網絡安全等級保護基本要求安全計算環境之身份鑑別

網絡安全等級保護基本要求分爲技術要求和管理要求，其中技術要求包括安全物理環境、安全通訊網絡、安全區域邊界、安全計算環境和安全管理中心；管理要求包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理。
做者：艾爾等保之道 來源：freebuf|2020-08-04 09:57
收藏
分享

網絡安全等級保護基本要求分爲技術要求和管理要求，其中技術要求包括安全物理環境、安全通訊網絡、安全區域邊界、安全計算環境和安全管理中心;管理要求包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理。

安全通用要求——安全計算環境(第三級)這一安全類共包括11個控制點，每一個控制點包含的條款數以下表。

鑑別與訪問控制是信息安全領域重要的基礎知識之一。信息系統中要想實現安全目標， 達到必定的防禦水平，必須具有有效的鑑別與訪問控制機制。常見的安全訪問路徑：

網絡安全等級保護通用要求安全計算環境之身份鑑別：
要求項
a) 應對登陸的用戶進行身份標識和鑑別，身份標識具備惟一性，身份鑑別信息具備複雜度要求並按期更換;
b) 應具備登陸失敗處理功能，應配置並啓用結束會話、限制非法登陸次數和當登陸鏈接超時自動退出等相關措施;
c)當進行遠程管理時，應採起必要措施防止鑑別信息在網絡傳輸過程當中被竊聽;
d)應採用口令、密碼技術、生物技術等兩種或兩種以上組合的鑑別技術對用戶進行身份鑑別，且其中一種鑑別技術至少應使用密碼技術來實現。
適用保護對象
網絡設備、安全設備、服務器(操做系統、數據庫、中間件)、終端(操做系統)、業務應用系統、系統管理軟件等
條款導讀
登陸用戶與系統間創建聯繫，本地用戶必須請求本地登陸進行認證，遠程用戶必須請求遠程登陸進行認證。身份認證是實體安全防禦的第一道防線，條款a)要求對實體的登陸用戶進行身份標識和鑑別，標識是實體身份的一種計算機表達，鑑別是將實體標識和實體聯繫在一塊兒的過程。
身份鑑別的類型有下列三種：
單項鑑別：用戶在實體上註冊時，用戶僅須被實體鑑別，一般是用戶發送用戶名和口令給實體，實體對收到的用戶名和口令進行驗證，確認用戶名和口令由合法用戶發出;
雙向鑑別是一種相互鑑別，其過程在單向鑑別的基礎上還要增長兩個步驟，如服務器向客戶發送服務器名和口令，客戶確認服務器身份的合法性;
第三方鑑別，每一個用戶或實體向可信第三方發送身份標識和口令，第三方用於存儲、驗證標識和鑑別信息。
身份鑑別方式實體所知、實體全部和實體特徵三種。
實體所知，即實體所知道的，如目前普遍採用的使用用戶名和口令進行登陸驗證，條款a)要求登陸實體的用戶名具備惟一性，並提升口令強度：配置口令複雜度和按期更換口令，條款b)要求阻止口令被重複嘗試的可能，使用口令登陸嘗試達到必定次數的帳戶鎖定一段時間或由管理員解鎖，以及當用戶鏈接到實體後，配置相關措施保證登陸鏈接超時後自動退出;條款c)要求在遠程管理時，爲防止口令嗅探***，對傳輸中的口令進行加密保護。
實體全部，即實體所擁有的物品，如鑰匙、IC卡等，條款a)要求用於鑑別的物品應具備惟一性，不會被複制;
實體特徵，即利用實體特徵鑑別系統完成對實體的認證。實體特徵鑑別系統一般由信息採集和信息識別兩個部分組成，信息採集經過光學、 聲學、紅外等傳感器做爲採集設施，採集待鑑別的用戶的生物特徵(如指紋、虹膜等)和行爲特徵(聲音、筆記、步態等)，而後交給信息識別部分與預先採集並存儲在數據庫中的用戶生物特徵進行比對，根據比對的結果驗證是否經過驗證。
使用兩種身份鑑別方式的組合(雙因素鑑別)是經常使用的多因素鑑別形式，條款d)要求採用採用兩種或兩種以上的鑑別方式對用戶進行身份鑑別，且其中一種鑑別方式基於密碼技術的鑑別機制，雙因素鑑別是使用實體所知、實體全部和實體特徵三種鑑別方式中的兩種或兩種以上對同一實體進行認證，且其中一種認證方式必須基於密碼技術，如用戶名和口令認證(實體所知)+基於密碼技術的UKey(實體全部)爲典型的雙因素認證方式。
注：二次認證或兩種鑑別方式對不一樣的實體認證均不等於雙因素認證。
安全防禦措施

【編輯推薦】

1. 數據被公開一個月公司才後知後覺，設計公司130萬用戶數據泄露
2. 2020黑帽大會的11大網絡安全工具
3. 在後CoVID-19世界中，網絡安全將如何變化？
4. 105億條用戶數據泄露，全球10000個數據庫配置錯誤任何人可訪問
5. 室內設計網站Havenly曝130萬個賬戶數據泄露事件【責任編輯：華軒 TEL：（010）68476606】