freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

企业安全 | 某用户商用密码实战
2024-06-17 14:56:07

1 项目背景

随着《密码法》、《商用密码管理条例》等商用密码相关法律、法规、政策的颁布实施,随着上级主管单位关于2024年商用密码应用安全性评估安全工作考核要点与评分标准的发布,要求重要信息系统进行密评改造,选取与上年度不同场景开展善用密码应用,并按时间要求向上级单位报告商用密码使用管理情况,根据相关政策规定, 2024年XX公司选择堡垒机开展密改和密评工作。

堡垒机承担着集中对内部大量业务系统的帐号管理、认证管理、授权管理和安全审计的功能,后续云平台密码改造、通信网管系统在运维管理层面都涉及到堡垒机,所以需要优先对堡垒机进行密码改造。堡垒机密码改造后,通过其运维管理、身份鉴别的应用系统也相应在设备和计算层面符合密评要求。

2 系统现状

2.1 堡垒机概述

堡垒机是一种将账户管理、认证管理、授权管理和安全审计整合为集中统一的安全服务系统的设备,简称为堡垒机。其功能包括身份管理、资源管理、认证管理、金库管理、流程管理以及权限分配和控制等。

在企业内部存在大量的业务系统、主机和网络设备,通过部署堡垒机,可以实现对这些现有业务系统、主机、网络设备和安全基础设备的统一安全管控。这样不仅强化了内部安全管控流程和机制的建设,还大大提高了信息系统的安全防护能力。

从安全管理的角度来看,堡垒机实现了对各业务系统账户的集中管理和认证,并能对用户的操作行为进行权限控制,防止越权和不当访问。同时,它支持与自然人相关联的审计功能,记录用户的完整操作行为。

从运维业务需求的角度来看,堡垒机降低了维护人员对各类应用和设备进行账户管理的难度。它提供了集中接入控制,简化了应用的部署和管理过程。此外,堡垒机支持瘦客户端管理,能够满足通过各种途径访问业务系统的需求。

2.2 业务功能介绍

堡垒机的主要功能包括统一认证、单点登录、运维管理、行为审计管理、配置核查以及应急管理等。它管理的资源涵盖了核心系统、云平台等重要系统的设备。具体的资源管理范围包括Windows主机、Unix主机、国内外主流数据库、网络设备、安全设备、虚拟资源、云桌面、大数据平台和云平台等。

2.3 网络拓扑

1718588500_666f9454337d87a73731b.png!small?1718588505169

堡垒机旁挂在网络侧,只需要网络连同即可实现堡垒机功能

2.4 密码现状分析

2.4.1 物理和环境安全现状

物理和环境安全主要是确保进入机房人员身份的真实性,防止未经授权的人员进入。同时,它保护电子门禁系统的出入记录和视频监控音像记录的完整性,防止这些记录被篡改。

(1)身份鉴别:目前堡垒机所在机房部署在XX数据中心节点机房,机房进入使用 ID 卡对进入机房人员进行身份鉴别,未使用密码技术对进入机房人员进行身份鉴别,存在非授权人员进入物理环境,对软硬件设备和数据进行直接破坏的风险;

(2)数据存储:目前该机房人员进出记录明文存储在门禁管理系统数据库中,视频监控数据明文存储在磁盘阵列中,未使用密码技术进行存储完整性保护,存在物理进出记录和视频记录遭到非授权篡改,以掩盖非授权人员进出情况的风险。

2.4.2 网络和通信安全现状

在网络通信方面主要存在通信链路安全网络边界访问控制信息的完整性保护两个方面。在通信链路安全主要存在两种网络和通信安全场景:终端(PC终端和移动端)和堡垒机通信。

在移动App端和PC Web端:目前传输采取SSL加密协议加密,未使用商密加密技术建立安全的数据传输通道,无法满足数据传输通道的机密性和完整性,存在通信数据在信息系统外部被未授权截取和篡改的风险。

2.4.3 设备和计算安全现状

(1)运维人员,通过浏览器使用口令登录堡垒机,与堡垒机建立连接。未使用国密加密技术对运维人员和管理员的登录进行身份验证,存在设备被未授权人员登录的风险,身份验证数据也可能被未授权获取或使用。

(2) 运维人员的相关访问控制信息如果未使用加密技术进行完整性保护,可能会面临被篡改的风险。

(3)系统应用服务器、数据库服务器、服务器、数据库服务器等设备的日志等重要信息数据如果未使用加密技术进行完整性保护,存在设备日志记录被未授权篡改的风险。

2.4.4 应用和数据安全现状

(1) 堡垒机用户在互联网上通过移动端App和PC短登录时未使用合规加密技术进行身份验证,目前采用口令+短信的双因子认证方式。静态口令的存储和传输采用了对称加密。应用可能被未授权人员登录,存在安全风险。

(2)堡垒机用户在PC端登录时如果未使用加密技术进行身份验证,也存在应用被未授权人员登录的风险。

(3)堡垒机用户的登录身份验证信息以及在系统中传输和存储的重要数据(如用户身份X信息、系统权限控制信息等)如果未使用加密技术进行机密性和完整性保护,就有可能被窃取或未经授权篡改,存在敏感数据泄露和身份验证数据被截取的风险。

(4)如果系统应用日志记录以明文形式存储在日志服务器中,并且未使用加密技术进行完整性保护,这些日志记录可能会被未经授权篡改。

2.4.5 安全管理安全现状

在堡垒机建设和运行阶段,未按照密码相关国家和行业标准制定密码应用方案,也未规划和建设密码保障系统。系统上线前和运行后,未进行密码应用安全性评估,并且未根据《GB∕T 39786-2021 信息安全技术 信息系统密码应用基本要求》中的安全管理要求制定密码相关的管理制度。

3 密评需求

3.1 物理和环境安全的改造需求

在堡垒机所在的机房,部署符合 GM/T 0036-2014 标准要求的电子门禁系统,对进出机房的人员进行身份鉴别。这些电子门禁系统能够有效验证人员的身份,确保只有经过授权的人员才能进入机房,防止未经授权的人员进入敏感区域,从而提升物理安全性。

此外,在密码区部署符合国家密码标准要求的服务器密码机。服务器密码机负责对门禁系统的进出记录和视频监控数据进行完整性保护。实现所有记录和监控数据都将使用密码技术进行加密和签名,确保数据在存储和传输过程中不会被篡改或伪造。

3.2 网络和通信安全的改造需求

移动终端/PC端和包括通信主要针对应用系统使用用户,通过移动端互联网访问云平台业务系统场景。

在移动端App中集成移动端密码模块(二级),或配置SSLVPN客户端,或设置安全认证网关HTTPS通道,以确保安全。移动端密码模块提供密钥保护和身份鉴别功能,确保移动端App的身份真实性及数据传输的机密性和完整性。SSLVPN安全网关部署在网络边界和业务服务区,通过国密算法建立HTTPS安全通道,用于移动端App的数据传输。

3.3 设备和计算安全的改造需求

(1) 在系统服务边界部署SSL VPN安全网关,并配发USBKEY给运维人员,用于身份鉴别和远程管理身份鉴别信息传输的机密性保护。这种措施旨在防止非授权人员登录堡垒机,并确保管理员远程登录的身份鉴别信息不被非授权者窃取。

(2) 通过堡垒机调用符合密码相关国家标准的云密码机,对用户访问控制信息进行完整性保护。这样的安排可以有效防止用户访问控制信息被篡改,提升系统安全性。

(3) 部署符合密码相关国家标准要求的云密码机,用于对应用服务器、数据库服务器等设备的操作管理日志进行完整性安全保护。这一做法确保设备操作管理日志的记录完整性,防止日志数据被篡改或删除。

3.4 应用和数据安全的改造需求

根据《GB∕T 39786-2021 信息安全技术 信息系统密码应用基本要求》中对于应用和数据安全的要求,主要涵盖以下四个方面,对堡垒机的密码应用改造需求进行分析。

  1. 身份鉴别需求:堡垒机用户包括内部人员和外部人员等。对于系统主要用户的登录认证过程,必须使用密码技术进行保护。堡垒机的主要场景包括门户登录。目前,运维人员登录业务门户主要使用静态口令和短信动态验证码的双因素认证方式,尚未使用密码技术进行身份鉴别。建议采用国家密码管理局核准的动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、以及基于公钥密码算法的数字签名机制等密码技术来对登录用户进行身份鉴别。

  2. 访问控制信息完整性保护需求:堡垒机依据用户的访问控制信息实施动态的资源访问控制。访问控制信息包括用户能够访问的资源范围,在数据库层面主要指用户和角色关联数据。目前,这些访问控制信息未使用密码技术进行保护,存在被恶意修改或替换的风险。可以采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制,或者基于公钥密码算法的数字签名机制等密码技术,对应用的访问控制信息进行完整性保护。

  3. 重要数据传输机密性和完整性保护需求:堡垒机的核心业务是运维人员对资源进行运维管理操作,这涉及到人员账号身份信息、系统账号身份信息等。针对这些重要数据,需要采用密码技术进行传输的机密性和完整性保护。可以通过加密传输通道来实现,具体分为堡垒机的WEB应用访问数据通道、堡垒机运维连接通道。这两类通道都需要使用密码技术来保证传输数据的机密性和完整性。

  4. 重要数据存储机密性和完整性保护需求:堡垒机存储的重要数据包括账户的身份鉴别信息、访问控制信息以及重要日志审计数据。对于身份鉴别信息,涉及到账户口令等敏感内容,需要进行机密性和完整性保护,防止被未授权查看和篡改。对于访问控制信息和重要日志审计数据,需要进行完整性保护,防止被恶意篡改。可以使用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制,以及基于公钥密码算法的数字签名机制等密码技术来实现这些保护。

重要业务数据定义:

堡垒机重要数据防护范围包括用户身份鉴别信息(主账号)、资源身份鉴别信息(系统账号)、访问控制信息、重要日志审计数据、堡垒机命令参数等5类重要数据。说明如下:

序号

数据类型

数据信息

密码保护需求

1

用户身份鉴别信息

账户口令、

短信认证手机号

机密性、完整性

2

访问控制权限数据

用户和资源管理的角色权限数据

# web安全 # 系统安全 # 数据安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录