随着信息化进程的发展,企业不断更新、升级网络,网络设施复杂多样,大型、异构的网络环境难以对用户行为进行统一控制和审计。其中在对网络基础设施构成的安全风险调查中,由不安全的身份认证及混乱的授权、审计现状事故占企业内部安全风险的80%。对此《网络安全法》提出,国家实行网络安全等级保护制度,以帮助企业、政府机关合理地规避或降低风险。等保涉及范围包括:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。关于网络设备防护及及主机(服务器)身份鉴别的等级保护需求,宁盾提供动态口令加固及网络设备AAA(Authentication:认证、Authorization:授权、Accounting:审计)管理解决方案。
三级等保之网络设备防护及主机身份鉴别安全需求及产品方案
| 类别 | 等级保护安全需求 | 宁盾等级保护安全建设方案 |
|---|---|---|
| 网络设备防护 | 应对登录网络设备的用户进行身份鉴别(G2) | 网络设备动态口令加固方案: 1、 增强用户身份的唯一性; 2、 只允许权限内用户登录; 3、 在账号密码的基础上增加动态口令进行安全加固; 4、 动态口令每隔30/60s变化一次,不可追溯; 5、 限制登录次数及非法登录告警; 6、 基于角色的访问控制管理; 7、 认证登录审计; 8、其他; |
| 应对网络设备的管理员登录地址进行限制。(G2) | ||
| 网络设备用户的标识应唯一。(G2) | ||
| 主要网络设备应对统一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。(G3) | ||
| 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。(G2) | ||
| 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。(G2) | ||
| 当对网络设备进行管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。(G2) | SSH远程登录; | |
| 应实现设备特权用户的权限分离。(G3) | 网络设备AAA管理方案: 1、 兼容多品牌、多类型网络设备; 2、 基于用户角色划分登录权限; 3、 基于品牌、类型、操作级别粗粒度划分权限; 4、 基于可操作命令细粒度权限划分。 5、 操作审计及其他; | |
| 主机身份鉴别 | 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。(G2) | 同网络设备动态口令安全加固方案。 |
| 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令有复杂度要求并定期更换。(G2) | ||
| 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。(G2) | ||
| 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。(G2) | ||
| 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。(G2) | ||
| 应采用两种或两种以上组合鉴别技术对管理用户进行身份鉴别。(G3) |
方案一、网络设备AAA管理解决方案
大型、异构网络环境共存,各厂商设备之间品牌兼容性较差,各设备之间独立管控,分散的多点管理方式难以实现统一授权及审计;再加上弱密码、账号共享等弱身份认证因素,皆为非法操作者留有可乘之机。导致身份越权或假冒的非授权使用问题给企业造成重大混乱和损失。宁盾网络设备AAA采用Tacacs+协议,是集认证、授权、审计于一体的网络设备综合运维管理平台。兼容cisco、华为、H3C等不同品牌网络设备,搭配宁盾双因素认证产品,为企业运维人员提供一体化动态口令强身份认证、细力度授权用户可操作权限及业务场景、实时审计用户操作行为等,帮助企业解决三级等保网络设备安全防护问题。
网络设备AAA产品对比
| 对比项 | 堡垒机AAA管理 | 设备厂商AAA管理 | 宁盾网络设备AAA管理 |
|---|---|---|---|
| 用户操作体验 | 授权功能不足 | 界面操作复杂 | 操作便捷,模块化程度高 |
| 品牌兼容性 | 高 | 低,只适用于自家网络设备 | 高,兼容不同厂商品牌(cisco、华为、H3C、锐捷、博达等)设备 |
| 是否支持双因素账号保护 | 否 | 否 | 支持 |
| 授权等级划分 | 初级授权,限制用户登录权限 | 高级授权,授权粒度至设备类型及操作命令 | 高级授权,授权粒度至用户角色、设备品牌、设备类型、设备级别、操作命令 |
| 审计方式及直观程度 | 视频审计,前后操作审计不直观 | 报表审计,审计直观,细节丰富 | 报表审计,审计直观,谁在什么时间什么设备上操作了什么命令一目了然 |
| 审计占用空间 | 占用空间较大 | 占用空间少 | 占用空间少 |
| 业务细分控制能力 | 仅限于用户认证 | 仅限于自家产品 | 基于角色和场景进行细粒度权限划分,实现异构兼容统一管理 |
对比当前网络设备AAA产品,宁盾在品牌兼容性、双因素一体化认证、业务细分控制能力表现出色,具体表现为:
1、 网络设备异构兼容:兼容国内/外主流品牌不同类型网络设备(cisco、华为、H3C、Hillstone、Aruba等所有支持Tacacs+协议的设备);
2、 动态口令加固认证:在账号密码的基础上增加动态密码,建立用户唯一身份认证标识;(详情见于方案二)
3、 细粒度授权等级:基于角色及业务场景进行细粒度授权,明确用户(用户组)执行的命令或命令集;如下图:如下图:三级授权逐渐深入细化:
a) 基于用户源、用户组、用户角色完成可访问设备的用户的一级授权;
b) 根据用户可操作的设备、设备级别进行二级授权,cisco支持(1~15级)、H3C(1~15级)、华为(1~15级)、 Aruba(命令级权限);
c) 三级授权用户在某设备(设备组)级别上可做操作的命令。(支持自定义命令集)
4、 详细的报表审计日志:审计追溯用户名、时间、终端、设备、命令及结果,方便运维人员及时查看并排除操作故障。
5、 业务细分控制能力:异构兼容多品牌设备,根据业务场景自定义用户角色、用户组、设备组、操作命令集及可操作的命令及参数。完成什么人在什么设备上可操作什么命令。为企业运维人员提供统一认证、授权及审计服务。
方案二、动态口令安全加固方案
在账号密码的基础上增加动态密码,形成账号密码动态加固。宁盾动态密码由令牌生成器根据国家密码局(SM3算法)生成,每隔30/60s变化一次,一旦使用立即失效,不可追溯,为用户建立唯一身份认证凭据。满足三级等保网络设备及主机身份鉴别服务,提升账号及身份安全:
• 建立身份唯一识别标识,实现多场景统一身份认证;
• 避免账号密码增加、删除、密码记忆难、僵尸账号等对应用场景的影响;
• 避免账号密码共享,增强账号登录审计,即使把验证码给别人使用,本人也有不可推卸的责任;
• 降低账号密码泄漏及弱密码对核心业务的影响,即使账号密码无意泄漏,在没有动态密码的情况下也无法登录。
1、网络设备动态加固:
兼容cisco、华为、H3C、锐捷、博达等异构交换、路由网络设备,兼容AD、LDAP、PoP3等多账号源。在账号密码的基础上增加动态密码,为大型异构网络环境提供统一身份认证及动态密码加固服务。
2、主机(服务器)动态加固:
兼容windows、linux(Ubuntu、CentOS)、Unix服务器,为每个用户绑定动态令牌,确保只有权限内的用户才可使用。
3、宁盾动态口令特性
· 统一身份认证:兼容VPN、虚拟化、网络设备、服务器(云)、数据库、OWA、sharepoint、网络认证、单点登录等多应用场景,为用户提供一体化安全认证平台;
· 令牌开放性:提供手机令牌、硬件令牌、短信令牌;与企业微信即成H5令牌,省略令牌派发及绑定;兼容第三方令牌(RSA SecurID、Google Authenticator等),为企业提供过渡式解决方案;
· 令牌自动化及运维管理成本:支持令牌批量派发、增量派发,并支持用户短信、邮件及自服务激活,另外账号创建的同时自动绑定令牌极大降低运维管理成本。
· 多策略权限访问管理:提供基于用户源、用户组、角色、动态密码前缀、终端类型、认证协议等多策略管理方式,确保只有权限内用户才可访问;
· 认证审计:基于用户名、用户IP、终端隧道IP、登录设备、令牌序列号、流量统计、登录登出时间等提供严格审计。
· 高可靠:主备双机或一主多高可靠部署方案及容灾能力帮助客户解决多IDC横向扩展问题;
等级保护测评的目的在于帮助企业合理地规避或降低风险,面对日益增多的网络安全事件,企业需要看护好网络安全的每一个关口。宁盾双因素认证及网络设备AAA帮您解决多场景用户身份鉴别及异构网络设备统一授权及审计问题。中国银行、浦发银行、南方电网、浙江电网都在使用宁盾三级等保解决方案。
来源:freebuf.com 2018-11-09 17:50:48 by: 宁盾nington
请登录后发表评论
注册