-
-
[原创]国家安全部在线提示:弱口令,高风险,速修改!
-
发表于: 2024-9-12 11:39 1525
-
近日,国家安全部发布了一篇主题为《弱口令,高风险,速修改!》的文章。文章中提到国家安全机关工作发现的3起因弱口令引起的企业客户隐私数据泄露、公司邮件数据泄露,以及危害国家安全风险事件。
对此,国家安全机关再次提示:数字化时代,有关单位和个人应提高信息安全意识,履行网络安全义务,增强网络防护,避免使用弱口令,防止数据被窃取、泄露,影响国家安全。
那么,企业组织要如何履行网络安全义务,避免使用弱口令?
一、看似简单的弱口令却难解决?
从问题解决逻辑上来看,解决方法很简单。
首先,找出企业所有的弱口令账号、僵尸账号等。在此基础上进行账号密码整改,无效账号全面清除,弱口令账号全面按要求修改。
未来,所有账号密码修改遵循国家密码要求,进行高强密码设置,并每三个月一修改。
然而,从具体实施上来看,却并不容易。
首先,数字化时代,一家稍有规模的企业系统应用数至少十几个,规模大的企业甚至有成百上千套。这些应用系统建设时间还不一,有的甚至可以追溯到几十年前;
系统管理人员流动性大,不同系统管理制度各不相同;企业人员规模庞大、流动性大,还伴随着人员的入转调离等人事变动;
除了人的身份账号,企业还有特权账号、接口账号、设备账号、某个应用程序账号等......
要从这成百上千套应用系统找出企业包括人员、设备、接口、应用程序等所有弱口令账号、僵尸账号等高危账号,仅靠管理员依次排查,这样的效率和准确性属实堪忧。
而这还只是第一步,接下来账号整改又是一大难题。尤其是其中的人员配合问题,仅靠管理员制度的要求是不行的。
何况有的企业每个员工账号密码十几个,要员工记忆完全不一样的十几个强密码的确是强人所难,更遑论还要每三个月改一次密。
二、弱密码检测快速突破第一关卡
为了帮助企业告别弱密码,满足企业合法合规的安全等级要求,派拉软件自主研发了弱密码检测系统。该系统支持多种加密算法、校验密码强度,同时保障整体系统的密码安全性。整个系统实现了从弱密码发现,到审计,再到治理全流程一体化管理。
也就是说,企业利用弱密码检测系统,可以根据企业自身特征进行弱密码规则定义,在系统原有的弱密码库(200 万明文密码库、200 万 Hash 弱密码库等,并根据互联网爬虫将互联网常用语义录入系统弱密码库)基础上进行补充,然后一键快速扫描与弱密码库相符的企业所有应用系统弱密码账号。
扫描过程,系统支持AD、LDAP、Radius、DB、Linux等多种扫描方式,可对现有资产已经存在的密码进行密文扫描,无需解密,从而保证企业账号密码数据的安全性。扫描出的弱密码数据,系统可以在线灵活开启通知策略,管理员可根据人员、系统、账号重要等级等各要素的不同,灵活设定并开启账号处理策略(如强制改密)。后续新建的或账号新增的其他应用系统改密操作,可以通过派拉软件弱密码检测系统提供 的Open API进行调用,对密码进行弱密码校验,从源头解决企业弱密码问题。
三、账号密码安全与用户体验优化
清除了所有累积已久的弱密码账号,接下来企业需要考虑如何持续有效的安全管控弱密码账号以及其他风险账号,并在此基础上优化用户体验。派拉软件认为,通过将企业内部员工身份,供应商、经销商等B端身份,C端用户身份,设备、API、IOT、机器人等非自然人身份进行统一OneID治理,结合八大建设步骤,可以快速解决企业身份账号、密码、人员管理与办公难题。
1、理数据:一次梳理,身份全清
在清除各种弱密码、孤儿账号、影子账号、僵尸账号等各类风险账号等基础上,全面梳理企业所有应用系统数字身份历史数据,了解企业数字身份管理现状。基于利旧准则,在摸清企业已有身份数据与管理情况后,结合企业实际数字身份管理要求,为后续制定数字身份治理与管理的规范制度做好数据调研基础。
2、定规章:细化规则,统筹把控
在梳理数据基础上,定制统一身份认证规范、统一身份管理规范、应用帐号管理规范、帐号管理集成技术标准、应用集成接口规范与集成指引等系列规章制度。
通过细化管理规则,提前统筹把控身份管理与安全问题,结合数字身份治理与管理平台,将身份与访问管理制度线上化与流程化,有效保障企业数字身份管理与安全的强落地,并为后续更多新业务应用系统集成与身份管理提供标准化抓手。
3、纳单点:一个身份,全网通用
在统一数字身份管理规章制度的基础上,快速打通企业上百个业务系统,实现单点登录,让员工摆脱多个账号密码困扰,仅凭一个身份,即可跨浏览器无感知安全便捷地访问所有业务应用系统,提升效率的同时优化员工办公体验。
4、强认证:一次认证,便捷通行
借助统一门户与单点登录,员工只需在门户中认证一次,即可直接访问权限范围内的业务应用,无需反复认证。
支持30+种认证登录方式,后端直接配置登录方式,包括账密、短信、OTP、扫码、人脸识别、无密码、社交登录等。这也就意味着在保障安全前提下,员工可以无密码登录,更加高效便捷。
5、授权限:一个后台,精细授权
管理员可在一个后台对所有数字身份进行统一授权,灵活定义和管理用户对资源和功能的访问权限。通过对业务应用系统重要程度等级划分,将访问权限根据需求不断细化到每个应用、菜单栏、行、列,甚至数据级等。
基于定义角色、权限策略和访问规则,实现精确的授权管理,确保每个用户只能访问其所需的资源,提高数据安全性和合规性。
6、控风险:嵌入大模型,安全防护
整个用户资源访问过程中,嵌入AI大模型,结合用户与实体行为分析(UEBA)能力,根据不同业务安全风险场景,采取风险控制引擎,依据身份因子、浏览器因子、操作系统因子、行为因子等各种风险因子;
在重要风险决策点,如注册、登录、应用系统访问、业务功能获取等环节,进行相关身份安全风险的识别与风险管控等,如各种撞库、代理登录、批量登录、非常态登录等登录风险问题,机器人访问、批量注册、虚假注册等风险,帮助企业智能化、自动化、全面化的实现安全监测与风险识别。
7、全审计:一份日志,全盘审计
对企业所有业务应用系统进行统一全面安全审计,打破过去各业务系统独立审计的困局,实现一份日志,即可追溯管理员、用户在整个内生“数字世界”从点击链接进入到登录、认证、访问、操作、权限变更等全流程行为与轨迹。
管理员可通过个性化配置可视化的报表和日志分析审计视图,快速掌握系统的安全状况和用户活动,及时发现和应对潜在的安全风险,实现访问可视化、透明化、安全化。
8、自服务:一个中心,便捷服务
直观易用的自服务门户,使用户能够自主管理和访问其账号和权限。例如,企业员工可以在线快速自主提交信息修改、密码找回/修改/重置、查看和更新个人信息、账号权限调整等申请。
管理员通过配置自动化审批与人工+智能化决策,快速进行审批与授权等操作,减轻企业IT团队的负担,提高用户体验和工作效率。
最后,弱口令就像是一扇未上锁的门,随时可能被不法分子利用。而一个复杂的口令、一次加强的二次认证、一个AI风险大模型的嵌入、一份全链路的安全审计......都可能成为保护企业“数字世界”的坚实盾牌。
立即行动,持续优化您的企业数字身份安全管控,履行国家网络安全义务!