網(wǎng)絡(luò)安全等級保護基本要求分為技術(shù)要求和管理要求，其中技術(shù)要求包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心;管理要求包括安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理。

安全通用要求——安全計算環(huán)境(第三級)這一安全類共包括11個控制點，每個控制點包含的條款數(shù)如下表。

鑒別與訪問控制是信息安全領(lǐng)域重要的基礎(chǔ)知識之一。信息系統(tǒng)中要想實現(xiàn)安全目標， 達到一定的防護水平，必須具備有效的鑒別與訪問控制機制。常見的安全訪問路徑：

網(wǎng)絡(luò)安全等級保護通用要求安全計算環(huán)境之身份鑒別：

要求項

a) 應(yīng)對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換;

b) 應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關(guān)措施;

c)當進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;

d)應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。

適用保護對象

網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器(操作系統(tǒng)、數(shù)據(jù)庫、中間件)、終端(操作系統(tǒng))、業(yè)務(wù)應(yīng)用系統(tǒng)、系統(tǒng)管理軟件等

條款導讀

登錄用戶與系統(tǒng)間建立聯(lián)系，本地用戶必須請求本地登錄進行認證，遠程用戶必須請求遠程登錄進行認證。身份認證是實體安全防護的第一道防線，條款a)要求對實體的登錄用戶進行身份標識和鑒別，標識是實體身份的一種計算機表達，鑒別是將實體標識和實體聯(lián)系在一起的過程。

身份鑒別的類型有下列三種：

單項鑒別：用戶在實體上注冊時，用戶僅須被實體鑒別，通常是用戶發(fā)送用戶名和口令給實體，實體對收到的用戶名和口令進行驗證，確認用戶名和口令由合法用戶發(fā)出;

雙向鑒別是一種相互鑒別，其過程在單向鑒別的基礎(chǔ)上還要增加兩個步驟，如服務(wù)器向客戶發(fā)送服務(wù)器名和口令，客戶確認服務(wù)器身份的合法性;

第三方鑒別，每個用戶或?qū)嶓w向可信第三方發(fā)送身份標識和口令，第三方用于存儲、驗證標識和鑒別信息。

身份鑒別方式實體所知、實體所有和實體特征三種。

實體所知，即實體所知道的，如目前廣泛采用的使用用戶名和口令進行登錄驗證，條款a)要求登錄實體的用戶名具有唯一性，并提高口令強度：配置口令復雜度和定期更換口令，條款b)要求阻止口令被重復嘗試的可能，使用口令登錄嘗試達到一定次數(shù)的賬戶鎖定一段時間或由管理員解鎖，以及當用戶連接到實體后，配置相關(guān)措施保證登錄連接超時后自動退出;條款c)要求在遠程管理時，為防止口令嗅探攻擊，對傳輸中的口令進行加密保護。

實體所有，即實體所擁有的物品，如鑰匙、IC卡等，條款a)要求用于鑒別的物品應(yīng)具有唯一性，不會被復制;

實體特征，即利用實體特征鑒別系統(tǒng)完成對實體的認證。實體特征鑒別系統(tǒng)通常由信息采集和信息識別兩個部分組成，信息采集通過光學、 聲學、紅外等傳感器作為采集設(shè)施，采集待鑒別的用戶的生物特征(如指紋、虹膜等)和行為特征(聲音、筆記、步態(tài)等)，然后交給信息識別部分與預(yù)先采集并存儲在數(shù)據(jù)庫中的用戶生物特征進行比對，根據(jù)比對的結(jié)果驗證是否通過驗證。

使用兩種身份鑒別方式的組合(雙因素鑒別)是常用的多因素鑒別形式，條款d)要求采用采用兩種或兩種以上的鑒別方式對用戶進行身份鑒別，且其中一種鑒別方式基于密碼技術(shù)的鑒別機制，雙因素鑒別是使用實體所知、實體所有和實體特征三種鑒別方式中的兩種或兩種以上對同一實體進行認證，且其中一種認證方式必須基于密碼技術(shù)，如用戶名和口令認證(實體所知)+基于密碼技術(shù)的UKey(實體所有)為典型的雙因素認證方式。

注：二次認證或兩種鑒別方式對不同的實體認證均不等于雙因素認證。

安全防護措施