近日,國家安全部發(fā)布了一篇主題為《弱口令,高風險,速修改!》的文章。文章中提到國家安全機關工作發(fā)現(xiàn)的3起因弱口令引起的企業(yè)客戶隱私數(shù)據(jù)泄露、公司郵件數(shù)據(jù)泄露,以及危害國家安全風險事件。
對此,國家安全機關再次提示:數(shù)字化時代,有關單位和個人應提高信息安全意識,履行網(wǎng)絡安全義務,增強網(wǎng)絡防護,避免使用弱口令,防止數(shù)據(jù)被竊取、泄露,影響國家安全。
那么,企業(yè)組織要如何履行網(wǎng)絡安全義務,避免使用弱口令?
01
看似簡單的弱口令卻難解決?
從問題解決邏輯上來看,解決方法很簡單。
首先,找出企業(yè)所有的弱口令賬號、僵尸賬號等。在此基礎上進行賬號密碼整改,無效賬號全面清除,弱口令賬號全面按要求修改。
未來,所有賬號密碼修改遵循國家密碼要求,進行高強密碼設置,并每三個月一修改。
然而,從具體實施上來看,卻并不容易。
首先,數(shù)字化時代,一家稍有規(guī)模的企業(yè)系統(tǒng)應用數(shù)至少十幾個,規(guī)模大的企業(yè)甚至有成百上千套。這些應用系統(tǒng)建設時間還不一,有的甚至可以追溯到幾十年前;
系統(tǒng)管理人員流動性大,不同系統(tǒng)管理制度各不相同;企業(yè)人員規(guī)模龐大、流動性大,還伴隨著人員的入轉調離等人事變動;
除了人的身份賬號,企業(yè)還有特權賬號、接口賬號、設備賬號、某個應用程序賬號等......
要從這成百上千套應用系統(tǒng)找出企業(yè)包括人員、設備、接口、應用程序等所有弱口令賬號、僵尸賬號等高危賬號,僅靠管理員依次排查,這樣的效率和準確性屬實堪憂。
而這還只是第一步,接下來賬號整改又是一大難題。尤其是其中的人員配合問題,僅靠管理員制度的要求是不行的。
何況有的企業(yè)每個員工賬號密碼十幾個,要員工記憶完全不一樣的十幾個強密碼的確是強人所難,更遑論還要每三個月改一次密。
02
弱密碼檢測快速突破第一關卡
為了幫助企業(yè)告別弱密碼,滿足企業(yè)合法合規(guī)的安全等級要求,派拉軟件自主研發(fā)了弱密碼檢測系統(tǒng)。
該系統(tǒng)支持多種加密算法、校驗密碼強度,同時保障整體系統(tǒng)的密碼安全性。整個系統(tǒng)實現(xiàn)了從弱密碼發(fā)現(xiàn),到審計,再到治理全流程一體化管理。
也就是說,企業(yè)利用弱密碼檢測系統(tǒng),可以根據(jù)企業(yè)自身特征進行弱密碼規(guī)則定義,在系統(tǒng)原有的弱密碼庫(200 萬明文密碼庫、200 萬 Hash 弱密碼庫等,并根據(jù)互聯(lián)網(wǎng)爬蟲將互聯(lián)網(wǎng)常用語義錄入系統(tǒng)弱密碼庫)基礎上進行補充,然后一鍵快速掃描與弱密碼庫相符的企業(yè)所有應用系統(tǒng)弱密碼賬號。
掃描過程,系統(tǒng)支持AD、LDAP、Radius、DB、Linux等多種掃描方式,可對現(xiàn)有資產(chǎn)已經(jīng)存在的密碼進行密文掃描,無需解密,從而保證企業(yè)賬號密碼數(shù)據(jù)的安全性。
掃描出的弱密碼數(shù)據(jù),系統(tǒng)可以在線靈活開啟通知策略,管理員可根據(jù)人員、系統(tǒng)、賬號重要等級等各要素的不同,靈活設定并開啟賬號處理策略(如強制改密)。
后續(xù)新建的或賬號新增的其他應用系統(tǒng)改密操作,可以通過派拉軟件弱密碼檢測系統(tǒng)提供 的Open API進行調用,對密碼進行弱密碼校驗,從源頭解決企業(yè)弱密碼問題。
03
賬號密碼安全與用戶體驗優(yōu)化
清除了所有累積已久的弱密碼賬號,接下來企業(yè)需要考慮如何持續(xù)有效的安全管控弱密碼賬號以及其他風險賬號,并在此基礎上優(yōu)化用戶體驗。
派拉軟件認為,通過將企業(yè)內部員工身份,供應商、經(jīng)銷商等B端身份,C端用戶身份,設備、API、IOT、機器人等非自然人身份進行統(tǒng)一OneID治理,結合八大建設步驟,可以快速解決企業(yè)身份賬號、密碼、人員管理與辦公難題。
1
理數(shù)據(jù):一次梳理,身份全清
在清除各種弱密碼、孤兒賬號、影子賬號、僵尸賬號等各類風險賬號等基礎上,全面梳理企業(yè)所有應用系統(tǒng)數(shù)字身份歷史數(shù)據(jù),了解企業(yè)數(shù)字身份管理現(xiàn)狀。
基于利舊準則,在摸清企業(yè)已有身份數(shù)據(jù)與管理情況后,結合企業(yè)實際數(shù)字身份管理要求,為后續(xù)制定數(shù)字身份治理與管理的規(guī)范制度做好數(shù)據(jù)調研基礎。
2
定規(guī)章:細化規(guī)則,統(tǒng)籌把控
在梳理數(shù)據(jù)基礎上,定制統(tǒng)一身份認證規(guī)范、統(tǒng)一身份管理規(guī)范、應用帳號管理規(guī)范、帳號管理集成技術標準、應用集成接口規(guī)范與集成指引等系列規(guī)章制度。
通過細化管理規(guī)則,提前統(tǒng)籌把控身份管理與安全問題,結合數(shù)字身份治理與管理平臺,將身份與訪問管理制度線上化與流程化,有效保障企業(yè)數(shù)字身份管理與安全的強落地,并為后續(xù)更多新業(yè)務應用系統(tǒng)集成與身份管理提供標準化抓手。
3
納單點:一個身份,全網(wǎng)通用
在統(tǒng)一數(shù)字身份管理規(guī)章制度的基礎上,快速打通企業(yè)上百個業(yè)務系統(tǒng),實現(xiàn)單點登錄,讓員工擺脫多個賬號密碼困擾,僅憑一個身份,即可跨瀏覽器無感知安全便捷地訪問所有業(yè)務應用系統(tǒng),提升效率的同時優(yōu)化員工辦公體驗。
4
強認證:一次認證,便捷通行
借助統(tǒng)一門戶與單點登錄,員工只需在門戶中認證一次,即可直接訪問權限范圍內的業(yè)務應用,無需反復認證。
支持30+種認證登錄方式,后端直接配置登錄方式,包括賬密、短信、OTP、掃碼、人臉識別、無密碼、社交登錄等。這也就意味著在保障安全前提下,員工可以無密碼登錄,更加高效便捷。
5
授權限:一個后臺,精細授權
管理員可在一個后臺對所有數(shù)字身份進行統(tǒng)一授權,靈活定義和管理用戶對資源和功能的訪問權限。通過對業(yè)務應用系統(tǒng)重要程度等級劃分,將訪問權限根據(jù)需求不斷細化到每個應用、菜單欄、行、列,甚至數(shù)據(jù)級等。
基于定義角色、權限策略和訪問規(guī)則,實現(xiàn)精確的授權管理,確保每個用戶只能訪問其所需的資源,提高數(shù)據(jù)安全性和合規(guī)性。
6
控風險:嵌入大模型,安全防護
整個用戶資源訪問過程中,嵌入AI大模型,結合用戶與實體行為分析(UEBA)能力,根據(jù)不同業(yè)務安全風險場景,采取風險控制引擎,依據(jù)身份因子、瀏覽器因子、操作系統(tǒng)因子、行為因子等各種風險因子;
在重要風險決策點,如注冊、登錄、應用系統(tǒng)訪問、業(yè)務功能獲取等環(huán)節(jié),進行相關身份安全風險的識別與風險管控等,如各種撞庫、代理登錄、批量登錄、非常態(tài)登錄等登錄風險問題,機器人訪問、批量注冊、虛假注冊等風險,幫助企業(yè)智能化、自動化、全面化的實現(xiàn)安全監(jiān)測與風險識別。
7
全審計:一份日志,全盤審計
對企業(yè)所有業(yè)務應用系統(tǒng)進行統(tǒng)一全面安全審計,打破過去各業(yè)務系統(tǒng)獨立審計的困局,實現(xiàn)一份日志,即可追溯管理員、用戶在整個內生“數(shù)字世界”從點擊鏈接進入到登錄、認證、訪問、操作、權限變更等全流程行為與軌跡。
管理員可通過個性化配置可視化的報表和日志分析審計視圖,快速掌握系統(tǒng)的安全狀況和用戶活動,及時發(fā)現(xiàn)和應對潛在的安全風險,實現(xiàn)訪問可視化、透明化、安全化。
8
自服務:一個中心,便捷服務
直觀易用的自服務門戶,使用戶能夠自主管理和訪問其賬號和權限。例如,企業(yè)員工可以在線快速自主提交信息修改、密碼找回/修改/重置、查看和更新個人信息、賬號權限調整等申請。
管理員通過配置自動化審批與人工+智能化決策,快速進行審批與授權等操作,減輕企業(yè)IT團隊的負擔,提高用戶體驗和工作效率。
弱口令就像是一扇未上鎖的門,隨時可能被不法分子利用。而一個復雜的口令、一次加強的二次認證、一個AI風險大模型的嵌入、一份全鏈路的安全審計......都可能成為保護企業(yè)“數(shù)字世界”的堅實盾牌。
立即行動,持續(xù)優(yōu)化您的企業(yè)數(shù)字身份安全管控,履行國家網(wǎng)絡安全義務!