等保三级网络安全计算环境建设之-身份鉴别

GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》规定了安全计算环境测评对象,包括终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。

安全通用要求

在等保三级的安全通用要求中,安全计算环境防护分11类安全控制点,共34个测评项(包含11个关键测评项,15个重要测评项和8个一般测评项)。

下面我们将对安全计算环境中的身份鉴别模块进行解析。

身份鉴别关键点总结

等保三级网络安全计算环境建设之-身份鉴别

关键点总结

身份鉴别的关键点总结:

(1) 用户登录身份鉴别信息具有复杂度要求并定期更换;

(2) 设置登录失败处理、限制非法登录次数等安全措施;

(3) 远程管理应采用必要措施防止信息窃听;

(4) 采用两种或以上的鉴别技术,且至少一种为密码技术。

关键点建设措施

身份鉴别关键点及解决措施:

针对网络设备、业务系统、操作系统等,中科恒伦提出在原有的静态口令基础上增加动态口令或者生物技术,即可形成采用两种密码技术进行限制,其中口令生成包括硬件令牌、软件令牌、短信认证、PC令牌、微信令牌、小程序令牌、飞书令牌、钉钉令牌、H5令牌、挑战令牌、USB KEY等,生物技术包括人脸识别、指纹认证、虹膜、静脉、声音等。

其中硬件令牌和软件令牌是目前常用的双因子方式,因为这两款令牌共同的优点就是携带便携、安全度高、低成本,用户只需携带一枚令牌或者在手机上安装一个APP即可,而且这两款令牌完全于外界隔离无需联网,更好的提升了安全性;

CKEY动态认证系统

中科恒伦令牌可采用‘令牌+校验SDK’方式使用,供有软件开发能力的第三方厂商集成;也有更为简便快捷的搭建方式为‘令牌+多因素认证系统’。多因素认证系统提供认证服务、资源管理、策略管理、账号管理、日志审计、集成动态令牌认证引擎、生物识别认证引擎和RADIUS、TACACS+、LDAP协议服务,同时提供API、SDK等多种方式与网络设备、业务系统、操作系统等全场景实现无缝对接。

双因子原理

等保三级网络安全计算环境建设之-身份鉴别

双因素认证原理

--结语--

在账号、静态口令认证基础之上,增加动态口令或生物识别认证方式,在最基本的静态口令认证这一环节,部署双因素动态身份鉴别系统,提升全场景入口安全级别,防止恶意入侵或人为破坏等非法操作,满足等保合规要求。

你可能想看:
分享给朋友: