在当前信息化快速发展的时代背景下,中石油作为能源行业的领军企业,一直致力于提升业务系统的安全性和用户体验。随着网络攻击手段的不断升级和移动办公的普及,传统的账号口令等认证方式已不能完全满足安全性需求。为此,中石油在信创PC端、信创服务器和数据等资源增加了安全、便捷的无口令认证能力,解决登录办公PC、远程服务器和数据库使用口令进行登录认证的安全和体验问题。
一、实施背景
网络信息安全形势严峻。生产运行高度依赖网络和信息化,集团目前仍以口令作为基础登录认证方式,各类口令主要由各网络系统、应用系统运维人员掌握和维护,预防层面单一,导致集团系统弱口令等安全隐患无法被及时检出,同时,各种针对口令的攻击手段不断翻新、愈演愈烈,存在较大安全问题和攻击风险。一旦外部攻击突破安全防护体系,将直接威胁集团系统安全。集团网络安全如履薄冰,网络攻击威胁日益增加。
口令问题作为网络安全基础问题,长期未得到有效解决。根据2022国家工业信息安全发展研究中心的数据,安全漏洞中弱口令占比为48%;超过70%的运维问题是口令重置问题。尽管部分系统开始尝试使用生物特征识别技术比如指纹识别,但是因为缺乏体系化的技术框架保障,不能有效存储和管理生物特征,又引入了个人信息安全的风险。
二、实施目标
建设无口令认证系统。依托可信设备、用户标识、密码技术建立可信身份鉴别体系,终端采用指纹识别等方式作为日常办公登录个人PC端信创操作系统、现场作业多人登录同一终端、运维管理登录远程信创服务器和数据库等场景的主要身份鉴别手段,减少和消除口令的过度使用,提高用户体验,增强信息系统安全性。
●一是健全生物特征识别基础设施、确保生物特征数据安全、满足合规性要求。采用集成了安全芯片的指纹鼠标作为实现用户指纹信息的采集、计算和存储的专用安全设备,确保用户生物特征数据的安全,并符合法律法规及相关标准的要求。
●二是实现日常办公和运维管理无需输入口令、提高用户体验、降低对口令的过度依赖。通过使用指纹识别快速登录个人PC信创操作系统和远程信创服务器及数据库系统,安全便捷,用户不需要记忆复杂口令,也无需设置弱口令,解决口令带来的安全问题,降低IT运维成本。
●三是整合身份账号资源、加强PC工作台管控、实现对人和工作台的细粒度管理。通过对用户账号和工作台设备的标识管理,以及用户账号与生物特征的精确绑定,可在多人共用同一工作台的场景下实现对使用者身份的精准管控,解决原有口令随意分发导致的安全问题以及无法追溯责任的问题。
三、建设内容
建设PC终端信创操作系统、远程国产化服务器及数据库无口令登录认证。
1.无口令认证系统后端服务建设
●无口令认证安全管理:支持认证策略管理,可根据不同场景分别创建相应的认证策略并下发;支持认证机制管理,可根据不同安全需求选择合适的认证方式;支持联合认证管理,可对外部身份源的联合认证进行管理。
●凭证安全管理:对于无口令认证系统所使用的各种凭证进行安全管理。支持密钥管理,可对于代表用户身份和设备身份的密钥进行安全管理,保障密钥的生命周期安全。支持数字证书管理,可对于代表用户身份的数字证书以及设备根证书进行管理,保障数字证书安全。支持生物特征管理,生物特征本身保存于专用设备的本地可信环境中,服务端仅保存其相应序号和变形后的加密值以实现精准匹配。
●用户管理功能建设:支持用户同步,可在已有目录服务和无口令认证服务进行双向同步,并支持从权威数据源导入用户身份信息。可对用户账号进行管理维护,并可对用户分配角色并对角色进行管理维护。可设置部门与用户账号的对应关系。
●实现设备管理:为用户设备生成基于密钥的唯一标识。可对办公桌面/工作台进行管理,执行创建、删除、禁用等操作。可对设备账号进行管理,并将其与用户身份进行绑定。
2.无口令认证系统客户端建设
●安全可靠的生物特征识别:通过引入安全芯片和指纹模组,构建生物特征识别专用设备,以指纹鼠标的形式提供给用户日常办公使用。
●信创操作系统登录认证功能:通过插件实现信创操作系统的登录认证,用户不再需要记忆并输入登录口令,仅需刷指纹即可完成登录。
●远程国产化服务器和数据库运维登录功能:通过PAM插件实现服务器信创操作系统的登录认证,管理员不再需要记忆并输入远程登录口令,仅需刷指纹即可完成登录。
●实现多人共用同一工作台的精准管控功能:通过将指纹特征、实际使用人身份与工作台操作系统账号进行关系映射,可有效识别登录工作台操作系统的真实用户身份,实现责任追溯到人。
四、实施效果
无口令认证系统的建设实施,将有效解决口令安全问题。通过使用指纹鼠标设备,用户不再需要使用口令,从而避免了弱口令、口令重用、钓鱼攻击等安全风险。
●用生物识别的方式代替口令登录,体验好。无口令认证系统建设实施完成后,用户可使用指纹鼠标快捷地完成多场景登录认证,不再需要记忆复杂口令,也不再需要输入口令,用户体验得到极大改善。
●提高安全及合规性。个人生物特征隐私安全有保障。无口令认证系统基于可信设备、用户标识、密码技术建立可信身份鉴别体系构建,指纹特征数据以及代表用户身份的私钥存储于用户使用的指纹鼠标内置的安全芯片中,避免了泄露的安全风险,确保了个人敏感信息的安全,满足了合规性要求。生物特征信息的安全管理有保障。个人生物特征数据仅保存于个人专用设备中,即使设备遭受攻击导致生物特征数据泄露,受影响的也仅限于该用户。反之,如果后台生物特征库受攻击,受影响的将是所有用户。相较而言,在无口令认证系统中,安全风险不再聚焦于后端服务,安全性得到极大地提高。
●后台认证由数字签名方式实现,效率高。后台认证过程不传输生物特征,只验证包括发送者身份的一段数字签名字符串。数字签名是目前最符合“可靠电子签名”要求、应用最普遍、可操作性最强的技术之一。