4月(yuè)28日,深信服統一身份安全管理(lǐ)系統(IDTrust)的(de)雙因素加固技術(對标等級保護第三級系統相關安全要求)通(tōng)過了(le)深圳市網安計算(suàn)機安全檢測技術有限公司的(de)合規性測試,能夠有效在訪問目标資産時直接在網絡設備、安全設備、操作系統上實現雙因素鑒别能力。這意味著(zhe)深信服IDTrust在業界率先完成目标資産的(de)雙因素認證能力構建,滿足等級保護第三級系統的(de)身份鑒别相關安全要求。
“無法繞過”的(de)雙因素認證
《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)針對第三級系統的(de)身份鑒别提出:應采用(yòng)口令、密碼技術、生物(wù)技術等兩種或兩種以上組合的(de)鑒别技術對用(yòng)戶進行身份鑒别,且其中一種鑒别技術至少應使用(yòng)密碼技術實現。
《網絡安全等級保護測評高(gāo)風險判定指引(T/ISEAA 001-2020)》針對第三級系統進一步明(míng)确:關鍵網絡設備、安全設備、操作系統如果不滿足雙因素鑒别要求,則可(kě)判定爲高(gāo)風險項。
深信服IDTrust提供的(de)雙因素加固方案通(tōng)過在網絡設備、安全設備、服務器等目标資産構建身份鑒别能力,幫助用(yòng)戶從源頭上解決合規問題。相比傳統通(tōng)過先登錄堡壘機再登錄目标資産的(de)方式,深信服IDTrust雙因素實現方案更合規、更安全。
深信服IDTrust雙因素實現方式與傳統堡壘機實現方式對比
1. 傳統采用(yòng)堡壘機的(de)方式一旦繞過堡壘機仍然隻需要一次認證即可(kě)登錄,目标資産本身仍然不具備雙因素鑒别的(de)能力,不滿足等級保護對于雙因素合規要求;且堡壘機實現單點登錄後,權限過大(dà),一旦堡壘機被拿下(xià),則全網資産可(kě)以任意訪問,這無疑是對運維安全管理(lǐ)的(de)極大(dà)威脅。
2. 深信服IDTrust雙因素加固方案通(tōng)過Radius、LDAP協議直接在目标資産實現雙因素加固,爲網絡設備、安全設備、Linux、Windows等全網資産提供雙因素鑒别能力,滿足雙因素合規要求,增強運維管理(lǐ)安全。
除此之外,深信服IDTrust還能爲用(yòng)戶帶來實名制、防暴露等安全價值:
可(kě)信身份實名化(huà):IDTrust實現全網OneID實名訪問,所有系統留下(xià)的(de)操作日志都可(kě)關聯到人(rén),便于威脅分(fēn)析系統關聯分(fēn)析和(hé)人(rén)工威脅溯源。
零認證暴露面:IDTrust使認證服務不直接與用(yòng)戶通(tōng)信,攻擊者亦無法直連IDTrust并對其實施攻擊,避免堡壘機等集中管理(lǐ)類設備被拿下(xià)後被直接獲取全網資産運維權限。
深信服統一身份安全管理(lǐ)系統(IDTrust)通(tōng)過構建以身份爲中心的(de)認證機制,全面支持各類Web業務、網絡設備、安全設備、操作系統的(de)認證對接,兼容全網資産,幫助用(yòng)戶建立真正的(de)全網統一認證中心,讓認證更便捷、身份更安全、管理(lǐ)更高(gāo)效。
自發布以來,已幫助企業、政府、醫療、教育等行業的(de)近百家用(yòng)戶構建了(le)“全網統一、分(fēn)區共治”的(de)身份安全基礎設施,實現了(le)基于身份的(de)統一身份認證體系。
未來,深信服IDTrust将緊密貼合各行業用(yòng)戶對于身份認證的(de)需求,不斷提升認證的(de)便捷性和(hé)安全性,讓每一個用(yòng)戶真切享受到高(gāo)效、安全的(de)認證體驗。