首先,据美国网络安全和基础设施安全局 (CISA) 周一消息,已经在“高风险”网络安全实践的短名单中添加了单因素身份验证。
在《信息安全技术 网络安全等级保护基本要求》三级安全计算环境中身份鉴别测评项d)明确要求“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。”
在《信息安全技术 网络安全等级保护测评要求》描述为:
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
1)应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别;
2)应核查其中一种鉴别技术是否使用密码技术来实现。
在《网络安全等级保护测评高风险判定指引》TISEAA 001-2020中是这样描述:
1) 关键网络设备、关键安全设备、关键主机设备(操作系统)通过不可控网络环境进行远程管理:2)设备未采用两种或两种以上鉴别技术对用户身份进行鉴别,1)远程管理过程中,多次采用同一种鉴别技术进行身份鉴别,且每次鉴别信息不相同,例如两次口令认证措施(两次口令不同),可根据实际措施效果,酌情判定风险等级;2)对于采取登录地址限制,绑定管理终端等其他技术手段减轻用户身份被滥用的威胁的情况,可从措施所起到的防护效果等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
另外,在应用系统身份鉴别中可参考应用要求,本文主要是想和美国CISA做一个简单横向比较,以说明单因素认证的安全性风险。据美国网络安全和基础设施安全局 (CISA) 周一消息,已经在“高风险”网络安全实践的短名单中添加了单因素身份验证,单因素身份验证可能会使关键基础设施以及政府和私营部门实体面临毁灭性的网络攻击。什么是单因素认证?其实单因素认证是一种验证自己的身份方法,我们最常见的是用户名和密码的组合,只有单一的一种验证方式。单因素认证安全性无疑是低的,因为严重依赖于“将一个因素(例如密码)与用户名匹配以获取对系统的访问权限”。我在文章上半部分谈到在我国等级保护基本要求中,三级信息系统的重要设备要求采取多因素认证,从中外安全领域来看形成的共识是单因素认证风险非常高,并且常常还伴生着弱口令、重用密码和通用密码等严重威胁,单因素认证已经成为有利可图的攻击媒介,使用单因素身份验证可能会导致不必要的安全风险,并增加网络犯罪分子接管账户的可能性。
美国CISA不良做法清单现在包括:
使用已知/固定/默认密码和凭据
使用单因素身份验证对系统进行远程或管理访问
虽然我们对美国颇有微词,但是他依然以其强大的网络安全攻击能力和防护能力,是世界网络安全的风向标,现在美国CISA的这一举措,将引发在全世界范围内对单因素认证的安全性心存担忧。同时,带给我们的思考是,等级保护测评问题的真发现、真剖析,使多因素认证更上一层楼,为网络运营者带来真切可知可感的安全指导和服务。无论是咨询还是安全服务,都应该切实从网络运营者安全需求协助网络运营者通过各种有效安全防护措施实现最优方案,全面提升单位整体网络安全防护水平。
本次,来到山东青岛,看到“正心正念正能量”的三正科技,看到他们梳理的知识体系眼前豁然开朗,此行受教于两位前辈确实受益匪浅,看到一个有情怀有初心正能量的企业。一下午的参观学习下来,从中听到、学到很多,开拓了眼界。
勒索软件常见问题知多少?
个人信息保护:个人信息去标识化指南思维导图
数据安全:数据安全能力成熟度模型
网络安全等级保护:应急响应计划规范思维导图
红队最喜欢的18 种优秀的网络安全渗透工具
网络安全等级保护:什么是等级保护?
网络安全等级保护:网络安全事件应急演练指南思维导图