等級保護測評過程中常見的靜態密碼風險及防護建議

胡亞蘭　張艷

摘 要：雖然身份鑒別技術隨著信息科技的發展也在不斷更新，但靜態密碼目前仍然是信息系統中常用的身份鑒別方式，尤其是信息系統建設方式的發展，也給信息系統中涉及的操作系統、網絡設備、安全設備、應用軟件等層面的靜態口令帶來新的風險。文章梳理了等級保護測評過程中常見的靜態密碼風險，并針對各個風險提出了防護措施。

關鍵詞：靜態密碼；信息系統；等級保護測評；信息安全

中圖分類號：TP391 文獻標識碼：A

Abstract： Although identity technology is constantly updated with the development of information technology，However， static passwords are still commonly used in information systems.In particular， the development of information system construction methods also brings new risks to the static passwords involved in information systems such as operating systems， network devices， security devices， and application software. This paper reviews the common static passwords in the process of rating protection assessment. Risk， and put forward protective measures against each risk.

Key words： static password； information system； rating protection assessment； information security

1 引言

信息系統是一個復雜的系統，涉及主機操作系統、網絡設備、安全設備、應用軟件等多個環節。與此同時，隨著虛擬化技術、大數據以及移動互聯網等信息技術的發展，信息系統也越來越復雜。身份鑒別技術也在不斷發展，如數字證書、指紋、智能鑰匙、動態口令等，但不可否認的是，靜態密碼認證方式仍然是信息系統中最常用的一種身份鑒別手段。《信息系統安全等級保護基本要求》 [1]以及代替此標準的《信息安全技術網絡安全等級保護基本要求》（試行稿）都對身份鑒別信息具有“復雜度”“定期更換”“傳輸加密”“存儲保密”的要求。但測評過程中發現關于信息系統中密碼的設置、使用和保存存在多種不同情況的風險。本文分析了信息系統中常見的密碼風險并提出了對應的防護建議。

2 信息系統中常見的靜態密碼風險

2.1網絡設備和安全設備未修改默認密碼

網絡設備主要是交換機和路由器，安全設備主要包括防火墻、入侵檢測設備、Web應用防火墻、入侵防御設備、抗DDoS設備等。這些設備都是從生產廠商購置，也是生產廠商協助企業用戶部署使用，在部署成功交付給企業信息安全主管部門后，產品的密碼沒有被修改，測評過程中發現有用戶直接上互聯網查詢安全設備的默認用戶名密碼。常見的如默認用戶名superman、admin、admin、superadmin、root，默認密碼talent、admin、admin、superadmin、root。

2.2 密碼非明文保存和傳輸。

信息系統龐大，設備較多，運維人員為了方便運維直接把設備及其對應的IP地址、賬號、密碼保存在一個Execl表格中，甚至有運維人員把這種表格直接打印出來貼在自己的工位上，以及存在用QQ、微信或者電子郵件在不同的運維人員之間進行傳遞的行為。

2.3 使用弱密碼或企業常用密碼

運維人員為了方便記憶，將密碼配置常見的幾種密碼，如123456、12345678、111111、888888、root、admin等；或者鍵盤相鄰的密碼組合，如123qwe、1234qwer、1qaz2wsx、1qaz@WSX等；或者出生年月日組合，如19921227、19871019；或者名字生日組合，如wlx1225、lx1008、maow0504等。企業的常用密碼，是各個企業內部為方便內部員工溝通合作，設置的公司默認密碼，這種密碼有可能長度和復雜度達到標準的要求，但是企業內部的員工都知道設備的密碼是什么。在測評過程中經常會遇到運維人員之間溝通時問對方密碼是不是公司默認的。

2.4 信息系統建設以及應用開發外包交付后密碼更改不及時

測評過程中發現很多信息系統的開發以及建設部署都是通過外包商來實現的，尤其是政府部門、學校和小型企業，測評過程中大部分都是信息系統的外包商負責對接測試，而信息系統的主管部門除了使用信息系統，對信息系統涉及的網絡、主機、數據庫一無所知，用于約束外包服務商行為的唯一途徑就是服務協議中所涉及的保密條目。測評中外包商因為管理的信息系統過多，大部分運維人員都是使用默認用戶名密碼，或者從電子表格中查詢用戶名密碼。

3 靜態密碼防護建議

3.1 企業應樹立密碼安全意識

要充分認識到信息系統的安全不僅是系統開發者的責任，更是系統使用者的責任，而用戶名和密碼是信息系統的安全屏障。不要把密碼寫在記錄本上，不要把密碼記錄到明文的電子文檔或電子郵件中，更不要把密碼寫在紙上粘貼在工位上。企業應定制密碼長度、復雜度、更換周期策略以及密碼保護制度，并嚴格對該制度的執行情況進行監管，如由信息安全主管不定期抽查操作系統、網絡設備、安全設備以及應用系統相關使用者的密碼策略，并定制嚴格的懲罰措施。

3.2 設備運維人員應懂得強密碼的設置方法

設備運維人員應嚴格根據企業定制的密碼策略對所運維的設備密碼進行配置，并定期更換密碼。但是隨著信息系統的復雜化、龐大化，設備種類和數據都在增加，既要配置具有復雜度和長度的密碼，又要每臺設備密碼各不相同，同時還需要運維人員牢牢記在腦袋里，對運維人員來說并不是一件簡單的事情。這種情況一時建議設備分類梳理后分配給多個不同角色的管理員進行維護，如服務器管理員、數據庫管理員、網絡設備管理員、安全設備管理員、應用管理員，如果服務器的數量較多再根據服務器的應用進行分類，再分設多個服務器管理員。其次，運維人員在配置密碼時要有一套自己的“加密方法”，即將密碼賦予意義，方便自己記住，同時防止暴力破解，比如運維人員常用的密碼是“1qaz@WSX”，這是一組8位且具有一定復雜度的密碼，看似復雜，其實就是鍵盤相鄰兩列的字母，運維人員的“加密方法”是：主機名+常用密碼+自己的名字首字母，那名叫張偉的運維人員所負責的一臺名為yyuser1的主機的密碼就為yyuser11qaz@WSXzw。運維人員只要記住自己的“加密方法”即可。

3.3 外包商交付完成后及時更改密碼

對于系統是外包商建設的信息系統，在系統交付時，信息系統主管部門應分派設備管理員及時接管信息系統涉及的所有設備的管理權限，并及時更改設備的密碼。

3.4 建議部署強身份鑒別的堡壘機設備

如果企業具有購買堡壘機的能力，建議在信息系統中部署堡壘機設備，將信息系統所涉及的服務器、交換機、數據庫、路由器等設備都添加到堡壘機資源列表中，同時在防火墻中配置訪問控制策略，限制僅堡壘機的IP地址可以登錄這些資源。此外，在堡壘機中添加運維人員，并配置運維人員的訪問權限，設置運維人員的強身份認證信息，如數字證書、動態令牌、指紋等。

3.5 開啟登錄失敗處理、審計等輔助功能

開啟設備的登錄處理功能，防止暴力破解，同時開啟用戶身份鑒別過程的審計記錄，對于登錄成功和失敗的事件進行審計記錄。服務器、運維終端、業務終端主機應安裝殺毒軟件并及時升級。打開病毒監控并定期對主機進行全盤殺毒，以避免黑客軟件的入侵和竊取密碼。

4 結束語

信息系統的安全建設是一個龐大的系統工程，管理者必須從物理機房、硬件、軟件、管理等多個方面考慮，本文從靜態密碼的防護方面提出了等級保護測評中常見的風險，并給出了整改建議，以保障信息系統的安全。

參考文獻

[1] 標準編號（GB/T 22239-2008）.信息安全技術信息系統安全等級保護基本要求[S].

作者簡介：

胡亞蘭（1987-），女，河南信陽人，助理研究員，工學碩士；主要研究方向和關注領域：信息安全及相關檢測技術。

張艷（1981-），女，上海人，博士，研究員；主要研究方向和關注領域：信息安全及相關檢測技術。