等保2.0高風險判定系列 | 雙因子認證
作者:
2020-08-26
雙因子(或稱雙因素)認證一直是安全圈比較關注的一個話題�����,從等保1.0時期的關鍵評價指標項��,到現在網絡安全等級保護�����、關鍵信息基礎設施�����、高風險判定指引�,要求在各個層面的身份鑒別上均實現雙因子身份鑒別����,可見對雙因子認證在日常應用的重視程度�。
什么是雙因子認證����?
現代雙因子認證的起源�,可追溯到一戰時期的英國情報局軍情6處M16���,用于針對處理安全���、防務��、外事���、經濟方面的事物情報��、密碼情報����。
所謂的雙因子認證是指結合密碼���、實物(信用卡����、SMS手機��、令牌)或指紋等生物標志中的兩種條件對用戶進行認證的方法���。
雙因子的3種認證方式
一�����、知識
最常見的就是口令等知識, 其優勢在于認證過程簡單快捷, 不會出錯����。
二���、實物
比如說是IC卡�����、令牌, USB Key等實物(古代的虎符也是這類)���,其優勢在于認證過程也簡單快捷, 不會出錯�。
三���、人的生物特征
比如指紋, 虹膜, 視網膜, 掌紋, 面貌等, 這些識別元素是每個人都是唯一的����,用來作為認證是最強的, 但認證過程比較慢, 而且會出錯���。
● 結論
雙因子認證的認證方法�,就是必須使用上述三種認證因子的任意兩者的組合才能通過認證�。
標準涉及雙因子認證
《網絡安全等級保護基本要求》
在三級安全計算環境中針對身份鑒別部分���,要求“應采用口令�����、密碼技術�����、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別�����,且其中一種鑒別技術至少應使用密碼技術來實現���?���!?/span>
《關鍵信息基礎設施網絡安全保護基本要求》
在報批稿第7章安全防護中針對鑒別與授權要求“對設備���、用戶��、服務或應用���、數據進行安全管控����,對于重要業務操作或異常用戶操作行為���,建立動態的身份鑒別方式��,或者采用多因子身份鑒別方式等����?���!?/span>
《網絡安全等級保護高風險判定指引》
在第7章針對雙因素認證部分�,判定內容為:“重要核心設備����、操作系統等未采用兩種或兩種以上鑒別技術對用戶身份進行鑒別����。例如僅使用用戶名/口令方式進行身份驗證��,削弱了管理員賬戶的安全性���,無法避免賬號的未授權竊取或違規使用�����,可判定為高風險��?���!?/span>
● 結論
通過以上標準和指引可以看出��,對雙因子認證的要求舉足輕重���,用戶登錄資源需要具備唯一身份標識����,對唯一身份標識的鑒別需要實現多因素強身份認證����,且其中一種鑒別技術至少應使用密碼技術來實現�����,并且多方解讀高風險即為一票否決項��。
工作中暴露出的問題
網絡安全對抗活動
從歷年網絡安全對抗活動行動了解到的情況來看���,暴露出來的最大問題就是認證的安全問題�。僅校驗“賬號+密碼”的認證方式�,很容易被口令猜測破解���。
日常工作
日常工作中�,缺少統一管理����,資源各自認證����,不便統一認證方式��;賬號各自維護����,不便設置口令策略����;日志各自保存�����,不便查詢分析�����。
啟明星辰解決方案
啟明星辰統一身份認證系統���,支持網絡設備�、安全設備�����、服務器���、數據庫等用戶登錄時的強身份認證�����,實現統一賬號�����、統一認證��、強身份認證和集中審計�。
● 認證流程
系統實現用戶登錄資源時多因強認證功能��,支持多種強認證方式組合�,提升資源認證安全性����,滿足規范要求�。資源將認證源指向認證系統����,當用戶直接訪問資源時�����,輸入用戶名+靜態密碼+強認證因子��,資源將認證請求轉發給認證系統���,通過認證后�����,即可登錄資源��。
● 實現效果
強認證即兩段式密碼認證��,用戶登錄資產設備時�����,輸入的登錄密碼包含前后兩段�,前半段是靜態密碼���,后半段是隨機密碼����,只有雙碼均驗證通過后����,方可成功登錄��。
● 統一認證管理
認證服務:基于Radius����、Tacacs���、Ldap協議���,為資源提供統一身份認證服務���。
認證策略:可設置用戶訪問資源時采用的強認證方式��,如可勾選只有靜態密碼認證或靜態密碼+OTP認證��。
多因強認證:支持對用戶登錄資源進行多因強認證��,強認證方式包括:動態口令(硬件/手機)��、指紋/人臉識別����、短信����、數字證書等�,支持多種強認證方式組合�。
國密算法:認證系統支持基于國密算法生成口令和對數據進行加密����,保證數據安全的同時��,滿足規范要求���。
● 多因子強認證
認證系統支持多種強認證方式���,包括:動態口令(硬件/手機) ����、指紋/人臉識別���、短信�、數字證書等�,并支持多種強認證方式組合�����。
● 統一賬號管理
支持對納管的資源賬號進行稽核�����,發現僵尸賬號����、幽靈賬號��、異常登錄賬號等��,并及時刪除或停用��。
支持手動創建��、離線導入��、在線同步等方式統一創建和賬號信息�����。
支持自定義密碼長度�����、復雜度���;可設置密碼周期��,定期自動更新密碼���,滿足規范要求�。
可設置用戶訪問資源時多因認證方式��,包括認證因子數��、認證方式�����,實現用戶強身份認證����。
● 客戶價值
滿足合規要求:實現對資源登錄的統一認證及鑒權���。
提升管理效率:實現資源用戶/密碼的統一管理��。
降低管理工作量:對用戶登錄資源使用的賬號和角色進行統一管理����。
減少密碼傳播:可為外部系統提供密碼查詢���,外部系統無需保存密碼�����,隨用隨查�����,避免用戶密碼隨意傳播����。
日志集中審計:實現日志集中審計��,對資產登錄日志�、鑒權日志��、操作日志等進行統一展示和查詢�����。
京公網安備11010802024551號