等保三级网络安全计算环境建设-身份鉴别

2023-02-14

GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》规定了安全计算环境测评对象,包括终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。

BRIEFLY

  • 安全通用要求

在等保三级的安全通用要求中,安全计算环境防护分11类安全控制点,共34个测评项(包含11个关键测评项,15个重要测评项和8个一般测评项)。


下面我们将对安全计算环境中的身份鉴别模块进行解析。


  • 身份鉴别关键点总结

图片


  • 关键点总结

身份鉴别的关键点总结:


(1) 用户登录身份鉴别信息具有复杂度要求并定期更换;

(2) 设置登录失败处理、限制非法登录次数等安全措施;

(3) 远程管理应采用必要措施防止信息窃听;

(4) 采用两种或以上的鉴别技术,且至少一种为密码技术。


  • 关键点建设措施

身份鉴别关键点及解决措施:


针对网络设备、业务系统、操作系统等,中科恒伦提出在原有的静态口令基础上增加动态口令或者生物技术,即可形成采用两种密码技术进行限制,其中口令生成包括硬件令牌、软件令牌、短信认证、PC令牌、微信令牌、小程序令牌、飞书令牌、钉钉令牌、H5令牌、挑战令牌、USB KEY等,生物技术包括人脸识别、指纹认证、虹膜、静脉、声音等


其中硬件令牌和软件令牌是目前常用的双因子方式,因为这两款令牌共同的优点就是携带便携、安全度高、低成本,用户只需携带一枚令牌或者在手机上安装一个APP即可,而且这两款令牌完全于外界隔离无需联网,更好的提升了安全性;


图片


  • 中科恒伦CKEY动态认证系统

中科恒伦令牌产品可采用‘令牌+校验SDK’方式使用,供有软件开发能力的第三方厂商集成;也有更为简便快捷的搭建方式为‘令牌+中科恒伦多因素认证系统’。中科恒伦多因素认证系统提供认证服务、资源管理、策略管理、账号管理、日志审计、集成动态令牌认证引擎、生物识别认证引擎和RADIUS、TACACS+、LDAP协议服务,同时提供API、SDK等多种方式与网络设备、业务系统、操作系统等全场景实现无缝对接。

  • 目前企业所面临的痛点

图片


  • 双因子原理

图片


  • 我们的优势点


1、令牌多样性

提供多达15种的动态令牌形式,方便用户按需组合使用,可以为同一客户多个应用系统或者同一应用混合使用。


2、账号源管理

支持多种异构账号源满足大型组织多账号源认证,可以统一维护管理;


3、全场景应用

支持通过API、Radius、TACACS+、LDAP等多种应答方式对接业务系统、网络设备以及操作系统;


4、跨平台部署

支持跨平台部署,支持HA、集群化部署。并支持虚拟化、国产化操作系统部署。


5、运维便捷性

自定义认证策略,实现安全、管理、成本三者合理平衡;有独立用户自助服务平台,管理更加灵活;


6、详细的日志审计

详细记录xx用户在xx时间访问xx资源,访问结果成功/失败,如果失败原因是xxx,并支持syslog日志上传,便于管理;


7、应用的无缝集成

除了Radius等标准协议之外,还支持提供API接口、SDK包、甚至源代码,实现无缝集成;


8、灵活的策略管理

可以灵活的实现各种策略下发、管理、授权规则,并可以对特定的组、角色等进行分组、分角色进行管理;


9、完善的登录方式

登录支持操作系统的在线、离线、应急、指纹等多种认证方式。并对同一账号登录,做到自然人的一一对应,便于精准追溯;


10、强大的安全机制

支持风险预警,PIN码保护、防暴力破解、锁定风险账号、IP黑白名单等机制,有效应对各种风险攻击。

北京中科恒伦科技有限公司(简称“中科恒伦”)是一家全行业/全场景身份鉴别与统一设备管理(AAA)提供商,至今已经深耕网络安全行业身份认证细分领域近十年,获得了数千家企业客户的认可,保护了数百万终端用户的安全,数十家央企企业选择中科恒伦产品。

图片


分享