高风险判定指引：判例内容及其建议（技术部分4，1/3）

第4部分内容较多，分3节发布，这是第1节。

4/安全计算环境/身份鉴别

6.4.1.1设备存在弱口令或相同口令

本判例包括以下内容：

a）标准要求：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

b）适用范围：二级及以上系统。

c）判例场景（任意）：

1）网络设备、安全设备、主机设备（包括操作系统、数据库等）存在可登录的弱口令账户（包括空口令、无身份鉴别机制）；

2）大量设备管理员账户口令相同，单台设备口令被破解将导致大量设备被控制。

d）补偿因素：对于因业务场景需要，使用无法设置口令或口令强度达不到要求的专用设备，可从设备登录方式、物理访问控制、访问权限、其他技术防护措施、相关管理制度落实等角度进行综合风险分析，根据分析结果，酌情判定风险等级。

建议删除或修改账户口令，重命名默认账户，制定相关管理制度，规范口令的最小长度、复杂度与生命周期，并根据管理制度要求，合理配置账户口令复杂度和定期更换策略；此外，建议为不同设备配备不同的口令，避免一台设备口令被破解影响所有设备安全。

 

4/安全计算环境/身份鉴别

6.4.2.1应用系统口令策略缺失

本判例包括以下内容：

a）标准要求：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

b）适用范围：二级及以上系统。

c）判例场景：应用系统无用户口令长度、复杂度校验机制，例如可设置6位以下，单个、相同、连续数字、字母或字符等易猜测的口令。

d）补偿因素：

1）应用系统采取多种身份鉴别、访问地址限制等技术措施，获得的口令无法直接登录应用系统，可根据实际措施效果，酌情判定风险等级；

2）对于仅内网访问的内部管理系统，可从内网管控、人员管控、实际用户口令质量等角度进行综合风险分析，根据分析结果，酌情判定风险等级；

3）对于部分专用软件、老旧系统等无法添加口令复杂度校验功能的情况，可从登录管控措施、实际用户口令质量、口令更换频率等角度进行综合风险分析，根据分析结果，酌情判定风险等级；

4）对于特定应用场景中的口令，例如PIN码、电话银行系统查询口令等，可从行业要求、行业特点等角度进行综合风险分析，根据分析结果，酌情判定风险等级。

建议应用系统对用户口令长度、复杂度进行校验，如要求用户口令长度至少为8位，由数字、字母或特殊字符中的2种组成；对于PIN码等特殊用途的口令，应设置弱口令库，通过对比方式，提高用户口令质量。

4/安全计算环境/身份鉴别

6.4.2.2应用系统存在弱口令

本判例包括以下内容：

a）标准要求：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

b）适用范围：二级及以上系统。

c）判例场景：通过渗透测试或使用常用口令尝试登录，发现应用系统中存在可被登录的空口令、弱口令账户。

d）补偿因素：

1）对于互联网前端系统的注册用户存在弱口令的情况，可从对单个用户、整个应用系统所可能造成的影响等角度进行综合风险分析，根据分析结果，酌情判定风险等级；

2）对于因业务场景需要，无身份鉴别功能或口令强度达不到要求的应用系统，可从登录方式、物理访问控制、访问权限、其他技术防护措施、相关管理制度落实等角度进行综合风险分析，根据分析结果，酌情判定风险等级。

建议应用系统通过口令长度、复杂度校验、常用或弱口令库比对等方式，提高应用系统口令质量。

 

4/安全计算环境/身份鉴别

6.4.2.3应用系统口令暴力破解防范机制缺失

本判例包括以下内容：

a）标准要求：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

b）适用范围：二级及以上系统。

c）判例场景：通过互联网登录的应用系统登录模块未提供有效的口令暴力破解防范机制。

d）补偿因素：

1）应用系统采取多种身份鉴别、访问地址限制等技术措施，获得口令无法直接登录应用系统，可根据实际措施效果，酌情判定风险等级；

2）对于互联网前端系统的注册用户，可从登录后用户获得的业务功能、账户被盗后造成的影响程度等角度进行综合风险分析，根据分析结果，酌情判定风险等级；涉及资金交易、个人隐私、信息发布、重要业务操作等的前端系统，不宜降低风险等级；

3）对于无法添加登录失败处理功能的应用系统，可从登录地址、登录终端限制等角度进行综合风险分析，根据分析结果，酌情判定风险等级。

建议应用系统提供登录失败处理功能（如账户或登录地址锁定等），防止攻击者进行口令暴力破解。

 

4/安全计算环境/身份鉴别

6.4.1.2设备鉴别信息防窃听措施缺失

本判例包括以下内容：

a）标准要求：当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

b）适用范围：二级及以上系统。

c）判例场景（所有）：

1）网络设备、安全设备、主机设备（包括操作系统、数据库等）的鉴别信息以明文方式在不可控网络环境中传输；

2）未采取多种身份鉴别技术、限定管理地址等技术措施，鉴别信息被截获后可成功登录设备。

d）补偿因素：对于设备提供加密、非加密两种管理模式，且其非加密通道无法关闭的情况，可从日常运维使用等角度进行综合风险分析，根据分析结果，酌情判定风险等级。

建议尽可能避免通过不可控网络环境对网络设备、安全设备、操作系统、数据库等进行远程管理。如确有需要，则建议采取措施或使用加密机制（如VPN加密通道，开启SSH、HTTPS协议等），防止鉴别信息在网络传输过程中被窃听。

 

4/安全计算环境/身份鉴别

6.4.2.4应用系统鉴别信息明文传输

本判例包括以下内容：

a）标准要求：当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

b）适用范围：二级及以上系统。

c）判例场景：应用系统的用户鉴别信息以明文方式在不可控网络环境中传输。

d）补偿因素：应用系统采取多种身份鉴别、访问地址限制等技术措施，获得口令无法直接登录应用系统，可根据实际措施效果，酌情判定风险等级。

互联网可访问的应用系统，建议用户身份鉴别信息采用加密方式传输，防止鉴别信息在网络传输过程中被窃听。

 

4/安全计算环境/身份鉴别

6.4.1.3设备未采用多种身份鉴别技术

本判例包括以下内容：

a）标准要求：应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

b）适用范围：三级及以上系统。

c）判例场景（所有）：

1）关键网络设备、关键安全设备、关键主机设备（操作系统）通过不可控网络环境进行远程管理；

2）设备未采用两种或两种以上鉴别技术对用户身份进行鉴别。

d）补偿因素：

1）远程管理过程中，多次采用同一种鉴别技术进行身份鉴别，且每次鉴别信息不相同，例如两次口令认证措施（两次口令不同），可根据实际措施效果，酌情判定风险等级；

2）对于采取登录地址限制、绑定管理终端等其他技术手段减轻用户身份被滥用的威胁的情况，可从措施所起到的防护效果等角度进行综合风险分析，根据分析结果，酌情判定风险等级。

建议核心设备、操作系统等增加除用户名、口令以外的身份鉴别技术，如基于密码技术的动态口令或令牌等鉴别方式，使用多种鉴别技术进行身份鉴别，增强身份鉴别的安全力度；对于使用堡垒机或统一身份认证机制实现双因素认证的场景，建议通过地址绑定等技术措施，确保设备只能通过该机制进行身份认证，无旁路现象存在。

 

4/安全计算环境/身份鉴别

6.4.2.5应用系统未采用多种身份鉴别技术

本判例包括以下内容：

a）标准要求：应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

b）适用范围：三级及以上系统。

c）判例场景：通过互联网登录的系统，在进行涉及大额资金交易、核心业务、关键指令等的重要操作前未使用两种或两种以上鉴别技术对用户身份进行鉴别。

d）补偿因素：

1）在身份鉴别过程中，多次采用同一种鉴别技术进行身份鉴别，且每次鉴别信息不相同，例如两次口令认证措施（两次口令不同），可根据实际措施效果，酌情判定风险等级；

2）在完成重要操作前的不同阶段使用不同的鉴别方式进行身份鉴别，可根据实际措施效果，酌情判定风险等级；

3）对于用户群体为互联网个人用户的情况，可从行业主管部门的要求、用户身份被滥用后对系统或个人造成的影响等角度进行综合风险分析，根据分析结果，酌情判定风险等级；

4）对于采取登录地址限制、绑定设备等其他技术手段减轻用户身份被滥用的威胁的情况，可从措施所起到的防护效果等角度进行综合风险分析，根据分析结果，酌情判定风险等级

建议应用系统增加除用户名、口令以外的身份鉴别技术，如基于密码技术的动态口令或令牌、生物鉴别方式等，使用多种鉴别技术进行身份鉴别，增强身份鉴别的安全力度。

 

4/安全计算环境/访问控制

6.4.1.4设备默认口令未修改

本判例包括以下内容：

a）标准要求：应重命名或删除默认账户，修改默认账户的默认口令。

b）适用范围：二级及以上系统。

c）判例场景：网络设备、安全设备、主机设备（包括操作系统、数据库等）默认口令未修改，使用默认口令可以登录设备。

d）补偿因素：对于因业务场景需要，无法修改专用设备的默认口令的情况，可从设备登录方式、物理访问控制、访问权限、其他技术防护措施、相关管理制度落实等角度进行综合风险分析，根据分析结果，酌情判定风险等级。

建议网络设备、安全设备、主机设备（包括操作系统、数据库等）等重命名或删除默认管理员账户，修改默认密码，使其具备一定的安全强度，增强账户安全性。

 

4/安全计算环境/访问控制

6.4.2.6应用系统默认口令未修改

本判例包括以下内容：

a）标准要求：应重命名或删除默认账户，修改默认账户的默认口令。

b）适用范围：二级及以上系统。

c）判例场景：应用系统默认口令未修改，使用默认口令可以登录系统。

d）补偿因素：对于因业务场景需要，无法修改应用系统的默认口令的情况，可从设备登录方式、物理访问控制、访问权限、其他技术防护措施、相关管理制度落实等角度进行综合风险分析，根据分析结果，酌情判定风险等级。

建议应用系统重命名或删除默认管理员账户，修改默认密码，使其具备一定的强度，增强账户安全性。

 

4/安全计算环境/访问控制

6.4.2.7应用系统访问控制机制存在缺陷

本判例包括以下内容：

a）标准要求：应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。

b）适用范围：二级及以上系统。

c）判例场景：应用系统访问控制策略存在缺陷，可越权访问系统功能模块或查看、操作其他用户的数据，例如存在非授权访问系统功能模块、平行权限漏洞、低权限用户越权访问高权限功能模块等。

d）补偿因素：

1）对于部署在可控网络环境的应用系统，可从现有的防护措施、用户行为监控等角度进行综合风险分析，根据分析结果，酌情判定风险等级；

2）可从非授权访问模块的重要程度、影响程度，越权访问的难度等角度进行综合风险分析，根据分析结果，酌情判定风险等级。

建议完善访问控制措施，对系统重要页面、功能模块重新进行身份鉴别、权限校验，确保应用系统不存在访问控制失效情况。

 

本文始发于微信公众号（网络安全等保测评）：高风险判定指引：判例内容及其建议（技术部分4，1/3）