广东电网公司地市供电局应用动态口令技术实现双因素强身份认证技术建议方案---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---目录1方案提出的政策和技术背景1.1国家重要信息系统等级保护条例等级保护条例有关身份验证的要求概要如下：1)应对登录系统的用户进行身份标识和鉴别；---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---2)用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；3)当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；4)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，其中一种具有不可复制和篡改的特点。《国家重要信息系统登记保护条例》由公安厅、信产部等推动，经过自我评估、第三方公司差距评测，目前已经进入到差距整改阶段，是国家强制执行的一项信息安全标准。1.2互联网的不安全性以及人的不可控因素互联网具有完全开放的特性，在带来方便性和低成本的同时，大量的病毒、木马程序泛滥，黑客横行，几乎达到不可控制的程度，身份信息泄露，数据信息信息泄密成为新的安全风险。多年的信息安全管理经验表明，信息安全管理中，人是最不可控的因素，人的安全意识、安全习惯和安全技术水平参差不齐，就密码安全来说，设置简单密码，密码长期不更新，多系统设置同样的密码成为常态，极易被猜测和盗用，导致泄密和受到黑客攻击。一般而言，IT部门对于密码管理的要求如下：（1）密码的长度足够长，至少8位（2）数字和英文字母混合，大小写混合等（3）必须定期更新，一般要求1个月更换一次---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---实际上，上述要求我们往往不能做到，主要是因为人的惰性、安全意识和可实现的问题，即使有做到上面的要求，我们的员工往往是将密码记录在自己的工作本后面，也只有这样才可能记住，但同时也带来的如被同事看到或者工作本丢失这样的风险问题。而口令是网络信息系统最常用的安全与保密措施之一。如果用户采用了适当的口令，那么他的信息系统安全性将得到大大加强。但是，实际上网络用户中谨慎设置口令的用户却很少，这对计算机内信息的安全保护带来了很大的隐患。此外，还可以从一个合法的终端上窃听会话并记录所使用的口令，采用这种方法，无论你所选择的口令如何好都无济于事。例如HTTP和Telnet协议都是不安全的网络协议，传输过程中不作任何加密，其他人只要在传输过程中安装Sniffer程序就可以非常方便地获得合法用户的口令就可以以非授权身份登录访问有关资源。2需求分析2.1IT运维网络设备、服务器主机和数据库系统是广东电网公司地市供电局业务和生产运营的IT支撑平台，其重要性毋庸置疑，对于这些网络设备的保护至关重要。如果非法用户获得管理员的帐号到网络设备上作了非法修改有可能导致整个网络系统的瘫痪，至地市供电局的业务和生产运营停摆，所以有必要对进入网络设备进行配置的人员进行强认证。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---同时，对于整个网络系统来说，有从互联网进入地市供电局内部网络的接口，如拨号服务器、防火墙和VPN网关，我们知道互联网是非常不安全的，如果黑客获得了合法人员的口令就可以冒充合法人员进入地市供电局内部网络，进入服务器主机和数据库系统，窃取关键的业务数据，对网络进行恶意破坏，这样企业就面临非常严重的后果，造成经济损失和商誉受损，以及主管部门的处罚。而对于哪些被盗取口令的用户，他们本身并不知觉，黑客每天都在冒充他的身份访问网络，最终的责任必定还是由自己承担。另一个实际情况是，地市供电局的IT平台维护往往由三部分人组成，一是自己的IT维护工程师，这部分人还比较好管理和控制；二是外包给第三方公司代维的工程师，他们不是地市供电局的员工，人员具有流动性，不好管理；三是IT设备和软件的厂商工程师，这部分人更加具有流动性，可能每次来服务的工程师都不同。为工作的方便性，我们往往需要提供网络设备、服务器主机和数据库系统的最高权限的账户和密码给代维工程师和厂商工程...