安全计算环境的身份鉴别控制点要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别。
作者:公安部信息安全等级保护评估中心 秦琦
【问题描述】
对于一个安全保护等级为第三级的网络来说,如果目标设备(如网络设备、安全设备、主机操作系统、应用系统等)仅提供基于静态口令的用户身份鉴别方式,但对应的集中运维管理系统采用双因素鉴别方式,那么该目标设备是否也可判定为满足第三级身份鉴别¹控制点中对于组合鉴别技术的要求?
【分析依据】
1. 相关标准条款
(1)GB/T 22239—2019
《信息安全技术 网络安全等级保护基本要求》(GB∕T 22239—2019)的第三级安全要求中,安全计算环境的身份鉴别控制点要求:“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。”
(2)GB/T 28448—2019
《信息安全技术 网络安全等级保护测评要求》(GB∕T 28448—2019)中对身份鉴别控制点的测评实施提出如下要求:
1)应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别;
2)应核查其中一种鉴别技术是否使用密码技术来实现。
单元判定:如果1)-2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
2. 标准条款解读
为满足组合鉴别技术的要求,通常需要部署能够提供多因素²鉴别功能的统一身份认证系统,对网络设备、安全设备、主机操作系统、应用系统及其他重要系统和设备等进行强身份鉴别,一般又以双因素鉴别最为常用,因此后续以双因素鉴别为例进行说明。
“双因素”顾名思义,通常就是在“静态口令”的基础上增加另外一种鉴别因素以实现强身份鉴别,确保是用户账号拥有者本人登录。第二因素实现形式包括但不限于:短消息认证、邮件认证、动态口令令牌、USB-KEY、指纹、面部、虹膜、声音等,其中动态口令令牌由于其实现成本较低且操作方便,是目前最常使用的一种。
其次,双因素之一需要使用密码技术³实现鉴别相关功能,常见的解决方案包括动态口令令牌、包含数字证书的USB-KEY等。因此,只有采用密码技术实现的双因素身份?鉴别方案 才能满足等级保护的要求。
最后,严格意义上满足上述要求需要在同一个物理节点和时间节点上完成对用户的身份鉴别活动,即双因素身份鉴别活动需发生在登录目标对象(网络设备、安全设备、服务器操作系统、应用系统)等目标对象本身时,如业务系统使用由“用户令牌的动态信息”和“用户个人识别码”组合而成的鉴别信息对登录用户进行认证。对于时空分离的“双因素鉴别方式”是否符合标准要结合具体场景酌情分析。
【问题分析】
1. 威胁分析
与身份鉴别功能相对应的威胁主要是“网络攻击中的用户身份伪造和欺骗”(GB/T 20984—2007),与堡垒机相关联的攻击方式(场景)包括:
(1)若堡垒机存在重大安全漏洞:攻击者攻击成功后可利用堡垒机中保存的登录信息任意假冒服务器用户;
(2)若堡垒机不存在重大安全漏洞,该场景可进一步细分。
1)该服务器外部网络可达,外部攻击者可对其直接实施网络攻击;
2)网络配置失误,远程管理该服务器时可绕过堡垒机,导致其面临内部恶意人员网络攻击;
3)其他服务器存在重大安全漏洞,导致同网段或路由可达的该服务器面临网络攻击。
上述三种细分场景中,由于没有双因素等强鉴别措施保障,攻击者可利用获取的凭据或增加管理用户的简单方式实现假冒用户身份。
2. 符合性分析
一般而言,上述场景不符合等级保护关于两种及两种以上组合鉴别的要求。
首先上述场景不满足“在同一个物理节点和时间节点上完成对用户的身份鉴别活动”的要求;其次,依靠堡垒机等外围设备提供的双因素鉴别措施,尽管在部分场景中增强了目标对象的身份鉴别能力,但并未从根本上解决用户假冒攻击的问题,具体分析如下。
尽管堡垒机实现了双因素鉴别功能,但如果目标对象与堡垒机等外围设备间未实现强关联,恶意攻击者一旦绕开堡垒机实施攻击,服务器在身份鉴别方面的防御强度是不够的。由于采取较弱的鉴别措施,恶意攻击者一旦控制了服务器,可以更加容易的窃取、伪造、篡改用户的身份鉴别信息,相对于目标对象自身实现了双因素的场景,恶意攻击者实施假冒攻击的难度就大大降低了。
综上所述,在远程登录设备的链路中简单部署堡垒机并在堡垒机上开启双因素身份鉴别,仅能限制常规远程登录用户使用双因素登录堡垒机,而无法限制不经过堡垒机的本地登录、借助跳板机提权登录等场景的用户的登录,给恶意攻击用户留下可乘之机,不能完全满足被设备的双因素身份鉴别要求。
注:
¹实体鉴别(entity authentication):证实一个实体就是所声称的实体(GB/T 15843.1—2017)。
²鉴别因素(authentication factor):用于鉴别或者验证实体身份的要素(GB/T 40651—2021)。
可分为三类:实体所拥有的事物(例如,设备签名、护照、包含凭证的硬件设备、私钥等);实体所
知晓的信息(例如,口令、PIN等);实体所呈现的本质(例如,生物特征或行为模式等)。
³密码技术:指采用特定变换的方法对信息等进行加密保护、安全认证的方法和手段,包括密码编码、实现、协议、安全防护、分析破译,以及密钥产生、分发、传递、使用、销毁等技术(《商用密码应用安全性评估》 2020 电子工业出版社)。
&sup4;鉴别机制详见GB/T15843《信息技术 安全技术 实体鉴别》。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
