等保2.0 | 等級測評 雙因子問題解答

【問題描述】對于一個安全保護等級為第三級的網絡來說，如果目標設備（如網絡設備、安全設備、主機操作系統、應用系統等）僅提供基于靜態口令的用戶身份鑒別方式，但對應的集中運維管理系統采用雙因素鑒別方式，那么該目標設備是否也可判定為滿足第三級身份鑒別1控制點中對于組合鑒別技術的要求？

【分析依據】

1.相關標準條款

（1）GB/T 22239—2019

《信息安全技術網絡安全等級保護基本要求》（GB∕T 22239—2019）的第三級安全要求中，安全計算環境的身份鑒別控制點要求：“應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。”

（2）GB/T 28448—2019

《信息安全技術網絡安全等級保護測評要求》（GB∕T 28448—2019）中對身份鑒別控制點的測評實施提出如下要求：

1)應核查是否采用動態口令、數字證書、生物技術和設備指紋等兩種或兩種以上組合的鑒別技術對用戶身份進行鑒別；

2)應核查其中一種鑒別技術是否使用密碼技術來實現。

單元判定：如果1）-2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

2.標準條款解讀

為滿足組合鑒別技術的要求，通常需要部署能夠提供多因素2鑒別功能的統一身份認證系統，對網絡設備、安全設備、主機操作系統、應用系統及其他重要系統和設備等進行強身份鑒別，一般又以雙因素鑒別最為常用，因此后續以雙因素鑒別為例進行說明。

“雙因素”顧名思義，通常就是在“靜態口令”的基礎上增加另外一種鑒別因素以實現強身份鑒別，確保是用戶賬號擁有者本人登錄。第二因素實現形式包括但不限于：短消息認證、郵件認證、動態口令令牌、USB-KEY、指紋、面部、虹膜、聲音等，其中動態口令令牌由于其實現成本較低且操作方便，是目前最常使用的一種。

其次，雙因素之一需要使用密碼技術3實現鑒別相關功能，常見的解決方案包括動態口令令牌、包含數字證書的USB-KEY等。因此，只有采用密碼技術實現的雙因素身份?鑒別方案才能滿足等級保護的要求。

最后，嚴格意義上滿足上述要求需要在同一個物理節點和時間節點上完成對用戶的身份鑒別活動，即雙因素身份鑒別活動需發生在登錄目標對象（網絡設備、安全設備、服務器操作系統、應用系統）等目標對象本身時，如業務系統使用由“用戶令牌的動態信息”和“用戶個人識別碼”組合而成的鑒別信息對登錄用戶進行認證。對于時空分離的“雙因素鑒別方式”是否符合標準要結合具體場景酌情分析。

【問題分析】

1.威脅分析

與身份鑒別功能相對應的威脅主要是“網絡攻擊中的用戶身份偽造和欺騙”（GB/T 20984—2007），與堡壘機相關聯的攻擊方式（場景）包括：

（1）若堡壘機存在重大安全漏洞：攻擊者攻擊成功后可利用堡壘機中保存的登錄信息任意假冒服務器用戶；

（2）若堡壘機不存在重大安全漏洞，該場景可進一步細分。

1)該服務器外部網絡可達，外部攻擊者可對其直接實施網絡攻擊；

2)網絡配置失誤，遠程管理該服務器時可繞過堡壘機，導致其面臨內部惡意人員網絡攻擊；

3)其他服務器存在重大安全漏洞，導致同網段或路由可達的該服務器面臨網絡攻擊。

上述三種細分場景中，由于沒有雙因素等強鑒別措施保障，攻擊者可利用獲取的憑據或增加管理用戶的簡單方式實現假冒用戶身份。

2.符合性分析

一般而言，上述場景不符合等級保護關于兩種及兩種以上組合鑒別的要求。

首先上述場景不滿足“在同一個物理節點和時間節點上完成對用戶的身份鑒別活動”的要求；其次，依靠堡壘機等外圍設備提供的雙因素鑒別措施，盡管在部分場景中增強了目標對象的身份鑒別能力，但并未從根本上解決用戶假冒攻擊的問題，具體分析如下。

盡管堡壘機實現了雙因素鑒別功能，但如果目標對象與堡壘機等外圍設備間未實現強關聯，惡意攻擊者一旦繞開堡壘機實施攻擊，服務器在身份鑒別方面的防御強度是不夠的。由于采取較弱的鑒別措施，惡意攻擊者一旦控制了服務器，可以更加容易的竊取、偽造、篡改用戶的身份鑒別信息，相對于目標對象自身實現了雙因素的場景，惡意攻擊者實施假冒攻擊的難度就大大降低了。

綜上所述，在遠程登錄設備的鏈路中簡單部署堡壘機并在堡壘機上開啟雙因素身份鑒別，僅能限制常規遠程登錄用戶使用雙因素登錄堡壘機，而無法限制不經過堡壘機的本地登錄、借助跳板機提權登錄等場景的用戶的登錄，給惡意攻擊用戶留下可乘之機，不能完全滿足被設備的雙因素身份鑒別要求。

注：

1實體鑒別（entity authentication）：證實一個實體就是所聲稱的實體（GB/T 15843.1—2017）。

2鑒別因素（authentication factor）：用于鑒別或者驗證實體身份的要素（GB/T 40651—2021）。

可分為三類：實體所擁有的事物（例如，設備簽名、護照、包含憑證的硬件設備、私鑰等）；實體所

知曉的信息（例如，口令、PIN等）；實體所呈現的本質（例如，生物特征或行為模式等）。

3密碼技術：指采用特定變換的方法對信息等進行加密保護、安全認證的方法和手段，包括密碼編碼、實現、協議、安全防護、分析破譯，以及密鑰產生、分發、傳遞、使用、銷毀等技術（《商用密碼應用安全性評估》2020電子工業出版社）。

?鑒別機制詳見GB/T15843《信息技術安全技術實體鑒別》。