網絡安全等級保護基本要求分為技術要求和管理要求,其中技術要求包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心;管理要求包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理。
安全通用要求——安全計算環境(第三級)這一安全類共包括11個控制點,每個控制點包含的條款數如下表。
鑒別與訪問控制是信息安全領域重要的基礎知識之一。信息系統中要想實現安全目標, 達到一定的防護水平,必須具備有效的鑒別與訪問控制機制。常見的安全訪問路徑:
網絡安全等級保護通用要求安全計算環境之身份鑒別:
要求項
a) 應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換;
b) 應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;
c)當進行遠程管理時,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽;
d)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現。
適用保護對象
網絡設備、安全設備、服務器(操作系統、數據庫、中間件)、終端(操作系統)、業務應用系統、系統管理軟件等
條款導讀
登錄用戶與系統間建立聯系,本地用戶必須請求本地登錄進行認證,遠程用戶必須請求遠程登錄進行認證。身份認證是實體安全防護的第一道防線,條款a)要求對實體的登錄用戶進行身份標識和鑒別,標識是實體身份的一種計算機表達,鑒別是將實體標識和實體聯系在一起的過程。
身份鑒別的類型有下列三種:
單項鑒別:用戶在實體上注冊時,用戶僅須被實體鑒別,通常是用戶發送用戶名和口令給實體,實體對收到的用戶名和口令進行驗證,確認用戶名和口令由合法用戶發出;
雙向鑒別是一種相互鑒別,其過程在單向鑒別的基礎上還要增加兩個步驟,如服務器向客戶發送服務器名和口令,客戶確認服務器身份的合法性;
第三方鑒別,每個用戶或實體向可信第三方發送身份標識和口令,第三方用于存儲、驗證標識和鑒別信息。
身份鑒別方式實體所知、實體所有和實體特征三種。
實體所知,即實體所知道的,如目前廣泛采用的使用用戶名和口令進行登錄驗證,條款a)要求登錄實體的用戶名具有唯一性,并提高口令強度:配置口令復雜度和定期更換口令,條款b)要求阻止口令被重復嘗試的可能,使用口令登錄嘗試達到一定次數的賬戶鎖定一段時間或由管理員解鎖,以及當用戶連接到實體后,配置相關措施保證登錄連接超時后自動退出;條款c)要求在遠程管理時,為防止口令嗅探攻擊,對傳輸中的口令進行加密保護。
實體所有,即實體所擁有的物品,如鑰匙、IC卡等,條款a)要求用于鑒別的物品應具有唯一性,不會被復制;
實體特征,即利用實體特征鑒別系統完成對實體的認證。實體特征鑒別系統通常由信息采集和信息識別兩個部分組成,信息采集通過光學、 聲學、紅外等傳感器作為采集設施,采集待鑒別的用戶的生物特征(如指紋、虹膜等)和行為特征(聲音、筆記、步態等),然后交給信息識別部分與預先采集并存儲在數據庫中的用戶生物特征進行比對,根據比對的結果驗證是否通過驗證。
使用兩種身份鑒別方式的組合(雙因素鑒別)是常用的多因素鑒別形式,條款d)要求采用采用兩種或兩種以上的鑒別方式對用戶進行身份鑒別,且其中一種鑒別方式基于密碼技術的鑒別機制,雙因素鑒別是使用實體所知、實體所有和實體特征三種鑒別方式中的兩種或兩種以上對同一實體進行認證,且其中一種認證方式必須基于密碼技術,如用戶名和口令認證(實體所知)+基于密碼技術的UKey(實體所有)為典型的雙因素認證方式。
注:二次認證或兩種鑒別方式對不同的實體認證均不等于雙因素認證。
安全防護措施
