网络安全等级保护基本要求分为技术要求和管理要求。管理中心;管理要求包括安全管理制度、安全管理机构、安全管理人员、安全施工管理和安全运行维护管理。一般安全要求——安全计算环境(三级)该安全类别共包括11个控制点,每个控制点包含的项目数如下表所示。认证与访问控制是信息安全领域重要的基础知识之一。为了实现安全目标并在信息系统中实现一定程度的保护,必须提供有效的身份验证和访问控制机制。通用安全访问路径:网络安全等级保护通用要求安全计算环境下的身份认证:要求a)对登录用户进行身份认证,身份唯一,身份认证信息有复杂性要求并定期更换;b)应具有登录失败处理功能,并配置并启用关闭会话、限制非法登录次数、登录连接超时自动退出等相关措施;c)进行远程管理时,宜采取必要措施防止认证信息在网络中传输d)宜采用口令、密码学、生物技术等两种或多种认证技术的组合对用户进行认证,至少采用一种认证技术的一部分应该使用密码学来实现。适用保护对象网络设备、安全设备、服务器(操作系统、数据库、中间件)、终端(操作系统)、业务应用系统、系统管理软件等引导登录用户与系统建立连接,本地用户mustrequestalocallogin要进行身份验证,远程用户必须请求Telnet进行身份验证。身份认证是实体安全的第一道防线。a)条款要求对实体登录用户进行识别和认证。身份识别是实体身份的计算机化表达,认证是将实体标识与实体联系起来的过程。身份认证分为三种:单项认证:用户在实体上注册时,只需要经过实体的认证即可。通常,用户将用户名和密码发送给实体,实体对收到的用户名和密码进行验证,并对用户名和密码进行确认。密码由合法用户发布;双向认证是双向认证的一种,过程在单向认证的基础上增加了两个步骤,如服务器将服务器名和密码发送给客户端,客户端确认服务器身份的合法性;第三方认证,每个用户或实体将身份和密码发送给可信任的第三方,第三方用于存储和验证身份和认证信息。身份认证分为三种类型:实体已知、实体拥有和实体特征。Knownbytheentity,即被实体知道,比如广泛使用的登录认证的用户名和密码,clausea)要求登录实体的用户名唯一,增强密码的强度:配置复杂度密码并定期更改密码,b)条要求防止重复尝试密码的可能性,当密码登录尝试达到一定次数时,帐户将被锁定一段时间或由管理员解锁,以及当用户连接实体时,配置相关措施保证登录连接超时后自动注销;c)要求对传输中的密码进行加密保护,以防止远程管理过程中的密码嗅探攻击。单位自有,即单位自有的物品,如钥匙、IC卡等。a)款要求用于识别的物品应唯一,不得复制;实体特征,即利用实体特征识别系统完成对实体的认证。实体特征识别系统通常由信息采集和信息识别两部分组成。信息采集采用光学、声学、红外等传感器作为采集设施,采集生物特征(如指纹、虹膜等)、笔记、步态等),然后交给信息识别部分进行比对预先采集并存储在数据库中的用户生物特征,根据比对结果验证是否通过验证。两种认证方式的组合(two-factorauthentication)是多因素认证的常用形式,d)条款要求使用两种或两种以上的认证方式对用户进行认证,其中一种认证方式是基于密码的技术认证机制,双因素认证是使用实体知识、实体所有权和实体特征三种认证方式中的两种或两种以上对同一实体进行认证,其中一种认证方式必须基于密码技术,如用户名密码认证(实体已知)+基于密码技术的UKey(实体拥有)是典型的双因素认证方式。注意:双因素认证或两种认证方式不等于双因素认证针对不同的实体认证。安全须知
