胡亞蘭　張艷

摘 要：雖然身份鑒別技術(shù)隨著信息科技的發(fā)展也在不斷更新，但靜態(tài)密碼目前仍然是信息系統(tǒng)中常用的身份鑒別方式，尤其是信息系統(tǒng)建設(shè)方式的發(fā)展，也給信息系統(tǒng)中涉及的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用軟件等層面的靜態(tài)口令帶來(lái)新的風(fēng)險(xiǎn)。文章梳理了等級(jí)保護(hù)測(cè)評(píng)過(guò)程中常見(jiàn)的靜態(tài)密碼風(fēng)險(xiǎn)，并針對(duì)各個(gè)風(fēng)險(xiǎn)提出了防護(hù)措施。

關(guān)鍵詞：靜態(tài)密碼；信息系統(tǒng)；等級(jí)保護(hù)測(cè)評(píng)；信息安全

中圖分類(lèi)號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： Although identity technology is constantly updated with the development of information technology，However， static passwords are still commonly used in information systems.In particular， the development of information system construction methods also brings new risks to the static passwords involved in information systems such as operating systems， network devices， security devices， and application software. This paper reviews the common static passwords in the process of rating protection assessment. Risk， and put forward protective measures against each risk.

Key words： static password； information system； rating protection assessment； information security

1 引言

信息系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)，涉及主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用軟件等多個(gè)環(huán)節(jié)。與此同時(shí)，隨著虛擬化技術(shù)、大數(shù)據(jù)以及移動(dòng)互聯(lián)網(wǎng)等信息技術(shù)的發(fā)展，信息系統(tǒng)也越來(lái)越復(fù)雜。身份鑒別技術(shù)也在不斷發(fā)展，如數(shù)字證書(shū)、指紋、智能鑰匙、動(dòng)態(tài)口令等，但不可否認(rèn)的是，靜態(tài)密碼認(rèn)證方式仍然是信息系統(tǒng)中最常用的一種身份鑒別手段。《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 [1]以及代替此標(biāo)準(zhǔn)的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（試行稿）都對(duì)身份鑒別信息具有“復(fù)雜度”“定期更換”“傳輸加密”“存儲(chǔ)保密”的要求。但測(cè)評(píng)過(guò)程中發(fā)現(xiàn)關(guān)于信息系統(tǒng)中密碼的設(shè)置、使用和保存存在多種不同情況的風(fēng)險(xiǎn)。本文分析了信息系統(tǒng)中常見(jiàn)的密碼風(fēng)險(xiǎn)并提出了對(duì)應(yīng)的防護(hù)建議。

2 信息系統(tǒng)中常見(jiàn)的靜態(tài)密碼風(fēng)險(xiǎn)

2.1網(wǎng)絡(luò)設(shè)備和安全設(shè)備未修改默認(rèn)密碼

網(wǎng)絡(luò)設(shè)備主要是交換機(jī)和路由器，安全設(shè)備主要包括防火墻、入侵檢測(cè)設(shè)備、Web應(yīng)用防火墻、入侵防御設(shè)備、抗DDoS設(shè)備等。這些設(shè)備都是從生產(chǎn)廠商購(gòu)置，也是生產(chǎn)廠商協(xié)助企業(yè)用戶部署使用，在部署成功交付給企業(yè)信息安全主管部門(mén)后，產(chǎn)品的密碼沒(méi)有被修改，測(cè)評(píng)過(guò)程中發(fā)現(xiàn)有用戶直接上互聯(lián)網(wǎng)查詢安全設(shè)備的默認(rèn)用戶名密碼。常見(jiàn)的如默認(rèn)用戶名superman、admin、admin、superadmin、root，默認(rèn)密碼talent、admin、admin、superadmin、root。

2.2 密碼非明文保存和傳輸。

信息系統(tǒng)龐大，設(shè)備較多，運(yùn)維人員為了方便運(yùn)維直接把設(shè)備及其對(duì)應(yīng)的IP地址、賬號(hào)、密碼保存在一個(gè)Execl表格中，甚至有運(yùn)維人員把這種表格直接打印出來(lái)貼在自己的工位上，以及存在用QQ、微信或者電子郵件在不同的運(yùn)維人員之間進(jìn)行傳遞的行為。

2.3 使用弱密碼或企業(yè)常用密碼

運(yùn)維人員為了方便記憶，將密碼配置常見(jiàn)的幾種密碼，如123456、12345678、111111、888888、root、admin等；或者鍵盤(pán)相鄰的密碼組合，如123qwe、1234qwer、1qaz2wsx、1qaz@WSX等；或者出生年月日組合，如19921227、19871019；或者名字生日組合，如wlx1225、lx1008、maow0504等。企業(yè)的常用密碼，是各個(gè)企業(yè)內(nèi)部為方便內(nèi)部員工溝通合作，設(shè)置的公司默認(rèn)密碼，這種密碼有可能長(zhǎng)度和復(fù)雜度達(dá)到標(biāo)準(zhǔn)的要求，但是企業(yè)內(nèi)部的員工都知道設(shè)備的密碼是什么。在測(cè)評(píng)過(guò)程中經(jīng)常會(huì)遇到運(yùn)維人員之間溝通時(shí)問(wèn)對(duì)方密碼是不是公司默認(rèn)的。

2.4 信息系統(tǒng)建設(shè)以及應(yīng)用開(kāi)發(fā)外包交付后密碼更改不及時(shí)

測(cè)評(píng)過(guò)程中發(fā)現(xiàn)很多信息系統(tǒng)的開(kāi)發(fā)以及建設(shè)部署都是通過(guò)外包商來(lái)實(shí)現(xiàn)的，尤其是政府部門(mén)、學(xué)校和小型企業(yè)，測(cè)評(píng)過(guò)程中大部分都是信息系統(tǒng)的外包商負(fù)責(zé)對(duì)接測(cè)試，而信息系統(tǒng)的主管部門(mén)除了使用信息系統(tǒng)，對(duì)信息系統(tǒng)涉及的網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)一無(wú)所知，用于約束外包服務(wù)商行為的唯一途徑就是服務(wù)協(xié)議中所涉及的保密條目。測(cè)評(píng)中外包商因?yàn)楣芾淼男畔⑾到y(tǒng)過(guò)多，大部分運(yùn)維人員都是使用默認(rèn)用戶名密碼，或者從電子表格中查詢用戶名密碼。

3 靜態(tài)密碼防護(hù)建議

3.1 企業(yè)應(yīng)樹(shù)立密碼安全意識(shí)

要充分認(rèn)識(shí)到信息系統(tǒng)的安全不僅是系統(tǒng)開(kāi)發(fā)者的責(zé)任，更是系統(tǒng)使用者的責(zé)任，而用戶名和密碼是信息系統(tǒng)的安全屏障。不要把密碼寫(xiě)在記錄本上，不要把密碼記錄到明文的電子文檔或電子郵件中，更不要把密碼寫(xiě)在紙上粘貼在工位上。企業(yè)應(yīng)定制密碼長(zhǎng)度、復(fù)雜度、更換周期策略以及密碼保護(hù)制度，并嚴(yán)格對(duì)該制度的執(zhí)行情況進(jìn)行監(jiān)管，如由信息安全主管不定期抽查操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及應(yīng)用系統(tǒng)相關(guān)使用者的密碼策略，并定制嚴(yán)格的懲罰措施。

3.2 設(shè)備運(yùn)維人員應(yīng)懂得強(qiáng)密碼的設(shè)置方法

設(shè)備運(yùn)維人員應(yīng)嚴(yán)格根據(jù)企業(yè)定制的密碼策略對(duì)所運(yùn)維的設(shè)備密碼進(jìn)行配置，并定期更換密碼。但是隨著信息系統(tǒng)的復(fù)雜化、龐大化，設(shè)備種類(lèi)和數(shù)據(jù)都在增加，既要配置具有復(fù)雜度和長(zhǎng)度的密碼，又要每臺(tái)設(shè)備密碼各不相同，同時(shí)還需要運(yùn)維人員牢牢記在腦袋里，對(duì)運(yùn)維人員來(lái)說(shuō)并不是一件簡(jiǎn)單的事情。這種情況一時(shí)建議設(shè)備分類(lèi)梳理后分配給多個(gè)不同角色的管理員進(jìn)行維護(hù)，如服務(wù)器管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)設(shè)備管理員、安全設(shè)備管理員、應(yīng)用管理員，如果服務(wù)器的數(shù)量較多再根據(jù)服務(wù)器的應(yīng)用進(jìn)行分類(lèi)，再分設(shè)多個(gè)服務(wù)器管理員。其次，運(yùn)維人員在配置密碼時(shí)要有一套自己的“加密方法”，即將密碼賦予意義，方便自己記住，同時(shí)防止暴力破解，比如運(yùn)維人員常用的密碼是“1qaz@WSX”，這是一組8位且具有一定復(fù)雜度的密碼，看似復(fù)雜，其實(shí)就是鍵盤(pán)相鄰兩列的字母，運(yùn)維人員的“加密方法”是：主機(jī)名+常用密碼+自己的名字首字母，那名叫張偉的運(yùn)維人員所負(fù)責(zé)的一臺(tái)名為yyuser1的主機(jī)的密碼就為yyuser11qaz@WSXzw。運(yùn)維人員只要記住自己的“加密方法”即可。

3.3 外包商交付完成后及時(shí)更改密碼

對(duì)于系統(tǒng)是外包商建設(shè)的信息系統(tǒng)，在系統(tǒng)交付時(shí)，信息系統(tǒng)主管部門(mén)應(yīng)分派設(shè)備管理員及時(shí)接管信息系統(tǒng)涉及的所有設(shè)備的管理權(quán)限，并及時(shí)更改設(shè)備的密碼。

3.4 建議部署強(qiáng)身份鑒別的堡壘機(jī)設(shè)備

如果企業(yè)具有購(gòu)買(mǎi)堡壘機(jī)的能力，建議在信息系統(tǒng)中部署堡壘機(jī)設(shè)備，將信息系統(tǒng)所涉及的服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)、路由器等設(shè)備都添加到堡壘機(jī)資源列表中，同時(shí)在防火墻中配置訪問(wèn)控制策略，限制僅堡壘機(jī)的IP地址可以登錄這些資源。此外，在堡壘機(jī)中添加運(yùn)維人員，并配置運(yùn)維人員的訪問(wèn)權(quán)限，設(shè)置運(yùn)維人員的強(qiáng)身份認(rèn)證信息，如數(shù)字證書(shū)、動(dòng)態(tài)令牌、指紋等。

3.5 開(kāi)啟登錄失敗處理、審計(jì)等輔助功能

開(kāi)啟設(shè)備的登錄處理功能，防止暴力破解，同時(shí)開(kāi)啟用戶身份鑒別過(guò)程的審計(jì)記錄，對(duì)于登錄成功和失敗的事件進(jìn)行審計(jì)記錄。服務(wù)器、運(yùn)維終端、業(yè)務(wù)終端主機(jī)應(yīng)安裝殺毒軟件并及時(shí)升級(jí)。打開(kāi)病毒監(jiān)控并定期對(duì)主機(jī)進(jìn)行全盤(pán)殺毒，以避免黑客軟件的入侵和竊取密碼。

4 結(jié)束語(yǔ)

信息系統(tǒng)的安全建設(shè)是一個(gè)龐大的系統(tǒng)工程，管理者必須從物理機(jī)房、硬件、軟件、管理等多個(gè)方面考慮，本文從靜態(tài)密碼的防護(hù)方面提出了等級(jí)保護(hù)測(cè)評(píng)中常見(jiàn)的風(fēng)險(xiǎn)，并給出了整改建議，以保障信息系統(tǒng)的安全。

參考文獻(xiàn)

[1] 標(biāo)準(zhǔn)編號(hào)（GB/T 22239-2008）.信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

作者簡(jiǎn)介：

胡亞蘭（1987-），女，河南信陽(yáng)人，助理研究員，工學(xué)碩士；主要研究方向和關(guān)注領(lǐng)域：信息安全及相關(guān)檢測(cè)技術(shù)。

張艷（1981-），女，上海人，博士，研究員；主要研究方向和關(guān)注領(lǐng)域：信息安全及相關(guān)檢測(cè)技術(shù)。