4月28日,深信服统一身份安全管理系统(IDTrust)的双因素加固技术(对标等级保护第三级系统相关安全要求)通过了深圳市网安计算机安全检测技术有限公司的合规性测试,能够有效在访问目标资产时直接在网络设备、安全设备、操作系统上实现双因素鉴别能力。这意味着深信服IDTrust在业界率先完成目标资产的双因素认证能力构建,满足等级保护第三级系统的身份鉴别相关安全要求。
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)针对第三级系统的身份鉴别提出:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术实现。
《网络安全等级保护测评高风险判定指引(T/ISEAA 001-2020)》针对第三级系统进一步明确:关键网络设备、安全设备、操作系统如果不满足双因素鉴别要求,则可判定为高风险项。
深信服IDTrust提供的双因素加固方案通过在网络设备、安全设备、服务器等目标资产构建身份鉴别能力,帮助用户从源头上解决合规问题。相比传统通过先登录堡垒机再登录目标资产的方式,深信服IDTrust双因素实现方案更合规、更安全。
深信服IDTrust双因素实现方式与传统堡垒机实现方式对比
1. 传统采用堡垒机的方式一旦绕过堡垒机仍然只需要一次认证即可登录,目标资产本身仍然不具备双因素鉴别的能力,不满足等级保护对于双因素合规要求;且堡垒机实现单点登录后,权限过大,一旦堡垒机被拿下,则全网资产可以任意访问,这无疑是对运维安全管理的极大威胁。
2. 深信服IDTrust双因素加固方案通过Radius、LDAP协议直接在目标资产实现双因素加固,为网络设备、安全设备、Linux、Windows等全网资产提供双因素鉴别能力,满足双因素合规要求,增强运维管理安全。
除此之外,深信服IDTrust还能为用户带来实名制、防暴露等安全价值:
可信身份实名化:IDTrust实现全网OneID实名访问,所有系统留下的操作日志都可关联到人,便于威胁分析系统关联分析和人工威胁溯源。
零认证暴露面:IDTrust使认证服务不直接与用户通信,攻击者亦无法直连IDTrust并对其实施攻击,避免堡垒机等集中管理类设备被拿下后被直接获取全网资产运维权限。
深信服统一身份安全管理系统(IDTrust)通过构建以身份为中心的认证机制,全面支持各类Web业务、网络设备、安全设备、操作系统的认证对接,兼容全网资产,帮助用户建立真正的全网统一认证中心,让认证更便捷、身份更安全、管理更高效。
自发布以来,已帮助企业、政府、医疗、教育等行业的近百家用户构建了“全网统一、分区共治”的身份安全基础设施,实现了基于身份的统一身份认证体系。
未来,深信服IDTrust将紧密贴合各行业用户对于身份认证的需求,不断提升认证的便捷性和安全性,让每一个用户真切享受到高效、安全的认证体验。