2019年5月13日,国家标准新闻发布会正式发布网络安全等级保护制度2.0标准(以下简称“等保2.0”),新标准将于2019年12月1日开始实施,这意味着“等保2.0”时代从国家合规层面正式拉开了帷幕。
本次新标准共修订了《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》和《信息安全技术网络安全等级保护安全设计技术要求》等三个网络安全领域的国家标准。
在公安部举行的新闻发布会上,公安部信息安全等级标准相关制定人员介绍,安全设计技术要求主要从用户身份鉴别、访问控制、安全审计、用户数据完整性和保密性保护、客体安全重用、可信验证、配置可信性检查、入侵检测和恶意代码防范等方面提出要求。其中,在8个控制点中的要求项中,“等保2.0”密码的新标准相较“等保1.0”更加细致和明确,包括密码认证方式、密码技术、密码国家及行业标准等方面明确了严格的测评标准。
综合以上8个控制点的新规定来看,公安部把密码认证排在重要位置,并做了更深的细化。比如在8.1.4中,安全计算环境包括重要的核心设备,操作系统等,例如邮件服务器,数据库服务器,防火墙,路由器,交换机及应用系统,如果仅使用账户/口令进行身份认证,削弱了管理员账户的安全性,无法避免账号的非授权窃取和非法使用,可判为高风险,影响3级及以上系统的检查通过。
针对面向主机、网络设备等细化要求,如何整合堡垒机实现Windows、Linux主机、VPN及交换等网络设备等双因子认证,及内置Radius、LDAP支持,通过多种认证方式自由组合双重因素认证,全面覆盖安全认证场景需求,是一个新的技术挑战。
如上所述,我们走访了业界领先的身份认证厂商北京九州云腾科技有限公司的董事长尚红林先生,他表示,架设专业的2FA(2 Factor Authentication)服务器统一管理企业的双因子认证需求,即组合两种不同因素认证方式对身份进行鉴别,是合规的必要手段。
双因子认证解决方案
在网络环境中,单独架设双因子服务器,在对既有投资最大限度保护的情况下,通过两种不同的认证方式对企业主机设备、网络设备、安全设备的安全认证进行场景覆盖。满足二次鉴别合规要求,增强用户身份安全保护,有效解决身份鉴别存在的安全隐患,并支持硬Key和国密SM3算法、保障密码技术和产品符合国家标准和行业标准。
主机(Host)中,需要安装插件,这样,无论从网络何处发起,即使网线直接连接控制台,也会被强制使用双因子。
总之,双因子认证提供两种不同因素组合的认证方式,助力政企满足所在行业对身份安全二次鉴别的合规要求,保障密码技术和产品符合国家标准和行业标准,从而帮助更多的用户落地“等保2.0“。