编程那点事编程那点事

专注编程入门及提高
探究程序员职业规划之道!

信息安全等级保护之技术要求→主机安全→身份鉴别

一、要求内容 

a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别; 

b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 

c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 

d)应设置鉴别警示信息,描述未授权访问可能导致的后果; 

e)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; 

f)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性; 

g)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,并且身份鉴别信息至少有一种是不可伪造的。 

二、实施建议 

对于用户身份的标识。一般以用户名和用户标识符(UID)来标识一个用户,确保在一个计算机信息系统中用户名和用户标识符的唯一性。这种唯一性应在计算机信息系统的整个生命周期内都有效,即使一个用户的帐号已被删除,他的用户名和标识符也不能再使用,并由此确保用户的唯一性和可区别性。 使用更加严格的身份鉴别,如采用智能IC 卡、人体生物特征(指纹、视网膜)等特殊信息进行身份鉴别,通过网络登录是应对身份鉴别过程信息进行加密保护;登录系统前设置显示警告信息。 

三、常见问题 

操作系统和数据经常会共用相同的用户;许多公司的系统管理员用户信息都是有多名员工知道,共用的帐号。 

四、实施难点 

设立众多的帐户并分配合适的权限,管理人员需要记忆大量的帐号信息,会增加维护工作的工作量;采用多种身份识别设备会增加系统建设的成本。 

五、测评方法 

形式 访谈,检查,测试。 对象 系统管理员,数据库管理员,服务器操作系统、数据库,服务器操作系统文档,数据库管理系统文档。 

实施 

a)应检查服务器操作系统和数据库管理系统身份鉴别功能是否具有《信息安全等级保护操作系统安全技术要求》和《信息安全等级保护数据库管理系统安全技术要求》第二级以上或TCSEC C2级以上的测试报告; 

b)应访谈系统管理员,询问操作系统的身份标识与鉴别机制采取何种措施实现; 

c)应访谈数据库管理员,询问数据库的身份标识与鉴别机制采取何种措施实现; 

d)应访谈操作系统和数据库管理员是否采用了远程管理,如采用了远程管理,查看采用何种措施防止鉴别信息在网络传输过程中被窃听。 

e)应检查服务器操作系统和数据库系统帐户列表,查看管理员用户名分配是否唯一; 

f)应检查服务器操作系统和数据库管理系统,查看是否提供了身份鉴别措施(如用户名和口令等),身份鉴别信息是否具有不易被冒用的特点,例如,口令足够长,口令复杂(如规定字符应混有大、小写字母、数字和特殊字符),口令生命周期,新旧口令的替换要求(如规定替换的字符数量)或为了便于记忆使用了令牌; 

g)应检查服务器操作系统和数据库管理系统,查看身份鉴别是否采用两个以上身份鉴别技术的组合来进行身份鉴别(如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合),并且有一种是不易伪造的(如数字证书或生物识别技术); 

h)应检查服务器操作系统和数据库管理系统,查看是否配置了鉴别失败处理功能,并设置了非法登录次数的限制值;查看是否设置网络登录连接超时,并自动退出; 

i)应测试服务器操作系统和数据库管理系统,可通过错误的用户名和口令试图登录系统,验证鉴别失败处理功能是否有效; 

j)应测试服务器操作系统和数据库管理系统,通过正常登录是否有登录警示信息。 

k)应渗透测试服务器操作系统,可通过使用口令破解工具等,对服务器操作系统进行用户口令强度检测,查看能否破解用户口令,破解口令后能否登录进入系统; 

l)应渗透测试服务器操作系统,测试是否存在绕过认证方式进行系统登录的方法,例如,认证程序存在的安全漏洞,社会工程或其他手段等。 

六、参考资料 

《信息安全等级保护操作系统安全技术要求》中对身份鉴别进给出了要求: 

4.4.1.4 身份鉴别 应按照《通用技术要求》

6.4.3.1 条用户标识和《通用技术要求》

6.4.3.2 条用户鉴别的要求,设计和实现操作系统的身份鉴别功能。

本安全级的具体要求为: 

a) 在以请求访问方式引起信息流动时,除可采用口令进行鉴别,并在每次用户登录系统时对请求者的身份进行鉴别外,还应有更加严格的身份鉴别,如采用智能IC 卡、指纹、视网膜等特殊信息进行身份鉴别,并应在每次用户登录系统之前进行鉴别。智能IC 卡身份鉴别以密码技术为基础,并符合X .509 协议。 

b) 在以交换方式引起信息流动时,应进行通行双方身份的真实性和双方对对信交换行为的不可抵赖性鉴别。 

c) 在某些情况下,除了要求确保用户身份的唯一性和真实性外,还要求对某些用户的身份进行特别保护,使其不被其他用户发现或滥用。

未经允许不得转载: 技术文章 » 信息安全 » 信息安全等级保护之技术要求→主机安全→身份鉴别