反正是内网,一个密码通行全部系统行不行?
这个标题对于网络安全老兵来说,答案是明确的:不行。
但具体如何不行,有什么依据,以及可以有什么发散,倒是可圈可点的一件事。
刚好笔者的信息系统审计师(CISA)的社区里面最近就有人提出了这个问题,所以值得拿出来说说。
笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士
密码和口令这两个词经常混在一起,但在严谨场合实际是要区分的。为了方便大多数读者理解,本文使用的密码一词,均指登录口令。
内网所有信息系统用同一个密码,专业的用词就是:要实现密码唯一性。
讨论这个问题,笔者认为并不是从是否合规开始,而是首先要复习以下信息安全的CIA三要素:保密性 Confidentiality、完整性 Integrity 和可用性 Availability。
什么因素可以导致CIA三要素一次性全泡汤?
答案(之一)就是:单点失效。
密码不唯一,一旦泄露就会导致涉及的系统全部失陷。所以这就是典型的单点失效情况。
至于这些信息系统部署在公网或内网,并不影响单点失效的本质,不要被环境欺骗了。
答案是没有。
具体到各种合规要求上,现在并没有哪项法律法规、国家标准等具体要求提出要限制用户或管理员使用单一密码管理所有的系统和设备。中国的没有,外国的也没有,无论是 ISO/IEC 27001/27002,NIST SP 800-53 抑或是 COBIT。
比如网络安全等级保护标准:GB/T 20269-2006 《信息安全技术 信息系统安全管理要求》,行文中并没有正面指出不允许用户或管理员对使用或管理范围内的全部信息系统和设备使用同一个密码。
再具体到等保测评,测评项目中提出的管理要求也不会细致到检查被测评环境是否存在这样的情况。因为如果要落实这个情况,实际操作会非常复杂:
首先,这个事情无法通过通用的检测工具进行自动化和批量的检测。不同的信息系统或设备,处理和存储用户身份校验信息的方式都不尽相同,检查工具要实现通用,要么能让用户自主灵活配置,要么预设足够的应对功能,这难度和复杂度就相当大。虽然笔者认为理论上是可以做出这样的工具来,但现实中并没有,只能手工验证。
其次,如果采取问询方式对被测评环境的用户和管理员落实情况,这也是不行的。因为在测评或审计角度来看,如果问询获得的结果不是直观的,在没有足够的证据支撑时不能采信。
再次,被测评的信息系统环境可能有多套系统,大量用户,这两者相乘的数量级决定了对每一个用户都问询和手工验证是完全不现实的,还要考虑使用某种审计抽样方法......
显然,这事情的复杂度决定了它是个泥潭。
但等保真的完全没有要求?
也不是。因为等保体系中有一项关键且基础的要求:三员分立,这大致可以算是一项隐含了密码唯一性的要求。
也就是说:如果在一套信息系统上的三员只是用户账号相互区分,但密码相同,这算不算实现了分立?
答案是当然不算。
因为账号信息无论如何隐藏和修改依然属于明文,这三员账号如果密码相同,实质就等于没有分立。不过这情况和本文标题有一定的偏离,不完全是一回事。
综合来说,密码唯一性属于业界公认的“最佳实践”。而“最佳实践”需要企业组织在实施时通过制定和发布制度、工作规程以及设计其他的技术辅助手段实现风险控制、日常巡查和定期审计。
也就是自己管自己。
估计到了这里就有读者想问:单点登录(SSO,Single Sign-on)不也是一个密码登录所有系统吗?又如浏览器保存密码的功能,不也跟一个密码登录所有系统差不多?
单点登录,或者浏览器保存密码,这两者确实是会弱化了对于不同的信息系统必须使用不同密码这个设定。但这两者的情况有所不同。
一套安全的单点登录系统,必然要具备 MFA 多因素身份认证功能。强制应用 MFA 可以在一定程度上加强登录安全性,从而缓解了因为实施单点登录而可能带来的风险。
而且,设计良好的单点登录系统还可以具备更丰富的安全控制措施。比如可强制要求用户对经由单点登录系统登录的其他信息系统必须设置使用不同的密码,强制要求用户必须使用符合密码复杂度规则要求的密码,具备访问控制测量、会话管理能力、审计日志记录等等,综合来看是加强了整体的安全性。
至于浏览器保存密码这个功能,关键在于它只是一个助记手段而不是任何控制措施,既不提升也不降低用户在互联网上使用单一密码的风险。
正确使用浏览器保存密码功能,需要用户能遵循良好实践的要求:包括做好终端安全防御措施;在网络上注册网站用户账号设置密码的同时仅使用浏览器自动生成的随机密码;不要随意安装尤其是来源不明的浏览器功能扩展;及时升级更新浏览器等。
要做好事前控制,实现有效的预防性控制措施是最重要的。但这件事要实现有效控制,存在很多现实困难。
如前所述,解决办法首选还是建设支持多因素身份认证功能的单点登录系统,且单点登录系统能强制限制用户在每个信息系统的密码都不相同。
但是,鉴于信息化环境内实际情况的复杂性,有些信息系统不支持单点登录,更底层的基础环境甚至和单点登录建立不起来关联关系,所以单点登录并不能全面覆盖解决问题。
另一个办法是寻求由信息系统厂商提供的控制措施,但这大概只适用于操作系统这一层。
比如笔者之前介绍过微软推出的:《Windows LAPS:本地管理员密码解决方案》,Windows LAPS 就是为了解决管理员在内网使用单一密码的风险而设计的。
加上现在是信创转型期,信创环境尚没有类似 Windows LAPS 这种事前控制措施,需要企业组织在有条件的情况下围绕着事中和事后这两个阶段,也就是巡检和审计,自行实现解决办法。
巡检和审计都需要具备检查性的控制措施。一个办法就是根据企业组织自己的信息化环境情况,量身定做检查工具。
就如笔者在前文所述,检查工具理论上是可以实现的,只是把工具通用化则难度和复杂度太大。但是,退而求其次,仅针对自己的信息化环境定制设计检查工具则是相对可行的。
比如在之前,笔者就如何有效排查系统弱密码写了一篇文章:《攻防演练在即:如何高效全面地排查信息系统用户状态和弱密码》,强调的就是因地制宜自主实现检查工具。
具备条件的企业组织可以参考笔者这篇文章的思路,自行定制检查工具,把弱密码检查和密码唯一性检查综合在一起实现。
尤其是,对于不支持通过单点登录系统实现登录的信息系统或设备,针对性地自行建设实现巡检和审计工具,应该视为刚需。
有一种比较常见的,号称实现了密码唯一性的做法:
每个信息系统或设备的密码,都是由该对象的某个规律特征为前缀(或后缀),加上相同的密码短语构成密码,比如:
SQLServer#AA@23
WindowsServer#AA@23
但这种做法,其实就是密码不唯一的变通,其本质上依然还是一个密码,所以也是不可取的。
注:题头图用豆包生成,连续生成12张图只有一张的手指是正确的,不知道是否和?最近的大模型投毒事件有关。
本站微信订阅号:
本页网址二维码: