解决方案 / 运维安全 / IT运维弱口令

———— 運(yun)維安全(quan) — IT運維弱口令 ————

方案背景: 弱口令(ling)作為(wei)(wei)一(yi)個“老大難”問題，一(yi)直(zhi)困擾(rao)著IT系(xi)統的(de)(de)運維(wei)人(ren)員，因為(wei)(wei)弱口令(ling)是(shi)最容(rong)(rong)易(yi)出(chu)現的(de)(de)也(ye)是(shi)最容(rong)(rong)易(yi)被利用(yong)(yong)的(de)(de)漏洞之一(yi)。從好萊塢明星(xing)的(de)(de)“艷照門”事件(jian)到海(hai)康威視(shi)“安(an)全門”事件(jian)，都是(shi)因為(wei)(wei)弱口令(ling)問題被黑客加以利用(yong)(yong)而導致大量隱(yin)私泄露。能源行業(ye)(ye)和中(zhong)央直(zhi)屬企業(ye)(ye)的(de)(de)信(xin)息安(an)全建(jian)設過程中(zhong)，弱口令(ling)也(ye)一(yi)直(zhi)是(shi)合(he)規檢(jian)查首(shou)當其沖的(de)(de)檢(jian)查點。電(dian)力行業(ye)(ye)在公安(an)部(bu)等級(ji)保護標準(zhun)的(de)(de)基礎上制定的(de)(de)《電(dian)力行業(ye)(ye)等級(ji)保護標準(zhun)》中(zhong)明確提出(chu)了對口令(ling)的(de)(de)要求(qiu)，中(zhong)石(shi)油、中(zhong)石(shi)化、中(zhong)海(hai)油等能源巨頭也(ye)在日常的(de)(de)考核(he)工作中(zhong)也(ye)對弱口令(ling)的(de)(de)發(fa)現及整改提出(chu)了嚴格(ge)的(de)(de)要求(qiu)及考核(he)措施。

用戶風險: 所謂弱口令就是非常簡單的密碼，比如“admin、123456、888888”等等。這類密碼因為很方便記憶，所以被大量使用，但是也非常容易讓他人猜測到，更容易被黑客暴力破解。口令就相當于進入家門的鑰匙，當他人有一把可以進入你家的鑰匙，想想你的安全、你的財物、你的隱私......害怕了吧。因為弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像把家門鑰匙放在家門口的墊子下面，是非常危險的。
2018年(nian)10月21日造成互聯(lian)(lian)網大面(mian)積掉線(xian)的(de)(de)DDoS攻擊，至(zhi)少有(you)(you)部分是因IoT設備上未修改的(de)(de)默(mo)認口令被黑客利用而發起的(de)(de)。別覺(jue)得自(zi)己能幸免，有(you)(you)多少用戶用的(de)(de)是簡(jian)單、常見、過時(shi)的(de)(de)口令？就像(xiang)前面(mian)說過的(de)(de)助力DDoS攻擊的(de)(de)那些(xie)路由器，這讓黑客們的(de)(de)工作(zuo)變得十(shi)分容易。弱口令依然一(yi)統江(jiang)湖(hu)的(de)(de)時(shi)候，網絡安全(quan)人員面(mian)對關鍵(jian)基礎設施、聯(lian)(lian)網系統和(he)遠程訪問系統及設備防護任務簡(jian)直一(yi)籌莫展。

需求分析: 弱口令(ling)的(de)(de)(de)(de)成因(yin)無非就是(shi)源于運維人(ren)員(yuan)的(de)(de)(de)(de)惰(duo)性(xing)。每個企(qi)業的(de)(de)(de)(de)運維人(ren)員(yuan)要負責多(duo)達幾(ji)百臺的(de)(de)(de)(de)應用(yong)系統服務器。無論從什么(me)角度來(lai)看，忘記(ji)密(mi)碼造成的(de)(de)(de)(de)麻煩甚(shen)至(zhi)是(shi)損失都是(shi)不小的(de)(de)(de)(de)，因(yin)此許多(duo)用(yong)戶(hu)會選擇使用(yong)簡單(dan)好記(ji)的(de)(de)(de)(de)密(mi)碼。有時候甚(shen)至(zhi)可能是(shi)身份的(de)(de)(de)(de)相(xiang)關信息，這(zhe)里就涉及(ji)到(dao)了(le)用(yong)戶(hu)的(de)(de)(de)(de)信息安全。如(ru)果要保護口令(ling)的(de)(de)(de)(de)安全，就需保護用(yong)戶(hu)的(de)(de)(de)(de)信息安全。這(zhe)里波及(ji)的(de)(de)(de)(de)面更廣，拿到(dao)了(le)用(yong)戶(hu)信息甚(shen)至(zhi)有可能拿到(dao)用(yong)戶(hu)的(de)(de)(de)(de)財(cai)務信息，包括銀行(xing)卡密(mi)碼。

圣博潤-基于堡壘機的運維側弱口令解決方案: 基于企(qi)業中操(cao)作系(xi)統、網絡設備、數據庫等(deng)的(de)弱(ruo)口令問題，圣博(bo)潤提出(chu)基于堡壘機的(de)主(zhu)從賬號集中管理(li)、主(zhu)從賬號強身份認證(zheng)解決方案。; ● 主賬號強密碼策略+動態認證; 采用“靜態密碼”+“動態認證”的方式來解決終端的弱口令問題，支持UsbKey、AD、手機動態令牌、短信、Raidius、CA（自主CA或與格爾、飛天、北京CA、總參56、龍脈等主流認證廠商結合）等認證方式。
建(jian)立基于唯一身份標識的(de)全局實名制管(guan)理(li)，支持統一賬(zhang)號管(guan)理(li)策(ce)略，實現與各服(fu)務器(qi)(qi)、網絡設(she)備(bei)、安全設(she)備(bei)、數(shu)據(ju)庫(ku)服(fu)務器(qi)(qi)等無(wu)縫連接。; ● 從賬號“公私鑰認證”; 私(si)鑰由堡壘(lei)機保管，無(wu)需密碼登(deng)錄目標服務器，有效避免運維(wei)人(ren)員(yuan)繞過堡壘(lei)機訪問服務器以及運維(wei)人(ren)員(yuan)自己設置口令帶來(lai)的弱口令風險。

方案優勢: ● 強大的改密驅動
至少支持windows系統、linux/unix系統、網絡設備、數據庫等設備賬號的口令修改。更為廣泛的賬號改密驅動，在被管理資源類型豐富復雜時有更強的適應性。
● 更高的口令安全性; 提供統一界面，對用戶、用戶組、資源、資源組進行關聯授權，結合精細的安全授權策略，實現運維權限的細粒度分配，最大限度保護IT資源的安全。依托“保密測評”要求中的密碼策略復雜度產作為默認策略生成口令；可自定義口令變更周期和口令強度，口令變更方式至少支持手動指定固定口令、通過密碼表生成口令、依照設備掛載的口令策略生成隨機口令、依照密碼策略生成同一口令等方式。
產生的(de)口(kou)令(ling)/私(si)鑰使(shi)用國密算法（不(bu)可(ke)逆）記性數據加密存儲到數據庫中，登錄目標設備(bei)時運維人員不(bu)需(xu)要獲(huo)(huo)取(qu)密碼，登錄過程采用加密協議進(jin)行連接、通訊；需(xu)要獲(huo)(huo)取(qu)口(kou)令(ling)時，由2個(ge)管(guan)理員分(fen)別獲(huo)(huo)取(qu)密碼包和解(jie)密密鑰分(fen)，并使(shi)用專(zhuan)用的(de)解(jie)密器才可(ke)打(da)開。

運維安全