自动生成Pin码为好。不然的话,系统管理员还需要花一定的时间去对员工进行安全方面的培训。

    在有需要的时候,系统管理员可以采取手动指定Pin码的设置。不过这并不是笔者建议的方法。一方面这个手动指定的策略,兼容性并不是很好。如在2007版本的统一消息平台中,就不支持这个选项。二是其操作麻烦。如果用户不了解系统管理员定义的安全策略,可能需要尝试多次才能够得到一个合乎安全规则的PIN码。为此除非有特殊的必要,笔者建议采用的是系统自动生成Pin码的规则。即使用户需要将这个Pin码改为自己熟悉的、容易记忆的,那么也可以让用户先利用系统自动生成的PIN码登陆,然后再进行修改。

    四、Pin策略注意事项

    通常情况下,用户需要通过电脑键盘或者电话的按钮来输入pin码。到现在为止,由于技术方面的限制,pin输入还不支持语音识别。也就是说,不能够通过用户的语音来作为pin码,虽然这是安全性很高的一种技术。现在由于计数、设备方面的限制,这个技术还无法在统一消息平台上实现。

编辑:白雪
2

(编辑:网销顾问)

网友评论
推荐文章