在实际测评工作中,我们会遇到有些单位拥有数量众多的硬件设备(如网络互联设备、安全设备和服务器等),他们多采用堡垒机对这些设备进行统一运维管理。大多数情况下,通过将设备的账户口令管理托管到堡垒机,管理员不再需要手工登录每台设备,并一一对口令长度、复杂度、更换周期策略等安全参数进行配置。那么这种场景下,该如何判定这些账号口令的安全符合性?
1.分析依据
口令安全相关标准条款,如黑体字所示:
(1)GB/T 22239—2019
《信息安全 网络安全等级保护基本要求》(GB/T 22239—2019)的第二级安全要求中,安全计算环境的身份鉴别控制点要求:“应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。”
(2)GB/T 28448—2019
《信息安全 网络安全等级保护测评要求》(GB/T 28448—2019)中对身份鉴别控制点的测评实施提出如下要求:
1)应核查用户在登录时是否采用了身份鉴别措施;
2)应核查用户列表确认用户身份标识是否具有唯一性;
3)应核查用户配置信息是否不存在空口令用户;
4)应核查用户鉴别信息是否具有复杂度要求并定期更换。
单元判定:如果1)-4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
2.场景描述
对于第二级的等级保护对象来说,当采用口令作为用户账号的鉴别信息时,为有效对抗用户假冒风险,口令必须具有一定的复杂度(如最小长度为8位,包含大小写字母、数字和特殊符号等元素,每种元素个数1~2位),并定期更换(如口令周期为90天左右)。
与手工登录设备并设置口令安全参数相比,堡垒机提供了一种简单便捷的口令安全策略管理实现方式。以服务器管理为例,管理过程如下:
(1)安装堡垒机代理。账号口令纳管前,需要在被管理服务器上安装堡垒机代理,以保持堡垒机与服务器之间的管理通道。
(2)创建安全管理策略。管理员登录堡垒机,根据合规要求创建统一的口令安全管理策略(包含口令长度、复杂度、记忆次数、更换周期等)。
(3)初次纳管。管理员将需要纳管的服务器账户信息添加到堡垒机中,并运行口令更改功能首次触发安全管理策略。堡垒机根据安全管理策略自动生成一个满足标准要求的口令,并通过agent下发到服务器上完成账号口令更改。
(4)周期性管理。当堡垒机完成初次纳管后,即意味着对服务器账户纳管成功。随后,程序将根据口令的更换周期策略自动触发执行,从而实现对账户口令的周期性管理。
需要注意的是,如果服务器上存在未被堡垒机纳管的账户,那么堡垒机的口令安全管理策略将对这些账户不起作用。
3.威胁分析
与直接手工管理方式相比,由于堡垒机统一运维管理场景下的口令安全管理策略只能针对纳管账号生效,因此还需要重点关注新创建账号不能有效纳管的安全威胁。
4.符合性分析与判定
基于以上场景和威胁分析,对于采用堡垒机统一运维管理场景下,被测设备账户口令的安全性判定思路和测评方法如下:
判定思路:以被测设备全部账户口令的安全策略是否满足标准要求为符合性判定依据。
测评步骤:
(1)核查堡垒机配置的纳管账号口令管理安全策略是否满足长度、复杂度要求并定期更换的标准要求。
(2)核查上述安全策略是否有效执行。通常情况下,该项可以通过查看堡垒机日志记录来确认安全策略是否成功下发并执行。
(3)核查被管理设备中新创建的用户账号是否可以成功纳管。
如果(1)-(3)均为肯定,则被管理设备的账号口令安全性符合标准要求;反之,则为不符合(如纳管账户可以创建新账号,且口令允许设置为弱口令;或者缺少必要的账号纳管流程和监测机制来确保被管理设备上新创建的新账号被有效纳管)。
作者:公安部信息安全等级保护评估中心 连众卫