等保三级网络安全计算环境建设之-身份鉴别

GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》规定了安全计算环境测评对象，包括终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。

安全通用要求

在等保三级的安全通用要求中，安全计算环境防护分11类安全控制点，共34个测评项（包含11个关键测评项，15个重要测评项和8个一般测评项）。

下面我们将对安全计算环境中的身份鉴别模块进行解析。

身份鉴别关键点总结

关键点总结

身份鉴别的关键点总结：

（1） 用户登录身份鉴别信息具有复杂度要求并定期更换；

（2） 设置登录失败处理、限制非法登录次数等安全措施；

（3） 远程管理应采用必要措施防止信息窃听；

（4） 采用两种或以上的鉴别技术，且至少一种为密码技术。

关键点建设措施

身份鉴别关键点及解决措施：

针对网络设备、业务系统、操作系统等，中科恒伦提出在原有的静态口令基础上增加动态口令或者生物技术，即可形成采用两种密码技术进行限制，其中口令生成包括硬件令牌、软件令牌、短信认证、PC令牌、微信令牌、小程序令牌、飞书令牌、钉钉令牌、H5令牌、挑战令牌、USB KEY等，生物技术包括人脸识别、指纹认证、虹膜、静脉、声音等。

其中硬件令牌和软件令牌是目前常用的双因子方式，因为这两款令牌共同的优点就是携带便携、安全度高、低成本，用户只需携带一枚令牌或者在手机上安装一个APP即可，而且这两款令牌完全于外界隔离无需联网，更好的提升了安全性；

CKEY动态认证系统

中科恒伦令牌可采用‘令牌+校验SDK’方式使用，供有软件开发能力的第三方厂商集成；也有更为简便快捷的搭建方式为‘令牌+多因素认证系统’。多因素认证系统提供认证服务、资源管理、策略管理、账号管理、日志审计、集成动态令牌认证引擎、生物识别认证引擎和RADIUS、TACACS+、LDAP协议服务，同时提供API、SDK等多种方式与网络设备、业务系统、操作系统等全场景实现无缝对接。

双因子原理

双因素认证原理

--结语--

在账号、静态口令认证基础之上，增加动态口令或生物识别认证方式，在最基本的静态口令认证这一环节，部署双因素动态身份鉴别系统，提升全场景入口安全级别，防止恶意入侵或人为破坏等非法操作，满足等保合规要求。