近几年,“HW”、“信创”、“密评”成了各行业关注的热词。面对相关法律法规中的各种要求,市面上眼花缭乱的产品和方案,HW&信创&密评究竟如何做?应该关注哪些要点,有哪些误区?企业弱口令问题整改屡次不达标,本质上是缺少统一身份认证体系,再在此基础上进行安全增强。如此,才能事半功倍,实现HW、信创、密评合规。
政策背景
-
HW: 攻防演练已开始,“两高一弱”专项整治行动也在紧锣密鼓地展开。两高即高危漏洞、高危端口,一弱指弱口令,其中弱口令问题作为重点治理项目。
-
信创: 党政、央国企、金融等行业信创逐步拓宽到各行各业,IT 基础设施、软硬件等均需进行国产化改造。
-
密评: 商用密码从功能上分为加密保护和安全认证,等保三级架构检测要求增加双重口令验证,等保四级机构对于口令的机密信息存储需要通过加密机进行运算,即统一身份认证系统需要和加密机进行联动。
解决思路
弱口令问题根源是账号口令无处不在,散落在不同设备和应用系统中,尤其是设备侧,无论是HW、信创改造还是等保密评,治理弱口令的本质在于实施 身份集中统一认证管理 ,在此基础之上才能够实现口令安全策略,如设置口令强度及复杂度、定期修改口令规则(如90天)、增加二次动态口令认证、口令加密存储、访问权限管理等。
下面将从数据中心和办公网两个场景来剖析解决方案。
解决方案
1. 数据中心运维场景
数据中心运维场景主要对象是网络设备(交换机、路由器)、网络安全及运维管理软件、服务器等,常见现象是账号密码各自独立维护,定期改密制度难以有效执行。在HW&密评&关基中对身份鉴别、访问管理、定期改密、弱口令等都有相关要求。
访问管理基础的做法是增加运维堡垒机及跳板机,但无法解决以上账号口令散落问题。有效的解决办法是通过统一身份认证系统(如身份域管)将服务器及运维软件统一加域管理,增加 AAA 认证服务实现网络设备统一认证,最后将身份数据存在 LDAP 目录服务中,然后再施行自助改密、定期改密以及 OTP 动态口令二次认证等进阶方案。
客户故事
某国企全资子公司有多达1000台服务器,系统类型包含CentOS、Windows Server、openEuler、CTYunOS等,均通过堡垒机 SSH 登录。目前,堡垒机上存储了所有访问服务器的账号信息,若堡垒机被攻击,服务器账号信息都将被盗,安全隐患极大。该企业希望堡垒机只做跳板和录屏,不保存账号信息,服务器由第三方做统一接入认证管理,将登录门户与身份认证管理分离,并根据密评要求,要加强身份鉴别及执行定制改密机制。
宁盾方案: 将所有服务器对接到宁盾身份域管,账号全部在宁盾域管上创建和维护,为其提供统一身份认证与管理。提供自助改密服务,并开启密码复杂度、密码强度、密码到期提醒等策略,以确保定期改密制度得以落实到位。同时,对接堡垒机启动双因子认证,使人员登录时必须通过动态口令二次认证,加强身份鉴别。
2. 办公网场景
当企业中有统一身份认证系统,如IBM TDS、Sun LDAP或微软AD,因信创原因需替换成国产身份目录服务。若企业内没有统一身份管理,则通过国产身份目录服务和双因子认证实现应用、网络(含云桌面、VPN)、桌面终端一体化管理。
客户故事
2.1 替换微软AD,同步IAM数据,接管应用、Win和信创电脑认证
某大型金融单位信创建设,采购了一批信创电脑、邮箱,但合规要求这些新增设备、应用无法对接微软AD,且该企业希望由自研的 IAM 系统账号作为主身份源,统一为既有设备、应用和新增的设备、应用做身份认证与权限管理。
宁盾方案: 为该企业搭建国产身份域管,从 IAM 里同步数据,作为 Windows 及信创终端、应用系统、某厂桌管等的统一登录账号,认证则由宁盾域管进行。此外,提供 API 接口,支持与非标、自研系统的对接,并基于 SM3 国密算法,提供 OTP 动态口令二次认证服务。
2.2 新建身份目录,计算机加域管理,接管网络和邮箱认证
某金融集团当前未搭建任何 LDAP 服务,因业务场景有加域管理需求,但因信创及合规要求,不能使用微软AD。当前,该集团有大量Windows、macOS、Linux系统的计算机均为本地自建账号,需进行加域管理;内网接入需执行身份安全认证;国产邮箱也将由国产 LDAP 接管。
宁盾方案: 搭建宁盾身份域管,作为全部 IT 资源的主身份认证源,身份数据与 OA 系统保持一致。将所有类型计算机加域做统一身份认证,并结合准入控制系统提升终端安全基线。身份域管除接管计算机统一认证外,还对接网络、邮箱,做认证和审计。
以上是宁盾在HW/信创/密评场景中遇到的客户需求与提供的对应解决方案。无论是HW还是信创、密评要求,在实际落地中,关键所在是要做好统一身份认证体系的搭建,再围绕法律法规要求着手进行身份鉴别、访问控制、商用密码、弱口令等方面的安全治理。该思路自下而上,层层递进,不仅有助于企业顺利过HW/信创/密评,对于企业日后快速扩张、业务敏捷也大有裨益。
