网络安全等级保护基本要求安全计算环境之身份鉴别
网络安全等级保护基本要求分为技术要求和管理要求,其中技术要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心;管理要求包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。
安全通用要求——安全计算环境(第三级)这一安全类共包括11个控制点,每个控制点包含的条款数如下表。
鉴别与访问控制是信息安全领域重要的基础知识之一。信息系统中要想实现安全目标, 达到一定的防护水平,必须具备有效的鉴别与访问控制机制。常见的安全访问路径:
网络安全等级保护通用要求安全计算环境之身份鉴别:
要求项
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
适用保护对象
网络设备、安全设备、服务器(操作系统、数据库、中间件)、终端(操作系统)、业务应用系统、系统管理软件等
条款导读
登录用户与系统间建立联系,本地用户必须请求本地登录进行认证,远程用户必须请求远程登录进行认证。身份认证是实体安全防护的第一道防线,条款a)要求对实体的登录用户进行身份标识和鉴别,标识是实体身份的一种计算机表达,鉴别是将实体标识和实体联系在一起的过程。
身份鉴别的类型有下列三种:
单项鉴别:用户在实体上注册时,用户仅须被实体鉴别,通常是用户发送用户名和口令给实体,实体对收到的用户名和口令进行验证,确认用户名和口令由合法用户发出;
双向鉴别是一种相互鉴别,其过程在单向鉴别的基础上还要增加两个步骤,如服务器向客户发送服务器名和口令,客户确认服务器身份的合法性;
第三方鉴别,每个用户或实体向可信第三方发送身份标识和口令,第三方用于存储、验证标识和鉴别信息。
身份鉴别方式实体所知、实体所有和实体特征三种。
实体所知,即实体所知道的,如目前广泛采用的使用用户名和口令进行登录验证,条款a)要求登录实体的用户名具有唯一性,并提高口令强度:配置口令复杂度和定期更换口令,条款b)要求阻止口令被重复尝试的可能,使用口令登录尝试达到一定次数的账户锁定一段时间或由管理员解锁,以及当用户连接到实体后,配置相关措施保证登录连接超时后自动退出;条款c)要求在远程管理时,为防止口令嗅探攻击,对传输中的口令进行加密保护。
实体所有,即实体所拥有的物品,如钥匙、IC卡等,条款a)要求用于鉴别的物品应具有唯一性,不会被复制;
实体特征,即利用实体特征鉴别系统完成对实体的认证。实体特征鉴别系统通常由信息采集和信息识别两个部分组成,信息采集通过光学、 声学、红外等传感器作为采集设施,采集待鉴别的用户的生物特征(如指纹、虹膜等)和行为特征(声音、笔记、步态等),然后交给信息识别部分与预先采集并存储在数据库中的用户生物特征进行比对,根据比对的结果验证是否通过验证。
使用两种身份鉴别方式的组合(双因素鉴别)是常用的多因素鉴别形式,条款d)要求采用采用两种或两种以上的鉴别方式对用户进行身份鉴别,且其中一种鉴别方式基于密码技术的鉴别机制,双因素鉴别是使用实体所知、实体所有和实体特征三种鉴别方式中的两种或两种以上对同一实体进行认证,且其中一种认证方式必须基于密码技术,如用户名和口令认证(实体所知)+基于密码技术的UKey(实体所有)为典型的双因素认证方式。
注:二次认证或两种鉴别方式对不同的实体认证均不等于双因素认证。
安全防护措施

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
室内设计网站Havenly曝130万个帐户数据泄露事件
美国一家室内设计网站Havenly被曝数据泄露事件,一名黑客在黑客论坛上免费发布了一个包含其130万条用户记录的数据库。 Havenly是一个在线室内设计和家庭装饰网站,用户可以从上面认证的设计师那里获得设计房间的帮助。 上周,BleepingComputer报告称,ShinyHunters黑客组织已在一个黑客论坛上免费泄漏18家公司的数据库。这些数据库总共包含3.86亿个用户记录。 泄露的数据库其中就包含Havenly.com的130万用户记录。 Havenly数据库在黑客论坛上泄漏 从BleepingComputer看到的该数据库的样本中,泄漏的数据包括用户的登录名,名字,MD5哈希密码,电子邮件地址,电话号码,邮政编码以及与该站点的使用有关的各种其他数据。 泄漏的Havenly用户数据库的样本 7月27日,BleepingComputer与Havenly联系,报告了数据泄露事件,但未收到答复。 8月1日,在我们发送电子邮件五天后,Havenly正式披露了数据泄露行为,并正在通过电子邮件通知用户。 Haverly发布数据泄露通知 Havenly正在发送数据泄露通知,声明他们“最近意...
- 下一篇
JVM系列之:JIT中的Virtual Call接口
简介 上一篇文章我们讲解了Virtual Call的定义并举例分析了Virtual Call在父类和子类中的优化。 JIT对类可以进行优化,那么对于interface可不可以做同样的优化么? 一起来看看吧。 最常用的接口List List应该是大家最最常用的接口了,我想这个大家应该不会反驳。 public interface List<E> extends Collection<E> { 今天我们就拿List来做例子,体验一下JIT优化接口的奥秘。 还是上代码,要分析的代码如下: public class TestVirtualListCall { public static void main(String[] args) throws InterruptedException { List<String> list=new ArrayList<>(); for (int i = 0; i < 10000; i++) { doWithVMethod(list); } Thread.sleep(1000); } public sta...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Hadoop3单机部署,实现最简伪集群
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7设置SWAP分区,小内存服务器的救世主
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- 设置Eclipse缩进为4个空格,增强代码规范
- SpringBoot2全家桶,快速入门学习开发网站教程