接上一條博文。

實(shí)施強(qiáng)效訪問控制措施

要求 7 ：按業(yè)務(wù)知情需要限制對(duì)持卡人數(shù)據(jù)的訪問

image.png

“知情需要“ 只授權(quán)訪問工作所需的最低限度的數(shù)據(jù)量和權(quán)限，這一點(diǎn)原則在很多地方都有體現(xiàn)，譬如操作系統(tǒng)的最小權(quán)限原則等等，也很好理解，權(quán)限越高，所帶來的隱藏的風(fēng)險(xiǎn)就越高，訪問數(shù)據(jù)的人越多，同理風(fēng)險(xiǎn)也越高。解決這一問題就是給不同的角色設(shè)定不同的權(quán)限，對(duì)用戶ID設(shè)置角色權(quán)限，授予為執(zhí)行工作所需的最小權(quán)限。

image.png

訪問控制系統(tǒng)默認(rèn)設(shè)為“全部拒絕”。有時(shí)候?yàn)榱斯芾碛脩粼L問，實(shí)體可具有一個(gè)或多個(gè)訪問控制系統(tǒng)。

要求8：識(shí)別并驗(yàn)證對(duì)系統(tǒng)組件的訪問

image.png

為有訪問權(quán)限的每個(gè)人分配一個(gè)唯一標(biāo)識(shí)符，確保每個(gè)人都能對(duì)自己的操作負(fù)責(zé)。避免出現(xiàn)多個(gè)員工共用一個(gè)ID。一個(gè)員工一個(gè)ID，出現(xiàn)問題，便可以根據(jù)用戶ID執(zhí)行操作和跟蹤。同時(shí)必須使用強(qiáng)有力的流程來管理用戶ID和其他驗(yàn)證憑證的所有變更。

image.png

看到第一點(diǎn)就笑出聲來，也許很多人會(huì)覺得這種情況發(fā)生的機(jī)率很低。但是就筆者個(gè)人接觸過的而言，這種情況太普遍了！尤其是在今年這個(gè)疫情的背景下，很多公司都進(jìn)行了大規(guī)模的裁員，難免會(huì)出下員工不滿足調(diào)劑或安排，利用自己的權(quán)限進(jìn)行脫褲、刪庫、在暗網(wǎng)上販賣客戶信息等等，走之前撈一筆或者搞搞小破壞。所以這一點(diǎn)與上面的呼應(yīng)起來，嚴(yán)格授予員工滿足工作需要的最小權(quán)限，其實(shí)也是限制出現(xiàn)問題后的影響范圍。對(duì)于一些不常用的用戶，也需要進(jìn)行監(jiān)控和管理，因?yàn)檫@些用戶很可能成為攻擊的切入點(diǎn)。除此之外，對(duì)于授權(quán)供應(yīng)商訪問網(wǎng)絡(luò)，也需要對(duì)其進(jìn)行監(jiān)控，確保供應(yīng)商僅在獲準(zhǔn)時(shí)間段內(nèi)訪問必要的系統(tǒng)。暴力猜解密碼是老問題了，賬戶鎖定機(jī)制可以有效的降低被猜解的風(fēng)險(xiǎn)。

image.png

image.png

對(duì)密碼進(jìn)行強(qiáng)效加密，避免明文傳輸被嗅探到。
社工這個(gè)問題，也是門學(xué)問吧?！氨Ｃ軉栴}”其實(shí)在很早之前就已經(jīng)出現(xiàn)了，當(dāng)時(shí)還感覺設(shè)置“保密問題”之類的簡(jiǎn)直是畫蛇添足，接觸安全之后，發(fā)現(xiàn)其實(shí)“保密問題”發(fā)揮的作用很大。

image.png

呼應(yīng)上一頁，這一頁講的是關(guān)于具體實(shí)現(xiàn)密碼強(qiáng)度和相關(guān)問題。第一點(diǎn)密碼或口令長(zhǎng)度至少為7個(gè)字符，同時(shí)包含數(shù)字和字母字符。這里站在用戶的角度，還需要注意不要過多將自己的個(gè)人信息作為密碼口令的部分，譬如生日、姓名全拼等，這些帶有社工屬性的密碼口令，也存在被猜解的風(fēng)險(xiǎn)。接著談到密碼變更的習(xí)慣，當(dāng)然很大一部分人包括筆者沒有這個(gè)習(xí)慣，但是站在企業(yè)公司的角度，周期性變更員工密碼口令可以降低猜解的風(fēng)險(xiǎn)。這里我想到了密碼本的問題，很多員工因?yàn)槠脚_(tái)或業(yè)務(wù)的賬號(hào)較多，喜歡將密碼記錄在第三方生成的密碼本里，這是極不安全的一個(gè)行為。評(píng)價(jià)其既不安全，不是說第三方生成的密碼本做的很low不安全，而是針對(duì)將大部分賬號(hào)集中記錄在某一塊這樣行為的不安全，一旦被入侵登陸其密碼本，所造成的損失影響將是形如多米諾骨牌效應(yīng)那樣。第三點(diǎn)，不允許個(gè)人提交與最近所用的4個(gè)密碼或口令中任何一個(gè)相同的新密碼。想想這樣的策略好像在很多大公司的產(chǎn)品里都有所體現(xiàn)，其實(shí)也是為了降低別人獲取到用戶密碼的可能性。

image.png

每個(gè)用戶首次使用和重置的密碼口令為唯一值，并在首次使用后立即變更。關(guān)于多因子認(rèn)證的問題，目前有很多種解決方案，這些方案我并沒有具體了解過，但是每種方案都有各自的優(yōu)缺點(diǎn)。多因子認(rèn)證問題的引出，其實(shí)是為了解決一個(gè)最根本的問題：怎么樣證明你是“你”？很玄學(xué)，卻又很有意思的一個(gè)問題。聽說生物特征驗(yàn)證最近挺火，不過了解的不多。