针对关键基础设施及业务系统，“弱口令”安全治理刻不容缓

针对关键基础设施及业务系统，“弱口令”安全治理刻不容缓 – 作者:宁盾nington

习主席在全国网络安全和信息化工作会议上更是着重指出“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”网络安全已成为国家发展、社会稳定、经济民生、国家安全的重要支撑能力。

当前国家也在做数字化转型，新基建、人工智能、云计算、大数据、物联网、移动化等新技术不断涌现，资产从传统物理资产向数字资产转变。

互联网时代，随着人类生活水平的提升，随之而来的安全问题，也以全新的面貌出现在我们面前。个人信息泄露、商业机密泄漏、国家重要信息遭到攻击等各类网络安全事件层出不穷。

弱口令引发的网络安全事件占70%以上，且态势日益加剧

账号口令被认为是网络安全的第一道防线，尽管身份认证技术在不断演进，但企业的账号口令不会消失。同时发现在众多攻击手段中，利用弱口令攻击的占比高达70%。根据2019年的专项调研数据，100%的组织都存在不同程度的弱口令，单个系统的弱口令数量在10～20个，意味着无论我们在安全防护上投入了多大的人力物力，攻击者都可能通过弱口令进行攻击。

2017年，某企业邮件服务器被攻击致敏感客户数据泄露，黑客通过一个“管理员账户”破坏了该企业全球邮件服务器，从理论上讲，黑客因此被授予特权而能无限制地“访问整个邮件系统”，该管理账户只需要一个密码，且无需二次验证。

2020年7月，国内多家安全厂商检测数万台MSSQL服务器遭爆破入侵，已沦为门罗币矿机，该挖矿木马主要针对MSSQL服务进行爆破弱口令攻击，爆破成功后会植入门罗币挖矿木马进行挖矿。

针对弱口令认证的攻击面正在扩大：持续泄漏的账号口令导致暗网密码库愈加庞大；越来越开放的网络环境降低了边界防护的防御能力，疫情催生远程移动办公渐成常态，以及大量IoT设备的极速涌入，无不加剧互联互通的网络中用户及终端身份安全的管理难度。

因此从业务角度来看，如何体系化解决弱口令及身份安全问题，势在必行。

国家法律法规针对特殊场景弱口令有明确治理要求

如《密码法》、《网络安全法》《等保2.0》都对弱口令治理有明确要求，其中在《网络安全等级保护基本要求》中，要求三级等保以上机构，采用多重验证有明确要求，具体如下：

BG/T 22239-2019《信息安全技术网络安全等级保护基本要求》关于“第三/四级安全要求身份鉴别”要求：应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现；

GB/T 20281-2020《信息安全技术防火墙安全技术要求和测试评价方法》关于“身份标识与鉴别”要求：应授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别；

GB/T 20272-2019《信息安全技术操作系统安全技术要求》关于“用户鉴别功能”要求：采用强化管理的口令鉴别/基于令牌的动态口令鉴别等机制，并在每次用户登录系统时和系统重新连接时进行鉴别；

GB/T 37950-2019《信息安全技术桌面云安全技术要求》关于“身份鉴别增强要求”要求桌面云：应支持第三方身份鉴别方案。

弱口令的攻击对象

#远程办公

尤其针对VPN、虚拟化桌面等场景，数字证书无法使用，静态口令设置为极为简单的纯数字或者纯字母的组合，这种弱口令存在极大的安全风险，未来远程也将变成趋势。

#关键基础设施

包括数据中心、云、接入网中存在网络设备(交换机、路由器)、安全设备、服务器、VPN、运维堡垒机、中间件、数据库等存在大量弱口令问题，一旦破解，容易造成网络瘫痪以及系统遭受攻击。

#系统关键用户

各业务系统的管理账号往往在所属的业务部门，此类用户拥有较大权限，往往涉及敏感数据(如 GIS 数据、财务数据等)。作为各类基础网络及应用系统运维人员，掌握着最基础的网络配置及应用系统设置功能，有部分运维专业人员的工作账户口令却设置得非常薄弱。