信息安全弱口令核查解決方案

1、 信息安全弱口令核查解決方案 目錄弱口令核查需求分析產(chǎn)品簡(jiǎn)介功能特點(diǎn)技術(shù)優(yōu)勢(shì)典型應(yīng)用用戶價(jià)值需求分析隨著企業(yè)信息化進(jìn)程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得越來越多，帳號(hào)弱口令問題變得日益突出起來。早期名為“Deloder”的蠕蟲病毒利用操作系統(tǒng)的弱口令進(jìn)行傳播，從而引起了互聯(lián)網(wǎng)通信的阻塞。該病毒使用了只有86個(gè)口令的列表，入侵了多達(dá)10萬(wàn)臺(tái)運(yùn)行微軟操作系統(tǒng)的計(jì)算機(jī)。這次攻擊表明，在IT系統(tǒng)的防護(hù)中使用弱口令，隱藏著巨大的安全隱患。2006年爆發(fā)的熊貓燒香病毒能感染系統(tǒng)中exe、com、src、html、asp等文件，還能終止大量的反病毒軟件進(jìn)程且導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)和網(wǎng)絡(luò)充斥著異常包。其病毒就是依靠?jī)?nèi)置

2、100行的密碼字典，對(duì)互聯(lián)的系統(tǒng)進(jìn)行口令破解，通過感染弱口令主機(jī)進(jìn)行傳播的。再如2014年12月發(fā)生了全球互聯(lián)網(wǎng)范圍的DNS流量異常事件，后經(jīng)證實(shí)是家庭網(wǎng)關(guān)、路由器、智能攝像頭等設(shè)備因普遍存在的默認(rèn)口令(均為弱口令)極易被木馬程序變成肉雞，成為惡意攻擊者發(fā)起攻擊的工具如果弱口令被內(nèi)部或外部攻擊者有效地利用，那么企業(yè)的系統(tǒng)將面臨巨大的安全風(fēng)險(xiǎn)。因此檢查系統(tǒng)中的弱口令，對(duì)弱口令進(jìn)行整改就成為整個(gè)安全體系建設(shè)中的重要環(huán)節(jié)。產(chǎn)品簡(jiǎn)介產(chǎn)品簡(jiǎn)介針對(duì)客戶對(duì)于口令監(jiān)管和核查的需求，啟明星辰公司研發(fā)了弱口令核查系統(tǒng)，用于核查設(shè)備中的帳號(hào)口令強(qiáng)度是否符合要求，實(shí)現(xiàn)系統(tǒng)、業(yè)務(wù)口令的常態(tài)化檢查，不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行

3、，以在線或者離線獲取各設(shè)備口令文件，后臺(tái)集中核查，支持核查各類在網(wǎng)主機(jī)、數(shù)據(jù)庫(kù)、中間件、業(yè)務(wù)系統(tǒng)（需定制開發(fā)）的弱口令，可全面掌控在網(wǎng)設(shè)備口令情況。弱口令核查系統(tǒng)由探針、破解引擎和管理中心組成，通過分布部署探針支持多個(gè)網(wǎng)絡(luò)接入，支持分布式弱口令破解分析。弱口令核查系統(tǒng)通過第三方軟件（如4A）獲取資源、帳號(hào)、密碼信息，或通過手動(dòng)方式在系統(tǒng)中錄入資源、帳號(hào)、密碼信息。弱口令核查時(shí)系統(tǒng)自動(dòng)登錄設(shè)備將密碼文件采集過來，通過字典庫(kù)進(jìn)行弱口令比對(duì)分析，最后展現(xiàn)弱口令數(shù)量、分布和趨勢(shì)。弱口令核查系統(tǒng)采用B/S架構(gòu)，包括基礎(chǔ)配置管理模塊、弱口令配置管理模塊、探針模塊、破解模塊和接口模塊。功能特點(diǎn)弱口令管理：設(shè)

4、置稽核相關(guān)配置，包括字典、弱口令規(guī)則、腳本、加密算法、報(bào)表等內(nèi)容。平臺(tái)組件管理：查看和掌握各組件的運(yùn)行情況，展示各組件及其日志等詳細(xì)情況。業(yè)務(wù)系統(tǒng)管理：增刪改用戶的業(yè)務(wù)系統(tǒng)；在業(yè)務(wù)系統(tǒng)下面創(chuàng)建不同的資源。角色管理：指定用戶管理哪些組織機(jī)構(gòu)；用戶分配相應(yīng)的功能權(quán)限（即菜單操作權(quán)限）；給用戶分配相應(yīng)的業(yè)務(wù)系統(tǒng)資源的權(quán)限。資源管理：可以對(duì)用戶的IT資產(chǎn)進(jìn)行增刪改、查詢、導(dǎo)入導(dǎo)出等操作；能識(shí)別的IT資產(chǎn)包括常用的主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)、中間件。用戶管理：對(duì)系統(tǒng)用戶進(jìn)行增刪改、授權(quán)、鎖定解鎖、導(dǎo)入導(dǎo)出等操作，設(shè)置口令策略及認(rèn)證方式。組織機(jī)構(gòu)管理：建立分級(jí)的組織機(jī)構(gòu)并關(guān)聯(lián)用戶。可按需進(jìn)行增刪改、導(dǎo)入導(dǎo)出等操作。

5、基礎(chǔ)配置：主要包括組織機(jī)構(gòu)管理、資源管理、角色管理、業(yè)務(wù)系統(tǒng)管理、平臺(tái)組件管理、日志查詢等功能。技術(shù)優(yōu)勢(shì)口令統(tǒng)一全生命周期管理集中管理系統(tǒng)資源和應(yīng)用資源賬號(hào)實(shí)現(xiàn)自動(dòng)發(fā)現(xiàn)、增刪改、凍結(jié)等全生命周期管理能力。動(dòng)態(tài)口令字典技術(shù)根據(jù)已有資源賬號(hào)、核查弱口令結(jié)果以及字典進(jìn)行增量、減量變化，生成相應(yīng)規(guī)則并動(dòng)態(tài)生成口令字典執(zhí)行核查任務(wù)。無(wú)損傷破解技術(shù)在技術(shù)上采用提取密碼文件的方式進(jìn)行解析，不影響系統(tǒng)的正常使用，與其他產(chǎn)品相比具有多種優(yōu)點(diǎn)。對(duì)外接口聯(lián)動(dòng)支持通過平臺(tái)提供的連接設(shè)備的網(wǎng)絡(luò)通道和權(quán)限通道：如第三方調(diào)度掃描接口、資產(chǎn)管理同步接口等。支持多種類型的IT資產(chǎn)支持多種類型的IT資產(chǎn)。多樣化報(bào)表展示資源報(bào)表、

6、資源負(fù)責(zé)人報(bào)表、字典命中率報(bào)表等，從不同維度展現(xiàn)弱口令情況。落實(shí)整改責(zé)任平臺(tái)建立賬號(hào)同自然人員關(guān)聯(lián)，定期自動(dòng)梳理賬號(hào)信息。靈活的核查方式在線直連設(shè)備采集和人工方式導(dǎo)入的離線核查兩種方式。滿足用戶不同網(wǎng)絡(luò)環(huán)境，使用流程簡(jiǎn)潔。典型應(yīng)用某省電力弱口令核查系統(tǒng)試用總結(jié)近期我公司弱口令核查系統(tǒng)在XXX省電力進(jìn)行了試用和測(cè)試，憑借產(chǎn)品無(wú)損傷的破解和動(dòng)態(tài)口令字典技術(shù)，取得非常好的測(cè)試效果，平均單個(gè)資產(chǎn)掃描時(shí)間為8秒，解決傳統(tǒng)掃描工具鎖定賬號(hào)、口令字典差無(wú)法有效發(fā)現(xiàn)系統(tǒng)弱口令，人工核查慢的問題。本次測(cè)試選取50多個(gè)業(yè)務(wù)系統(tǒng)的主機(jī)、數(shù)據(jù)庫(kù)、中間件，共80多個(gè)資源共發(fā)現(xiàn)140多個(gè)賬號(hào)存在弱口令。30%的系統(tǒng)存在弱

7、口令。通過本次弱口令核查系統(tǒng)試用一方面有解決用戶弱口令問題，提升用戶基礎(chǔ)安全防護(hù)能力。另一方面，提升我公司駐場(chǎng)運(yùn)維人員的服務(wù)能力、服務(wù)效果和用戶的安全感知。一、 系統(tǒng)部署方案本次弱口令核查系統(tǒng)部署在XXX省公司信息內(nèi)網(wǎng)，對(duì)內(nèi)網(wǎng)的主機(jī)、數(shù)據(jù)庫(kù)、中間件采用在線掃描方式進(jìn)行核查，對(duì)于外網(wǎng)的資源采用離線文件導(dǎo)入的方式進(jìn)行檢查。二、 弱口令核查效果本次測(cè)試根據(jù)用戶提供的資源針對(duì)linux主機(jī)、oracle數(shù)據(jù)庫(kù)、中間件進(jìn)行了測(cè)試。1、 Linux主機(jī)弱口令核查注：對(duì)檢查的弱口令進(jìn)行了模糊化2、 UNIX主機(jī)弱口令核查注：對(duì)檢查的弱口令進(jìn)行了模糊化3、 數(shù)據(jù)庫(kù)Oracle弱口令核查注：對(duì)檢查的弱口令進(jìn)行了

8、模糊化，發(fā)現(xiàn)部分賬號(hào)在密碼是用戶名和簡(jiǎn)單數(shù)字的結(jié)合。同時(shí)系統(tǒng)存在大量的空口令。4、 中間件弱口令核查未發(fā)現(xiàn)中間件存在弱口令。弱口令核查系統(tǒng)在某省聯(lián)通應(yīng)用案例【項(xiàng)目背景】由于業(yè)務(wù)發(fā)展需要，某省聯(lián)通公司業(yè)務(wù)系統(tǒng)不斷增多，隨之帶來的是大量的帳號(hào)口令，工作人員為了便于記憶，常常把部分口令設(shè)置相同或者過于簡(jiǎn)單，極大的增加了弱口令帶來的風(fēng)險(xiǎn)。該聯(lián)通公司為了應(yīng)對(duì)集團(tuán)檢查常常需要采用多種方式檢查弱口令，人工統(tǒng)計(jì)資產(chǎn)弱口令并通知整改，核查工作規(guī)模龐大費(fèi)時(shí)費(fèi)力，最終也未能達(dá)到理想的整改效果，并且工作人員往往在檢查后會(huì)再次把口令修改回來，留下巨大的安全隱患?！窘鉀Q方案】聯(lián)通公司需要一款弱口令核查工具，滿足集團(tuán)口令規(guī)

9、范要求，實(shí)現(xiàn)弱口令的常態(tài)化檢查，提高弱口令的檢查效率，降低弱口令造成的安全風(fēng)險(xiǎn)，通過多方面的調(diào)研和對(duì)比，最終選擇我司弱口令核查系統(tǒng)。在聯(lián)通公司網(wǎng)絡(luò)中部署一套弱口令核查系統(tǒng)，通過在線獲取或者離線導(dǎo)入密碼文件，再以破解服務(wù)器進(jìn)行加密算法分析，和客戶自定義的弱口令字典比對(duì)，統(tǒng)一展現(xiàn)弱口令核查結(jié)果，核查弱口令采用分析算法的方式實(shí)現(xiàn)，既不影響網(wǎng)絡(luò)和系統(tǒng)，也不會(huì)造成系統(tǒng)帳號(hào)鎖定，并且檢查效率高速度快。在本案例中，只需一臺(tái)服務(wù)器同時(shí)部署管理服務(wù)器、密碼文件獲取組件、破解服務(wù)組件，即可實(shí)現(xiàn)承載業(yè)務(wù)系統(tǒng)的主機(jī)、數(shù)據(jù)庫(kù)、中間件的弱口令核查任務(wù)。如果執(zhí)行在線弱口令核查任務(wù)只需保證被檢查的設(shè)備到弱口令核查系統(tǒng)的網(wǎng)絡(luò)聯(lián)

10、通性，離線任務(wù)直接通過導(dǎo)入密碼文件實(shí)現(xiàn)?！卷?xiàng)目成果】通過使用我司弱口令查系統(tǒng)，檢查出了大量弱口令，其中大部分在未使用弱口令核查系統(tǒng)前未能成功檢查出，進(jìn)行第一次弱口令核查任務(wù)時(shí)，僅在BSS系統(tǒng)中就檢測(cè)出800多個(gè)弱口令，且單個(gè)資源有多個(gè)帳號(hào)的情況下檢查速度能達(dá)到8秒以內(nèi)。弱口令核查系統(tǒng)的最終收益如下：1. 實(shí)現(xiàn)大規(guī)?？诹畹某B(tài)化檢查；2. 提升弱口令核查能力和效率；3. 防止系統(tǒng)被鎖定、安全設(shè)備的異常告警；4. 降低系統(tǒng)被攻擊的風(fēng)險(xiǎn)，提升安全性；5. 滿足規(guī)范要求，對(duì)弱口令帳號(hào)進(jìn)行核查?！就茝V價(jià)值】近年來口令被輕易猜測(cè)出造成信息泄露的事件屢見不鮮，各行各業(yè)都越來越重視弱口令帶來的風(fēng)險(xiǎn)，包括運(yùn)行商、電力、煙草、金融等行業(yè)均出臺(tái)了相關(guān)規(guī)范要求進(jìn)行弱口令的整治。在確保不影響業(yè)務(wù)的