【技术圆桌】第19期：等保2.0中的身份鉴别要求你遇到了吗？>>话题热议中

↑↑↑

进入【技术圆桌】专题页

Hi~各位道友，我是某公司合规类交付专员/社区技术顾问——C罗单手卸AF，主要对接合规类（OSM/DAS/LAS/BVT/GAP/FGAP）产品，受管理员小姐姐所邀参与【技术圆桌】话题发起人活动，本期想借这个机会，结合等保2.0发展趋势和身份认证技术，邀请大家谈谈对“认证技术”的看法？或者大家在项目过程中遇到过那些身份认证技术？分别有什么优缺点？如果你对该技术领域感兴趣，欢迎参与本期话题讨论，如有相关产品方面的问题和建议，也欢迎大家回帖提问 ! 共同学习交流，精进技术！

---

【话题背景】

在信息安全等级保护三级系统中，在主机安全身份鉴别模块中明确要求，要同时使用两种以上的鉴别技术，也就是业界常说中的双因子认证。

身份鉴别的概念是什么？

身份鉴别即标识与鉴别，标识是实体身份的一种计算机表达。信息系统在执行操作时，首先要求用户标识自己的身份，并提供证明自己身份的依据，不同的系统使用不同的方式表示实体的身份，同一个实体可以有多个不同的身份。鉴别是将实体标识和实体联系在一起的过程。鉴别是信息系统的第一道安全防线，也为其他安全服务提供支撑。访问控制机制的正确执行依赖于对用户身份的正确识别，标识和鉴别作为访问控制的必要支持，以实现对资源机密性、完整性、可用性及合法使用的支持。如果与数据完整性机制结合起来使用，可以作为数据源认证的一种方法。在审计记录中，一般需要提供与某一活动关联的确知身份，因此，标识与鉴别支持安全审计服务。等保2.0三级系统的身份认证要求：“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现”。

常见的身份鉴别技术有那些呢？

密码技术：2020年1月1日起正式实施《中华人民共和国密码法》，《密码法》是我国历史上第一部密码大法，旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全。《密码法》第八条表明“公民、法人和其他组织可以依法使用商用密码保护网络与信息安全”。

短信密码：短信密码以手机短信形式请求包含6位或更多随机数的动态口令，身份认证系统以短信形式发送随机的6/8位密码到客户的手机上，客户在登录或者交易认证时候输入此动态口令，从而确保系统身份认证的安全性。

硬件令牌：当前最主流的是基于时间同步的硬件口令牌，它每60秒变换一次动态口令，动态口令一次有效，它产生6位/8位动态数字。

手机令牌：手机令牌是一种手机客户端软件，它是基于时间同步方式，每隔30秒产生一个随机6位动态密码，口令生成过程不产生通信及费用。

---

【话题讨论】

讨论点1：你在项目或者现有环境中有遇到过那些双因子认证？聊一聊各认证技术分别有那些优势？

讨论点2：你个人认为双因子认证在贴合环境的情况下哪两种认证是你喜欢的？让使用过程中更最简单、高效且安全。

【讨论时间】

2020年12月7日---2020年12月18日 23：59

【奖品设置】

1、基础回帖奖：凡有效回帖者可获得20S豆奖励；（回帖内容与话题相关且为个人原创）

2、优秀回复奖：凡回复的内容，被管理员设置为优秀回复即可获得100S豆打赏！

3、参与幸运奖：本帖设置1000S豆回帖奖励，每次回复有机会获得20S豆；

4、最佳回复奖：活动结束后，由话题发起人评选出2位最佳回复者，赠送热门学习书籍《云上合规：某公司云安全服务平台等级保护2.0合规能力技术指南》一本；

——本期优秀回复用户——

【回帖规则】

1、回复须为个人原创且与话题相关，如回复无意义内容，管理员将判定为灌水，进行删除。

2、如恶意抄袭，以不良手段获取礼品行为，一经发现取消其获奖资格，并对账号进行1月以上禁言警示。

3、可盖楼回复但每个id回帖仅奖励一次，其他奖励可叠加，活动结束后将进行统一派发。

↓↓↓

欢迎大家回帖交流

如有相关产品相关问题，欢迎留言提问

听说可以采用堡垒机来侧面通过双因数认证的要求。

认证方式：密码、短信、动态KEY、硬件UKEY、生物特性（指纹、虹膜）等

双因素认证：上述认证方式最少存在两种

指纹、虹膜技术，一般单位涉及不到，成本投入较大，也就门禁用用 （某卫生行业客户说他们有支持虹膜识别的设备，可惜没见过实物）

有的配备了短信猫，大多用来发送动环报警信息或业务办公自动回复信息。如果用来验证登陆，总觉得麻烦，运维时频繁登陆设备我会烦死。邮件同理。而且短信是额外花销。

动态令牌，像以前网银给的电子密码器，就怕这东西没电了，无法收到密钥。个人觉得比短信好点，也有点麻烦。服务的客户中见过用在业务软件的，没见过用在主机认证上的

硬件UKEY，在VPN、AC、堡垒机上看见过，插上就能用，很好很方便。见过几家在用，但一般就是插上不拔下来

为什么要使用双因素：安全

但是实际应用中，需要考虑另外几个因素：效率、成本

跟过十几家单位的测评，就双因素测评来说，大部分都不符合，因为不是一票否决项，少有人重视

测评项目中，会把信息系统中的资产分为三类：

                                                     一般、重要、非常重要

实际中最没存在感的楼层交换机都会被划到   重要等级。

所以按道理来说，系统中所有的设备都应该具有双因素认证。但一般公司是不可能这么做的。

综上，我自己认为，最好的办法是：

首先： 所有可以后台远程的设备，均开启限制地址登陆功能，没这个功能的用安全设备的策略限制

然后： 仅允许堡垒机IP（IP-MAC绑定）和某备用IP（比如绑定领导MAC上，防止堡垒机故障后只能直连的麻烦）可以后台远程

最后： 堡垒机提供审计功能，分配独立运维账户，同时启用双因子认证

                                    8位以上复杂密码+动态令牌卡   这个方式挺好，就是登陆时稍微麻烦一点，好在仅需登陆一次

                                                                                 or

                                    8位以上复杂密码+硬件KEY         学习了硬件KEY是插在运维电脑上的，也很方便

                                    8位以上复杂密码+指纹仪          没见过，但在厂商产品介绍中看过

双因子认证的技术问题，赶脚各路大神都已回复完毕，就不再深究；
而我反倒想讨论下“双因子认证是否安全？”双因子认证的东西，其实生活中也使用了不少，游戏、堡垒机、手机应用、支付等，虽然双因子认证确实提高了安全性，但各种令牌都取决于发行者或制造商的安全性吧？现网上不少勒索病毒或入侵泄密比比皆是，有双因子认证只能说是增加了一道防线，但实际基础防护才是重心，毕竟使用认证的人存有纰漏，那也只是多了个操作步骤而已（删库逃跑事件，哈哈~跑题了。）

等保2.0三级系统的身份认证要求：“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现”。
是不是就是说必须2种认证才能通过？比原来的1种强制变两种？

听说过，合规要求蛮复杂，很不好处理

常见的身份鉴别技术有密码技术，短信密码，手机令牌

合规要求蛮复杂，挺复杂的

身份鉴别的概念 标识与鉴别 标识是实体身份的一种计算机表达。信息系统在执行操作时,首先要求用户标识自己的身份,并提供证明自己身份的依据,2020年1月1日起正式实施。以前没有使用过，感觉又要学习新的操作方法了。

身份鉴别

短信密码比较常用吧，特别是现在某公司设备慢慢都开始支持阿里、华为这些云短信网关了