等级保护测评过程中常见的静态密码风险及防护建议
等级保护测评过程中常见的静态密码风险
情人节几号及防护建议
胡亚兰,张艳
(公安部第三研究所,上海200031)
摘  要:虽然身份鉴别技术随着信息科技的发展也在不断更新,但静态密码目前仍然是信息系统中常用的身份鉴别方式,尤其是信息系统建设方式的发展,也给信息系统中涉及的操作系统、网络设备、安全设备、应用软件等层面的静态口令带来新的风险。文章梳理了等级保护测评过程中常见的静态密码风险,并针对各个风险提出了防护措施。
关键词:静态密码;信息系统;等级保护测评;信息安全
中图分类号:TP391文献标识码:A
Common static password risks and protection suggestions in the process of classified protection evaluation
Hu Yal an, Z hang Yan
(T he Third Re sea rc h Inst itute of Mi ni st ry of P ubl ic Securit y, Shanghai 200031)
Abstract: Although identity technology is constantly updated with the development of information technology,However, static passwords are still commonly used in information systems.In particular, the development of information system construction methods also brings new risks to the static passwords involved in information systems such as operating systems, network devices, security devices, and application software. This paper reviews the common static passwords in the process of rating protection assessment. Risk, and put forward protective measures against each risk.
Key words: static password; information system; rating protection assessment; information security
1 引言
信息系统是一个复杂的系统,涉及主机操作系统、网络设备、安全设备、应用软件等多个环节。与此同时,随着虚拟化技术、大数据以及移动互联网等信息技术的发展,信息系统也越来越复杂。身份鉴
梦见掉牙怎么回事别技术也在不断发展,如数字证书、指纹、智能钥匙、动态口令等,但不可否认的是,静态密码认证方式仍然是信息系统中最常用的一种身份鉴别手段。《信息系统安全等级保护基本要求》[1]以及代替此标准的《信息安全技术网络安全等级保护基本要求》(试行稿)都对身份鉴别信息具有“复杂度”“定期更换”“传输加密”“存储保密”的要求。但测评过程中发现关于信息系统中密码的设置、使用和保存存在多种不同情况的风险。本文分析了信息系统中常见的密码风险并提出了对应的防护建议。
2 信息系统中常见的静态密码风险2.1网络设备和安全设备未修改默认密码
网络设备主要是交换机和路由器,安全设备主要包括防火墙、入侵检测设备、Web应用防火
2018年第4期网络空间安全Cyberspace Security
墙、入侵防御设备、抗DDoS设备等。这些设备都是从生产厂商购置,也是生产厂商协助企业用户部署使用,在部署成功交付给企业信息安全主管部门后,产品的密码没有被修改,测评过程中发现有用户直接上互联网查询安全设备的默认用户名密码。常见的如默认用户名s u p e r m a n、admin、admin、superadmin、root,默认密码talent、admin、admin、superadmin、root。
2.2 密码非明文保存和传输。
信息系统庞大,设备较多,运维人员为了方便运维直接把设备及其对应的IP地址、账号、密码保存在
一个Execl表格中,甚至有运维人员把这种表格直接打印出来贴在自己的工位上,以及存在用QQ、或者在不同的运维人员之间进行传递的行为。
2.3 使用弱密码或企业常用密码
运维人员为了方便记忆,将密码配置常见的几种密码,如123456、12345678、111111、888888、root、admin等;或者键盘相邻的密码组合,如123qwe、1234qwer、1qaz2wsx、1qaz@ WSX等;或者出生年月日组合,如19921227、19871019;或者名字生日组合,如w l x1225、lx1008、maow0504等。企业的常用密码,是各个企业内部为方便内部员工沟通合作,设置的公司默认密码,这种密码有可能长度和复杂度达到标准的要求,但是企业内部的员工都知道设备的密码是什么。在测评过程中经常会遇到运维人员之间沟通时问对方密码是不是公司默认的。
2.4 信息系统建设以及应用开发外包交付后密码更改不及时
手机照片删除了如何恢复
测评过程中发现很多信息系统的开发以及建设部署都是通过外包商来实现的,尤其是政府部门、学校和小型企业,测评过程中大部分都是信息系统的外包商负责对接测试,而信息系统的主管部门除了使用信息系统,对信息系统涉及的网络、主机、数据库一无所知,用于约束外包服务商行为的唯一途径就是服务协议中所涉及的保密条目。测评中外包商因为管理的信息系统过多,大部分运维人员都是使用默认用户名密码,或者从电子表格中查询用户名密码。
适合写在元旦手抄报上的句子
菌菇汤的做法3 静态密码防护建议
3.1 企业应树立密码安全意识
要充分认识到信息系统的安全不仅是系统开发者的责任,更是系统使用者的责任,而用户名和密码是信息系统的安全屏障。不要把密码写在记录本上,不要把密码记录到明文的电子文档或中,更不要把密码写在纸上粘贴在工位上。企业应定制密码长度、复杂度、更换周期策略以及密码保护制度,并严格对该制度的执行情况进行监管,如由信息安全主管不定期抽查操作系统、网络设备、安全设备以及应用系统相关使用者的密码策略,并定制严格的惩罚措施。
3.2 设备运维人员应懂得强密码的设置方法
设备运维人员应严格根据企业定制的密码策略对所运维的设备密码进行配置,并定期更换密码。但是随着信息系统的复杂化、庞大化,设备种类和数据都在增加,既要配置具有复杂度和长度的密码,又要每台设备密码各不相同,同时还需要运维人员牢牢记在脑袋里,对运维人员来说并不是一件简单的事情。这种情况一时建议设备分类梳理后分配给多个不同角的管理员进行维护,如服务器管理员、数据库管理员、网络设备管理员、安全设备管理员、应用管理员,如果服务器的数量较多再根据服务器的应用进行分类,再分设多个服务器管理员。其次,运维人员在配置密码时要有一套自己的“加密方法”,即将密码赋予意义,方便自己记住,同时防止暴力破解,比如运维人员常用的密码是“1qaz@WS
X”,这是一组8位且具有一定复杂度的密码,看似复杂,其实就是键盘相邻两列的字母,运维人员的“加密方法”是:主机名+常用密码+自己的名字首字母,那名叫张伟的运维人员所负责的一台名为yyuser1的主机的密码就为
胡亚兰 等:等级保护测评过程中常见的静态密码风险及防护建议
yyuser11qaz@WSXzw。运维人员只要记住自己的“加密方法”即可。
3.3 外包商交付完成后及时更改密码
对于系统是外包商建设的信息系统,在系统交付时,信息系统主管部门应分派设备管理员及时接管信息系统涉及的所有设备的管理权限,并及时更改设备的密码。
3.4 建议部署强身份鉴别的堡垒机设备
如果企业具有购买堡垒机的能力,建议在信息系统中部署堡垒机设备,将信息系统所涉及的服务器、交换机、数据库、路由器等设备都添加到堡垒机资源列表中,同时在防火墙中配置访问控制策略,限制仅堡垒机的IP地址可以登录这些资源。此外,在堡垒机中添加运维人员,并配置运维人员的访问权限,设置运维人员的强身份认证信息,如数字证书、动态令牌、指纹等。
3.5 开启登录失败处理、审计等辅助功能
开启设备的登录处理功能,防止暴力破解,同时开启用户身份鉴别过程的审计记录,对于登录成功和失败的事件进行审计记录。服务器、运维终端、业务终端主机应安装杀毒软件并及时升级。打开病毒监控并定期对主机进行全盘杀毒,以避免黑客软件的入侵和窃取密码。
4 结束语
信息系统的安全建设是一个庞大的系统工程,管理者必须从物理机房、硬件、软件、管理等多个方面考虑,本文从静态密码的防护方面提出了等级保护测评中常见的风险,并给出了整改建议,以保障信息系统的安全。
参考文献
[1] 标准编号(GB/T 22239-2008).信息安全技术信息系统
如何用烤箱烤红薯
安全等级保护基本要求[S].
作者简介:
胡亚兰(1987-),女,河南信阳人,助理研究员,工学硕士;主要研究方向和关注领域:信息安全及相关检测技术。
张艳(1981-),女,上海人,博士,研究员;主要研究方向和关注领域:信息安全及相关检测技术。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。