等级保护测评过程中常见的静态密码风险及防护建议
等级保护二级和三级的防范措施
等级保护二级和三级的防范措施等级保护是信息安全领域中的一个重要概念,它指的是根据信息的重要程度和敏感程度,将信息进行分类,并为不同等级的信息提供相应的保护措施。
在等级保护中,二级和三级信息是相对较高的等级,对这些等级的信息进行有效的防范措施至关重要。
下面将介绍一些保护二级和三级信息的常见措施。
1. 访问控制:访问控制是信息安全的基础,对于保护二级和三级信息尤为重要。
通过建立访问控制策略,限制只有授权人员能够访问这些信息,可以有效地防止未经授权的访问和泄露风险。
访问控制可以通过身份验证、权限管理和审计等手段来实现。
2. 加密技术:加密是信息安全的重要手段之一,可以保护信息在传输和存储过程中的安全性。
对于二级和三级信息,采用强大的加密算法对其进行加密处理,可以有效地防止信息被非法窃取和篡改。
常见的加密技术包括对称加密和非对称加密等。
3. 安全审计:安全审计是对系统和网络进行监控和检查的过程,可以及时发现和防范安全威胁。
对于保护二级和三级信息,建立完善的安全审计机制是必不可少的。
通过记录和分析系统日志、网络流量和用户行为等信息,可以及时识别和应对潜在的安全风险。
4. 强化身份认证:身份认证是判断用户身份的重要手段,对于保护二级和三级信息尤为重要。
传统的用户名和密码认证方式已经不再安全可靠,因此需要采用更加严格和复杂的身份认证方式,如双因素认证、生物特征识别等,以提高身份认证的可靠性和安全性。
5. 数据备份和恢复:对于二级和三级信息,进行定期的数据备份是必要的。
在数据备份过程中,需要采用加密和安全传输等措施,以防止备份数据被非法获取。
同时,建立健全的数据恢复机制,可以在信息遭受损坏或丢失的情况下,及时恢复信息并保证业务的连续性。
6. 物理安全措施:除了网络安全措施外,对于二级和三级信息来说,物理安全也是至关重要的。
建立安全的机房、保密的文件库和安全的存储介质,限制物理访问权限,可以有效地防止信息被盗取和破坏。
分析计算机网络的安全隐患及防范措施
分析计算机网络的安全隐患及防范措施计算机网络安全隐患及防范措施是一个非常重要的话题,在当今数字化时代,计算机网络安全问题日益严峻。
本文将分析一些常见的计算机网络安全隐患,并提出相应的防范措施。
一、密码安全隐患密码安全隐患是计算机网络安全的基础。
常见的密码安全隐患包括弱密码、密码泄露以及密码被破解等。
弱密码容易被破解,而密码泄露可能导致帐户被入侵。
1. 使用强密码:密码应该包括大小写字母、数字和特殊符号,并且尽量不使用易猜测的个人信息作为密码。
2. 定期更换密码:密码应该定期更换,防止密码泄露后被滥用。
3. 使用双因素认证:双因素认证使用密码以外的另一种身份验证方式,如指纹识别、声纹识别等,增加账户安全性。
二、病毒和恶意软件的安全隐患病毒和恶意软件可以对计算机和网络造成严重的安全隐患,如数据丢失、个人隐私泄露等。
1. 安装杀毒软件:及时安装并定期更新杀毒软件,对计算机进行全面的病毒扫描。
2. 谨慎下载和安装软件:仅从官方和可信的来源下载软件,并确保软件的数字签名有效。
3. 不轻易点击陌生链接:避免点击来自不可信来源的链接,以防止下载恶意软件。
三、网络钓鱼的安全隐患网络钓鱼是一种常见的网络攻击手段,攻击者通过伪装成可信的实体来欺骗用户,以获取用户的敏感信息。
1. 谨慎识别电子邮件和信息:不随便打开垃圾邮件或未知来源的信息,并留意邮件和信息的发送者、内容和附件。
2. 验证网站的真实性:登录网银、支付网站等时,确保网站使用了安全的加密连接,网址以"https://"开头,并查看网站的安全证书。
3. 增强网络教育和培训:提高用户的网络安全意识,教导用户如何辨别网络钓鱼的手段,避免上当受骗。
四、DDoS攻击的安全隐患DDoS(分布式拒绝服务)攻击是通过将大量请求发送到受害者的服务器,导致服务器过载,从而使其无法响应合法的用户请求。
1. 实施DDoS防护服务:使用专业的DDoS防护服务,及时发现和拦截DDoS攻击。
保密风险点防控措施
保密风险点防控措施1. 介绍在信息化时代,企业面临着越来越多的保密风险。
保密风险点可能来自外部攻击、内部人员泄露、数据泄露等多个方面。
为了保障企业的重要信息安全,必须采取相应的防控措施。
本文将就保密风险点进行分析,并提供一些常见的防控措施。
2. 外部攻击的防控措施外部攻击是指恶意的黑客或其他组织试图入侵企业系统获取机密信息。
为了防范外部攻击,可以采取以下措施:•建立防火墙:防火墙可以设置访问权限,限制外部的访问,只允许授权的用户或IP地址访问企业系统。
•更新和升级软件:定期更新和升级系统和应用软件,以修复已知的漏洞,防止黑客利用这些漏洞入侵系统。
•强化密码策略:设置复杂的密码策略,包括必须包含数字、字母和特殊字符等要求,并定期更换密码。
•建立安全意识培训:对企业员工进行安全意识培训,提高他们对外部攻击的防范意识。
3. 内部人员泄露的防控措施内部人员泄露是指企业员工故意或无意地泄露机密信息给外部人员。
为了防止内部人员泄露机密信息,可以采取以下措施:•建立访问控制策略:根据员工职责设定不同级别的访问权限,员工只能访问和操作与其职责相关的数据和系统。
•加强员工背景检查:在招聘新员工时,进行充分的背景调查,了解其过去的工作记录以及与保密有关的行为。
•实施监控措施:安装安全监控系统,记录员工的操作行为,及时发现异常行为并采取相应的措施。
•建立保密协议:与员工签订保密协议,明确规定保密义务和责任,加强保密意识教育。
4. 数据泄露的防控措施数据泄露是指企业内部或外部人员将机密数据复制、传播或分享给未授权的人员。
为了防止数据泄露,可以采取以下措施:•数据加密:对重要的机密数据进行加密,确保即使在数据泄露的情况下,攻击者也无法获取真实的数据内容。
•数据备份和恢复:定期进行数据备份,确保备份的数据能够及时恢复,避免因数据丢失或受损导致泄露。
•定期审查权限:定期审查用户的访问权限,及时删除已离职或权限变更的员工的访问权限。
安全防范措施及注意事项
安全防范措施及注意事项随着科技的发展,人们生活和工作中越来越依赖于互联网和电子设备。
然而,网络安全问题也日益突出。
为了保障个人和机构的信息安全,我们需要采取一系列的安全防范措施。
本文将从密码安全、网络防火墙、反病毒软件、数据备份和社交网络隐私等方面,为大家介绍一些常见的安全防范措施及注意事项。
一、密码安全1. 使用强密码:密码应包含字母、数字和特殊字符,长度不少于8位。
2. 定期更换密码:密码应每3个月更换一次,避免使用与其他账户相同的密码。
3. 不要将密码告诉他人:无论是亲友还是陌生人,都不应将密码透露给他人。
二、网络防火墙1. 安装并定期更新防火墙软件:防火墙能够监测和拦截恶意软件和网络攻击,定期更新软件是保持其有效性的关键。
2. 设置合理的防火墙策略:合理设置防火墙策略,限制外部访问和保护内部网络安全。
三、反病毒软件1. 安装可信赖的反病毒软件:选择知名度高且更新及时的反病毒软件,定期进行病毒库更新。
2. 扫描和清除病毒:定期对计算机进行全盘扫描,及时清除潜在的病毒。
四、数据备份1. 定期备份重要数据:将重要数据备份到云端或独立设备中,以防止数据丢失或被恶意软件加密。
2. 测试数据恢复功能:定期测试数据备份恢复功能,确保备份的数据可用性。
五、社交网络隐私1. 设置隐私权限:在社交网络平台上,设置适当的隐私权限,限制他人对个人信息的查看。
2. 谨慎添加陌生人为好友:不要随意添加陌生人为好友,以防个人信息被滥用。
3. 谨慎发布个人信息:不要在社交网络上发布过多的个人信息,避免被不法分子利用。
保护个人和机构的信息安全是我们每个人的责任。
通过采取密码安全、网络防火墙、反病毒软件、数据备份和社交网络隐私等安全防范措施,我们可以有效地提高信息安全的保障水平。
同时,我们也应不断关注安全技术的发展,并及时更新安全防范措施,以应对不断变化的网络安全威胁。
让我们共同努力,共建一个安全可靠的网络环境。
网络安全测试中的常见漏洞与防范措施
网络安全测试中的常见漏洞与防范措施网络安全测试是为了保障网络系统的安全性而进行的一项重要工作。
在进行网络安全测试的过程中,常常会发现各种各样的漏洞,而这些漏洞可能会成为黑客攻击的入口,给系统的安全带来严重威胁。
为了防范这些漏洞的攻击,必须采取相应的防范措施。
本文将就网络安全测试中的常见漏洞和防范措施进行探讨。
一、密码强度不够在网络安全测试中,密码强度不够是一个经常出现的漏洞。
许多用户在设置密码时,往往习惯使用简单的、容易被猜测到的密码,如生日、手机号码等。
这些弱密码容易被黑客利用暴力破解等方式获取,从而引发安全问题。
为了防范密码强度不够的漏洞,我们应该采取以下几个措施:1. 设置复杂密码:密码应该包含大小写字母、数字和特殊字符,并尽量避免使用与个人信息相关的内容。
2. 定期更换密码:密码应该定期更换,以减少被破解的可能性。
3. 多因素认证:除了密码,还可以采用指纹、人脸识别、短信验证码等多种认证方式来增强安全性。
二、软件漏洞软件漏洞是网络安全测试中另一个常见的问题。
软件开发过程中可能存在代码错误、缺陷或不完善的设计,这些都可能导致系统存在漏洞,被黑客利用来进行攻击。
为了防范软件漏洞,我们应该采取以下几个措施:1. 及时更新软件:开发者通常会修复旧版本的漏洞,所以我们应该及时更新软件以确保安全性。
2. 安装可靠的防病毒软件:防病毒软件能够及时检测和拦截恶意软件,减少系统受到攻击的可能性。
3. 定期进行安全审计:定期对系统进行安全审计和漏洞扫描,及时发现和修复潜在的漏洞。
三、弱点扫描中的漏洞在进行网络安全测试过程中,弱点扫描是一种常用的方法。
然而,在使用弱点扫描工具时,也会出现一些漏洞,例如:1. 漏洞扫描工具的限制:由于漏洞扫描工具的限制,有些漏洞可能无法被发现或被误报。
2. 对新威胁的敏感性不足:某些扫描工具可能无法及时识别新发现的威胁,导致系统处于脆弱状态。
为了弥补弱点扫描中的漏洞,我们应该:1. 使用多种不同的漏洞扫描工具:不同的工具可能会有不同的算法和规则,通过综合使用可以提高检测漏洞的准确性。
等保2.0高风险安全漏洞及安全问题识别与应对措施
网络设备存在风险
08
及对应措施
弱口令
风险
未采用多种鉴别技术可能使攻击者更容易地通过单一 的攻击手段获得访问权限。
措施
除了密码验证外,还可以采用其他身份验证方法,如智 能卡、生物识别技术等。此外,及时关注安全公告和漏 洞信息,及时更新和修补网络设备固件和软件,以防止 潜在的安全威胁。综上所述,对于网络设备存在的风险 ,需要采取相应的措施来加强安全防护。这些措施包括 但不限于加强密码管理、采用加密技术保护数据传输、 使用多种身份验证方法以及及时更新和修补网络设备软 件和固件。
在核心设备上开启热备功能,当 主设备故障时,备份设备可以自 动接管业务并保持数据一致性。
无日志审计
描述
根据系统的可用性要求,开启相关设备以保障系统的正常运行和业 务不中断。
建议
根据系统的可用性要求,开启核心设备的备份设备和冗余设计等。
示例
在核心设备上开启热备功能,当主设备故障时,备份设备可以自动 接管业务并保持数据一致性。
应用系统存在安全
09
风险及对应措施
访问控制缺失
描述
根据系统的可用性要求,开启相关设备以保障系 统的正常运行和业务不中断。
建议
根据系统的可用性要求,开启核心设备的备份设 备和冗余设计等。
示例
在核心设备上开启热备功能,当主设备故障时, 备份设备可以自动接管业务并保持数据一致性。
权限漏洞
01
02
03
3
对于远程用户访问网络资源,应该实施安全的远 程访问策略,例如虚拟专用网络(VPN)和远程 桌面协议(RDP)等。
冗余设计
对于关键网络设备,应该实施 冗余设计,例如双核心交换机
和负载均衡器等。
密码破解与防范的对策建议
密码破解与防范的对策建议在数字化时代,密码已经成为我们生活中不可或缺的一部分。
无论是手机、电脑、社交媒体还是银行账户,我们都需要使用密码来保护个人隐私和安全。
然而,密码破解已经成为黑客攻击的常见手段之一。
为了保护自己的信息安全,我们需要采取一些对策来避免密码被破解。
首先,选择强密码是至关重要的。
一个强密码应该包含字母、数字和特殊字符的组合,长度应该在8到16个字符之间。
避免使用常见的密码,如“123456”或者“password”。
此外,我们应该避免使用与个人信息相关的密码,如生日、姓名或电话号码。
为了记住这些复杂的密码,我们可以使用密码管理器来存储和管理密码。
其次,采用多因素认证是一种有效的密码防范措施。
多因素认证要求用户提供两个或多个不同类型的身份验证信息,如密码、指纹、面部识别或短信验证码。
这样即使黑客破解了一个因素,他们仍然无法获得完整的访问权限。
许多网站和应用程序已经提供了多因素认证选项,我们应该及时启用它们来增加账户的安全性。
此外,定期更改密码也是一个重要的防范措施。
我们应该定期检查并更改我们的密码,特别是对于重要的账户,如银行账户或电子邮箱。
密码的更改频率可以根据个人需求而定,但至少应该每三个月更改一次。
此外,我们还应该避免在多个账户上使用相同的密码,以防止一次密码泄露导致多个账户遭到攻击。
另外,警惕钓鱼网站和恶意软件也是保护密码安全的关键。
钓鱼网站是冒充合法网站的虚假网站,目的是诱骗用户输入他们的用户名和密码。
我们应该注意检查网站的网址是否正确,避免点击可疑的链接或下载未知来源的文件。
此外,我们应该定期更新我们的操作系统和安全软件,以防止恶意软件的攻击。
最后,教育和提高用户的密码安全意识也是至关重要的。
很多人在使用密码时没有意识到密码的重要性和安全性。
我们应该向用户提供有关密码安全的培训和指导,教他们如何选择强密码、避免常见的密码错误以及如何识别和应对钓鱼网站和恶意软件。
总之,密码破解已经成为我们数字化生活中的一个严重威胁。
涉密风险点及防控措施
涉密风险点及防控措施随着信息技术的快速发展和广泛应用,涉密信息的安全问题日益凸显。
在信息化时代,各种涉密风险点不断涌现,对国家安全和个人隐私带来严重威胁。
为了保障信息的安全,必须采取一系列的防控措施。
网络攻击是涉密风险点中最为突出的问题之一。
黑客通过网络渗透、恶意代码、网络钓鱼等手段,窃取、篡改、销毁涉密信息,给国家和个人造成了巨大损失。
为了防范网络攻击,必须建立健全的网络安全体系,包括加强网络防火墙的建设,及时更新补丁,完善安全策略和安全措施等。
同时,也要加强网络安全人才的培养,提高网络安全意识,加强网络安全法律法规的制定和执行。
物理安全也是涉密信息的重要防控点。
例如,未经授权的人员进入涉密场所、未经授权使用涉密设备、未经授权携带涉密文件等行为都会导致涉密信息的泄露风险。
因此,建立严格的门禁制度,加强对涉密场所的监控和巡逻,加强对涉密设备和文件的管理和控制,都是必要的防控措施。
此外,还需要加强对员工的安全教育和培训,提高他们的安全意识和责任意识。
第三,人为因素也是涉密风险的重要来源。
人们的疏忽大意、不当行为或者恶意篡改等行为都可能导致涉密信息的泄露。
为了防范人为因素带来的风险,需要加强对员工的培训和教育,提高他们的安全意识和保密意识。
同时,建立起一套完善的涉密信息管理制度,对员工的权限和操作进行严格的控制和监管,确保信息的安全。
第四,外部威胁也是涉密风险的重要因素。
与恶意攻击不同,外部威胁可能来自于竞争对手、间谍组织、恐怖分子等,他们可能通过各种手段获取涉密信息,威胁国家安全和个人隐私。
为了应对外部威胁,需要建立起一套完善的安全监测和预警机制,及时发现和应对威胁。
同时,加强与相关国家和组织的合作,共同打击外部威胁。
随着技术的发展,新的涉密风险点也在不断涌现。
例如,云计算、物联网等新技术的应用,给信息安全带来了新的挑战。
因此,要加强对新技术的研究和应用,及时发现并解决潜在的安全问题。
涉密风险点及防控措施是保障信息安全的关键。
计算机等级考试中常见的网络安全问题与解决方法
计算机等级考试中常见的网络安全问题与解决方法随着计算机技术的迅猛发展,网络安全问题日益突出,成为计算机等级考试中的重点考察内容。
对于考生而言,了解常见的网络安全问题以及相应的解决方法,不仅有助于备考,还能帮助保护个人和企业的信息安全。
本文将针对计算机等级考试中常见的网络安全问题,探讨相应的解决方法,提供有针对性的指导。
一、密码安全问题及解决方法密码安全问题是网络安全的基础性问题,也是计算机等级考试中常考的内容。
以下是一些常见的密码安全问题及解决方法:1. 密码强度不够弱密码是造成恶意攻击的一大因素。
考生需要了解密码强度评估标准,选择复杂、不易被猜测的密码,并定期更换密码,以提高账号的安全性。
2. 密码遗忘密码遗忘是一个常见的问题,尤其是考试过程中需要频繁换密码。
为了避免密码遗忘,建议考生采用密码管理工具,或者采用一些记忆方式,如关联记忆、提取关键信息等。
3. 密码泄露密码泄露可能导致个人信息被盗,进而引发更大的安全问题。
为了避免密码泄露,考生要保持警惕,不轻易泄露密码,也不要将密码写在容易被他人找到的地方。
二、网络钓鱼及恶意软件问题及解决方法网络钓鱼和恶意软件是网络安全中常见的问题,考生需要了解网络钓鱼和恶意软件的特点,并掌握相关的解决方法。
1. 网络钓鱼网络钓鱼通过伪装成合法的网站或服务来欺骗用户,获取其个人信息。
考生需要保持警觉,避免随意点击邮件或短信中的链接,尤其是涉及个人信息、财务信息的链接。
2. 恶意软件恶意软件包括计算机病毒、木马、间谍软件等,会对计算机系统造成严重的危害。
考生应保持操作系统和应用软件的及时更新,安装可信赖的杀毒软件,并定期进行全盘扫描。
三、网络隐私保护问题及解决方法网络隐私保护是网络安全的重要方面,也是计算机等级考试中的热点问题。
以下是一些常见的网络隐私保护问题及解决方法:1. 窃取个人隐私个人隐私泄露可能导致身份被盗用、个人信息暴露等问题。
为了保护个人隐私,考生应设置强密码、定期清理浏览器缓存、加强隐私意识并避免随意填写个人信息。
网络安全中常见的风险点及相应的控制措施
网络安全中常见的风险点及相应的控制措施1. 人为因素风险点- 不慎泄露密码:员工在共享计算机或公共场所输入密码时可能被人窥视或记录下来。
- 容易受到社会工程攻击:攻击者通过欺骗手段获取员工的敏感信息,例如通过伪装成合法机构发送钓鱼邮件。
控制措施- 强化密码保护:员工应定期更换密码,并避免使用弱密码。
同时,敏感系统可以采用双因素身份验证。
- 增强员工安全意识:通过培训和定期更新员工关于社会工程攻击的知识,使其能够识别和应对潜在的威胁。
2. 软件安全漏洞风险点- 未及时更新软件补丁:未安装最新的软件补丁可能会使系统容易受到已知漏洞的攻击。
控制措施- 及时更新软件:对操作系统、应用程序和网络设备进行定期升级,并安装最新的安全补丁。
3. 网络攻击风险点- 勒索软件攻击:黑客通过恶意软件加密文件,然后要求赎金以解密。
- DDoS攻击:黑客通过洪水攻击方式,使服务器超负荷运行,导致网络不可用。
控制措施- 定期备份数据:定期备份重要数据,并存放在离线环境中,以防止数据丢失或被勒索软件加密。
- 使用防火墙和入侵检测系统:配置防火墙和入侵检测系统来监控和阻断潜在的攻击。
4. 数据泄露风险点- 不当的数据处理:员工在处理敏感数据时可能出现失误,如发送给错误的收件人或意外删除数据。
- 未经授权的访问:黑客通过攻破系统安全措施获取敏感数据。
控制措施- 严格的数据处理政策:制定并执行明确的数据处理政策,包括数据备份、权限控制和审计日志。
- 数据加密和访问控制:对敏感数据进行加密,并采取访问控制措施,仅授权人员可访问。
以上是网络安全中常见的风险点及相应的控制措施,通过加强安全意识和采取相应的防护措施,能够有效减少网络安全风险的发生。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护测评过程中常见的静态密码风险及防护建议
作者:胡亚兰张艳
来源:《网络空间安全》2018年第04期
摘要:虽然身份鉴别技术随着信息科技的发展也在不断更新,但静态密码目前仍然是信息系统中常用的身份鉴别方式,尤其是信息系统建设方式的发展,也给信息系统中涉及的操作系统、网络设备、安全设备、应用软件等层面的静态口令带来新的风险。
文章梳理了等级保护测评过程中常见的静态密码风险,并针对各个风险提出了防护措施。
关键词:静态密码;信息系统;等级保护测评;信息安全
中图分类号:TP391 文献标识码:A
Abstract: Although identity technology is constantly updated with the development of information technology,However, static passwords are still commonly used in information systems.In particular, the development of information system construction methods also brings new risks to the static passwords involved in information systems such as operating systems, network devices, security devices, and application software. This paper reviews the common static passwords in the process of rating protection assessment. Risk, and put forward protective measures against each risk.
Key words: static password; information system; rating protection assessment;information security
1 引言
信息系统是一个复杂的系统,涉及主机操作系统、网络设备、安全设备、应用软件等多个环节。
与此同时,随着虚拟化技术、大数据以及移动互联网等信息技术的发展,信息系统也越来越复杂。
身份鉴别技术也在不断发展,如数字证书、指纹、智能钥匙、动态口令等,但不可否认的是,静态密码认证方式仍然是信息系统中最常用的一种身份鉴别手段。
《信息系统安全等级保护基本要求》 [1]以及代替此标准的《信息安全技术网络安全等级保护基本要求》(试行稿)都对身份鉴别信息具有“复杂度”“定期更换”“传输加密”“存储保密”的要求。
但测评过程中发现关于信息系统中密码的设置、使用和保存存在多种不同情况的风险。
本文分析了信息系统中常见的密码风险并提出了对应的防护建议。
2 信息系统中常见的静态密码风险
2.1网络设备和安全设备未修改默认密码
网络设备主要是交换机和路由器,安全设备主要包括防火墙、入侵检测设备、Web应用防火墙、入侵防御设备、抗DDoS设备等。
这些设备都是从生产厂商购置,也是生产厂商协助企业用户部署使用,在部署成功交付给企业信息安全主管部门后,产品的密码没有被修改,测评过程中发现有用户直接上互联网查询安全设备的默认用户名密码。
常见的如默认用户名superman、admin、admin、superadmin、root,默认密码talent、admin、admin、superadmin、root。
2.2 密码非明文保存和传输。
信息系统庞大,设备较多,运维人员为了方便运维直接把设备及其对应的IP地址、账号、密码保存在一个Execl表格中,甚至有运维人员把这种表格直接打印出来贴在自己的工位上,以及存在用QQ、微信或者电子邮件在不同的运维人员之间进行传递的行为。
2.3 使用弱密码或企业常用密码
运维人员为了方便记忆,将密码配置常见的几种密码,如123456、12345678、111111、888888、root、admin等;或者键盘相邻的密码组合,如123qwe、1234qwer、1qaz2wsx、
1qaz@WSX等;或者出生年月日组合,如19921227、19871019;或者名字生日组合,如
wlx1225、lx1008、maow0504等。
企业的常用密码,是各个企业内部为方便内部员工沟通合作,设置的公司默认密码,这种密码有可能长度和复杂度达到标准的要求,但是企业内部的员工都知道设备的密码是什么。
在测评过程中经常会遇到运维人员之间沟通时问对方密码是不是公司默认的。
2.4 信息系统建设以及应用开发外包交付后密码更改不及时
测评过程中发现很多信息系统的开发以及建设部署都是通过外包商来实现的,尤其是政府部门、学校和小型企业,测评过程中大部分都是信息系统的外包商负责对接测试,而信息系统的主管部门除了使用信息系统,对信息系统涉及的网络、主机、数据库一无所知,用于约束外包服务商行为的唯一途径就是服务协议中所涉及的保密条目。
测评中外包商因为管理的信息系统过多,大部分运维人员都是使用默认用户名密码,或者从电子表格中查询用户名密码。
3 静态密码防护建议
3.1 企业应树立密码安全意识
要充分认识到信息系统的安全不仅是系统开发者的责任,更是系统使用者的责任,而用户名和密码是信息系统的安全屏障。
不要把密码写在记录本上,不要把密码记录到明文的电子文档或电子邮件中,更不要把密码写在纸上粘贴在工位上。
企业应定制密码长度、复杂度、更换周期策略以及密码保护制度,并严格对该制度的执行情况进行监管,如由信息安全主管不定期抽查操作系统、网络设备、安全设备以及应用系统相关使用者的密码策略,并定制严格的惩罚措施。
3.2 设备运维人员应懂得强密码的设置方法
设备运维人员应严格根据企业定制的密码策略对所运维的设备密码进行配置,并定期更换密码。
但是随着信息系统的复杂化、庞大化,设备种类和数据都在增加,既要配置具有复杂度和长度的密码,又要每台设备密码各不相同,同时还需要运维人员牢牢记在脑袋里,对运维人员来说并不是一件简单的事情。
这种情况一时建议设备分类梳理后分配给多个不同角色的管理员进行维护,如服务器管理员、数据库管理员、网络设备管理员、安全设备管理员、应用管理员,如果服务器的数量较多再根据服务器的应用进行分类,再分设多个服务器管理员。
其次,运维人员在配置密码时要有一套自己的“加密方法”,即将密码赋予意义,方便自己记住,同时防止暴力破解,比如运维人员常用的密码是“1qaz@WSX”,这是一组8位且具有一定复杂度的密码,看似复杂,其实就是键盘相邻两列的字母,运维人员的“加密方法”是:主机名+常用密码+自己的名字首字母,那名叫张伟的运维人员所负责的一台名为yyuser1的主机的密码就为yyuser11qaz@WSXzw。
运维人员只要记住自己的“加密方法”即可。
3.3 外包商交付完成后及时更改密码
对于系统是外包商建设的信息系统,在系统交付时,信息系统主管部门应分派设备管理员及时接管信息系统涉及的所有设备的管理权限,并及时更改设备的密码。
3.4 建议部署强身份鉴别的堡垒机设备
如果企业具有购买堡垒机的能力,建议在信息系统中部署堡垒机设备,将信息系统所涉及的服务器、交换机、数据库、路由器等设备都添加到堡垒机资源列表中,同时在防火墙中配置访问控制策略,限制仅堡垒机的IP地址可以登录这些资源。
此外,在堡垒机中添加运维人员,并配置运维人员的访问权限,设置运维人员的强身份认证信息,如数字证书、动态令牌、指纹等。
3.5 开启登录失败处理、审计等辅助功能
开启设备的登录处理功能,防止暴力破解,同时开启用户身份鉴别过程的审计记录,对于登录成功和失败的事件进行审计记录。
服务器、运维终端、业务终端主机应安装杀毒软件并及时升级。
打开病毒监控并定期对主机进行全盘杀毒,以避免黑客软件的入侵和窃取密码。
4 结束语
信息系统的安全建设是一个庞大的系统工程,管理者必须从物理机房、硬件、软件、管理等多个方面考虑,本文从静态密码的防护方面提出了等级保护测评中常见的风险,并给出了整改建议,以保障信息系统的安全。
参考文献
[1] 标准编号(GB/T 22239-2008).信息安全技术信息系统安全等级保护基本要求[S].
作者简介:
胡亚兰(1987-),女,河南信阳人,助理研究员,工学硕士;主要研究方向和关注领域:信息安全及相关检测技术。
张艳(1981-),女,上海人,博士,研究员;主要研究方向和关注领域:信息安全及相关检测技术。