|
↑↑↑ Hi~各位道友,我是某公司合规类交付专员/社区技术顾问——C罗单手卸AF,主要对接合规类(OSM/DAS/LAS/BVT/GAP/FGAP)产品,受管理员小姐姐所邀参与【技术圆桌】话题发起人活动,本期想借这个机会,结合等保2.0发展趋势和身份认证技术,邀请大家谈谈对“认证技术”的看法?或者大家在项目过程中遇到过那些身份认证技术?分别有什么优缺点?如果你对该技术领域感兴趣,欢迎参与本期话题讨论,如有相关产品方面的问题和建议,也欢迎大家回帖提问 ! 共同学习交流,精进技术!
【话题背景】 在信息安全等级保护三级系统中,在主机安全身份鉴别模块中明确要求,要同时使用两种以上的鉴别技术,也就是业界常说中的双因子认证。
身份鉴别的概念是什么? 身份鉴别即标识与鉴别,标识是实体身份的一种计算机表达。信息系统在执行操作时,首先要求用户标识自己的身份,并提供证明自己身份的依据,不同的系统使用不同的方式表示实体的身份,同一个实体可以有多个不同的身份。鉴别是将实体标识和实体联系在一起的过程。鉴别是信息系统的第一道安全防线,也为其他安全服务提供支撑。访问控制机制的正确执行依赖于对用户身份的正确识别,标识和鉴别作为访问控制的必要支持,以实现对资源机密性、完整性、可用性及合法使用的支持。如果与数据完整性机制结合起来使用,可以作为数据源认证的一种方法。在审计记录中,一般需要提供与某一活动关联的确知身份,因此,标识与鉴别支持安全审计服务。等保2.0三级系统的身份认证要求:“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现”。
常见的身份鉴别技术有那些呢? 密码技术:2020年1月1日起正式实施《中华人民共和国密码法》,《密码法》是我国历史上第一部密码大法,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全。《密码法》第八条表明“公民、法人和其他组织可以依法使用商用密码保护网络与信息安全”。 短信密码:短信密码以手机短信形式请求包含6位或更多随机数的动态口令,身份认证系统以短信形式发送随机的6/8位密码到客户的手机上,客户在登录或者交易认证时候输入此动态口令,从而确保系统身份认证的安全性。 硬件令牌:当前最主流的是基于时间同步的硬件口令牌,它每60秒变换一次动态口令,动态口令一次有效,它产生6位/8位动态数字。 手机令牌:手机令牌是一种手机客户端软件,它是基于时间同步方式,每隔30秒产生一个随机6位动态密码,口令生成过程不产生通信及费用。
【话题讨论】 讨论点1:你在项目或者现有环境中有遇到过那些双因子认证?聊一聊各认证技术分别有那些优势? 讨论点2:你个人认为双因子认证在贴合环境的情况下哪两种认证是你喜欢的?让使用过程中更最简单、高效且安全。
【讨论时间】 2020年12月7日---2020年12月18日 23:59
【奖品设置】 1、基础回帖奖:凡有效回帖者可获得20S豆奖励;(回帖内容与话题相关且为个人原创) 2、优秀回复奖:凡回复的内容,被管理员设置为优秀回复即可获得100S豆打赏! 3、参与幸运奖:本帖设置1000S豆回帖奖励,每次回复有机会获得20S豆; 4、最佳回复奖:活动结束后,由话题发起人评选出2位最佳回复者,赠送热门学习书籍《云上合规:某公司云安全服务平台等级保护2.0合规能力技术指南》一本;
【回帖规则】 1、回复须为个人原创且与话题相关,如回复无意义内容,管理员将判定为灌水,进行删除。 2、如恶意抄袭,以不良手段获取礼品行为,一经发现取消其获奖资格,并对账号进行1月以上禁言警示。 3、可盖楼回复但每个id回帖仅奖励一次,其他奖励可叠加,活动结束后将进行统一派发。
欢迎大家回帖交流 如有相关产品相关问题,欢迎留言提问 | 
发表于 2022-9-15 11:04
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级