澳门浦京娱乐场

English日本語

等级保护专题 > 深度解读

等保2.0高风险判定系列 | 双因子认证

编辑: 2020-08-26

双因子(或称双因素)认证一直是安全圈比较关注的一个话题,从等保1.0时期的关键评价指标项,到现在网络安全等级保护、关键信息基础设施、高风险判定指引,要求在各个层面的身份鉴别上均实现双因子身份鉴别,可见对双因子认证在日常应用的重视程度。

什么是双因子认证?

现代双因子认证的起源,可追溯到一战时期的英国情报局军情6处M16,用于针对处理安全、防务、外事、经济方面的事物情报、密码情报。

1.png

所谓的双因子认证是指结合密码、实物(信用卡、SMS手机、令牌)或指纹等生物标志中的两种条件对用户进行认证的方法。

双因子的3种认证方式

一、常识

最常见的就是口令等常识, 其优势在于认证过程简单快捷, 不会出错。

二、实物

比如说是IC卡、令牌, USB Key等实物(古代的虎符也是这类),其优势在于认证过程也简单快捷, 不会出错。

三、人的生物特征

比如指纹, 虹膜, 视网膜, 掌纹, 面貌等, 这些识别元素是每个人都是唯一的,用来作为认证是最强的, 但认证过程比较慢, 而且会出错。

● 结论

双因子认证的认证方法,就是必须使用上述三种认证因子的任意两者的组合才能通过认证。

标准涉及双因子认证

《网络安全等级保护基本要求》

在三级安全计算环境中针对身份鉴别部分,要求“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。”

《关键信息基础设施网络安全保护基本要求》

在报批稿第7章安全防护中针对鉴别与授权要求“对设备、用户、服务或应用、数据进行安全管控,对于重要业务操作或异常用户操作行为,建立动态的身份鉴别方式,或者采用多因子身份鉴别方式等。”

《网络安全等级保护高风险判定指引》

在第7章针对双因素认证部分,判定内容为:“重要核心设备、操作系统等未采用两种或两种以上鉴别技术对用户身份进行鉴别。例如仅使用用户名/口令方式进行身份验证,削弱了管理员账户的安全性,无法避免账号的未授权窃取或违规使用,可判定为高风险。”

● 结论

通过以上标准和指引可以看出,对双因子认证的要求举足轻重,用户登录资源需要具备唯一身份标识,对唯一身份标识的鉴别需要实现多因素强身份认证,且其中一种鉴别技术至少应使用密码技术来实现,并且多方解读高风险即为一票否决项。

工作中暴露出的问题

网络安全对抗活动

2.png

从历年网络安全对抗活动行动了解到的情况来看,暴露出来的最大问题就是认证的安全问题。仅校验“账号+密码”的认证方式,很容易被口令猜测破解。

日常工作

3.png

日常工作中,缺少统一管理,资源各自认证,不便统一认证方式;账号各自维护,不便设置口令策略;日志各自保存,不便查询分析。

澳门浦京娱乐场解决方案

澳门浦京娱乐场统一身份认证系统,支撑网络设备、安全设备、服务器、数据库等用户登录时的强身份认证,实现统一账号、统一认证、强身份认证和集中审计。

● 认证流程

系统实现用户登录资源时多因强认证功能,支撑多种强认证方式组合,提升资源认证安全性,满足规范要求。资源将认证源指向认证系统,当用户直接访问资源时,输入用户名+静态密码+强认证因子,资源将认证请求转发给认证系统,通过认证后,即可登录资源。

4.png

● 实现效果

强认证即两段式密码认证,用户登录资产设备时,输入的登录密码包含前后两段,前半段是静态密码,后半段是随机密码,只有双码均验证通过后,方可成功登录。

5.jpg

● 统一认证管理

认证服务:基于Radius、Tacacs、Ldap协议,为资源提供统一身份认证服务。

认证策略:可设置用户访问资源时采用的强认证方式,如可勾选只有静态密码认证或静态密码+OTP认证。

多因强认证:支撑对用户登录资源进行多因强认证,强认证方式包括:动态口令(硬件/手机)、指纹/人脸识别、短信、数字证书等,支撑多种强认证方式组合。

国密算法:认证系统支撑基于国密算法生成口令和对数据进行加密,保证数据安全的同时,满足规范要求。

● 多因子强认证

认证系统支撑多种强认证方式,包括:动态口令(硬件/手机) 、指纹/人脸识别、短信、数字证书等,并支撑多种强认证方式组合。

● 统一账号管理

支撑对纳管的资源账号进行稽核,发现僵尸账号、幽灵账号、异常登录账号等,并及时删除或停用。

支撑手动创建、离线导入、在线同步等方式统一创建和账号信息。

支撑自定义密码长度、复杂度;可设置密码周期,定期自动更新密码,满足规范要求。

可设置用户访问资源时多因认证方式,包括认证因子数、认证方式,实现用户强身份认证。

● 客户价值

满足合规要求:实现对资源登录的统一认证及鉴权。

提升管理效率:实现资源用户/密码的统一管理。    

降低管理工作量:对用户登录资源使用的账号和角色进行统一管理。

减少密码传播:可为外部系统提供密码查询,外部系统无需保存密码,随用随查,避免用户密码随意传播。

日志集中审计:实现日志集中审计,对资产登录日志、鉴权日志、操作日志等进行统一展示和查询。

上一篇 下一篇

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30

XML 地图 | Sitemap 地图