信创和密评背景下，建议用统一身份收敛“弱口令”问题

原创

nington 2024-08-22 10:18:36 博主文章分类：宁盾身份目录服务 ©著作权

©著作权归作者所有：来自51CTO博客作者nington的原创作品，请联系作者获取转载授权，否则将追究法律责任

近几年，“HW”、“信创”、“密评”成了各行业关注的热词。面对相关法律法规中的各种要求，市面上眼花缭乱的产品和方案，HW&信创&密评究竟如何做？应该关注哪些要点，有哪些误区？企业弱口令问题整改屡次不达标，本质上是缺少统一身份认证体系，再在此基础上进行安全增强。如此，才能事半功倍，实现HW、信创、密评合规。

政策背景

HW：攻防演练已开始，“两高一弱”专项整治行动也在紧锣密鼓地展开。两高即高危漏洞、高危端口，一弱指弱口令，其中弱口令问题作为重点治理项目。
信创：党政、央国企、金融等行业信创逐步拓宽到各行各业，IT 基础设施、软硬件等均需进行国产化改造。
密评：商用密码从功能上分为加密保护和安全认证，等保三级架构检测要求增加双重口令验证，等保四级机构对于口令的机密信息存储需要通过加密机进行运算，即统一身份认证系统需要和加密机进行联动。

解决思路

弱口令问题根源是账号口令无处不在，散落在不同设备和应用系统中，尤其是设备侧，无论是HW、信创改造还是等保密评，治理弱口令的本质在于实施身份集中统一认证管理，在此基础之上才能够实现口令安全策略，如设置口令强度及复杂度、定期修改口令规则（如90天）、增加二次动态口令认证、口令加密存储、访问权限管理等。

下面将从数据中心和办公网两个场景来剖析解决方案。

解决方案

1. 数据中心运维场景

数据中心运维场景主要对象是网络设备（交换机、路由器）、网络安全及运维管理软件、服务器等，常见现象是账号密码各自独立维护，定期改密制度难以有效执行。在HW&密评&关基中对身份鉴别、访问管理、定期改密、弱口令等都有相关要求。

访问管理基础的做法是增加运维堡垒机及跳板机，但无法解决以上账号口令散落问题。有效的解决办法是通过统一身份认证系统（如身份域管）将服务器及运维软件统一加域管理，增加 AAA 认证服务实现网络设备统一认证，最后将身份数据存在 LDAP 目录服务中，然后再施行自助改密、定期改密以及 OTP 动态口令二次认证等进阶方案。

客户故事

某国企全资子公司有多达1000台服务器，系统类型包含CentOS、Windows Server、openEuler、CTYunOS等，均通过堡垒机 SSH 登录。目前，堡垒机上存储了所有访问服务器的账号信息，若堡垒机被攻击，服务器账号信息都将被盗，安全隐患极大。该企业希望堡垒机只做跳板和录屏，不保存账号信息，服务器由第三方做统一接入认证管理，将登录门户与身份认证管理分离，并根据密评要求，要加强身份鉴别及执行定制改密机制。

宁盾方案：将所有服务器对接到宁盾身份域管，账号全部在宁盾域管上创建和维护，为其提供统一身份认证与管理。提供自助改密服务，并开启密码复杂度、密码强度、密码到期提醒等策略，以确保定期改密制度得以落实到位。同时，对接堡垒机启动双因子认证，使人员登录时必须通过动态口令二次认证，加强身份鉴别。

2. 办公网场景

当企业中有统一身份认证系统，如IBM TDS、Sun LDAP或微软AD，因信创原因需替换成国产身份目录服务。若企业内没有统一身份管理，则通过国产身份目录服务和双因子认证实现应用、网络（含云桌面、VPN）、桌面终端一体化管理。

客户故事

2.1 替换微软AD，同步IAM数据，接管应用、Win和信创电脑认证

某大型金融单位信创建设，采购了一批信创电脑、邮箱，但合规要求这些新增设备、应用无法对接微软AD，且该企业希望由自研的 IAM 系统账号作为主身份源，统一为既有设备、应用和新增的设备、应用做身份认证与权限管理。

宁盾方案：为该企业搭建国产身份域管，从 IAM 里同步数据，作为 Windows 及信创终端、应用系统、某厂桌管等的统一登录账号，认证则由宁盾域管进行。此外，提供 API 接口，支持与非标、自研系统的对接，并基于 SM3 国密算法，提供 OTP 动态口令二次认证服务。

2.2 新建身份目录，计算机加域管理，接管网络和邮箱认证

某金融集团当前未搭建任何 LDAP 服务，因业务场景有加域管理需求，但因信创及合规要求，不能使用微软AD。当前，该集团有大量Windows、macOS、Linux系统的计算机均为本地自建账号，需进行加域管理；内网接入需执行身份安全认证；国产邮箱也将由国产 LDAP 接管。

宁盾方案：搭建宁盾身份域管，作为全部 IT 资源的主身份认证源，身份数据与 OA 系统保持一致。将所有类型计算机加域做统一身份认证，并结合准入控制系统提升终端安全基线。身份域管除接管计算机统一认证外，还对接网络、邮箱，做认证和审计。

以上是宁盾在HW/信创/密评场景中遇到的客户需求与提供的对应解决方案。无论是HW还是信创、密评要求，在实际落地中，关键所在是要做好统一身份认证体系的搭建，再围绕法律法规要求着手进行身份鉴别、访问控制、商用密码、弱口令等方面的安全治理。该思路自下而上，层层递进，不仅有助于企业顺利过HW/信创/密评，对于企业日后快速扩张、业务敏捷也大有裨益。