2017年第1期 信息通信
2017
(总第 169 期)
INFORMATION & COMMUNICATIONS (Sum. N o 169)
孙凯
(陕西省专用通信局,陕西西安710075)
摘要:弱口令一直作为各种安全检查、风险评估报告中最常见的高风险安全问题存在,成为攻击者控制系统的主要途径,
因此针对系统和业务应用建立自动化、闭环的弱口令高效核查尤为重要。关键词:弱口令;云服务平台;闭环检查;暴力破解中图分类号:TP 311 文献标识码:A
文章编号:1673-1131(2017)01-0178-03
张俪演过的电视剧〇引言
随着信息技术的不断发展,网络规模日益扩大,在用业务 系统、网络设备、防护设备的数量和种类日益増多,管理、维护 的工作量成倍増加,账号密码的管理成为重中之重,而弱口令 就是其中最大的安全隐患长期以来,弱口令一直作为各种安 全检查、风险评估报告中最常见的高风险安全问题存在,成为 攻击者控制系统的主要途径。截至2015年底,各项安全事件 中弱口令相关占比高达90%。因此应针对系统和业务应用建 立自动化、闭环的弱口令髙效核查很有意义。如何选车
1弱口令检查存在的问题
(1)无法实现随时检査,定时调度,影响弱口令核査工作开展;
(3) 弱口令核査效率低下,影响弱口令整改工作;
(4)
每神加密算法的口令识别速度差巨大,单个口令最大
核查时间相差100倍,极大影响整改工作有序进行;
(5) 发现弱口令后无法及时有效的响应,或者响应速度慢,
影响系统整体安全性。
2实现原理及方案 2.1实现原理
通过搭建弱口令离线核査云平台实现无损核査;通过基 于云计算技术提高核查效率;设计弱口令破解任务调度加权
平衡算法,实现弱口令的识别速度的线性化;根据配置可以登 录设备进行强口令修改,自动化完成弱口令整改工作,反馈最 终核査结果完成闭环弱口令核査。或者调用4A 的密码修改 计划实现弱口令闭环整改;与告蒈平台(如B O M C )进行整合, 实现弱口令的及时告養;对弱口令字典库进行频次统计,实现 动态字典库破解顺序调整。
2.2方案设计⑴弱口令核査云服务器管理。设置弱口令核査云计算节 点的度量基准值;设置弱口令核査云计算节点的应用配置文 件。根据实时弱口令核査云计算节点度量值和度量基准值的 比较,进行云计算节点的自动化加载和释放,这部分可以融入 到云管理平台进行集中化管理。
(2) 离线弱口令核査。通过弱口令核査云平台登录被检査
设备,获取系统上的帐号口令加密(hash )文件,对设备上的所
有有效帐号密码进行离线的弱口令字典和业界通用弱口令字
典破解(同时对帐号和密码一样和密码为空的情况也视为弱
口令),以发现设备上存在的发现弱口令帐号同时保证生产系
统设备不受破坏。
里的拍了拍怎么弄弱口令检査具备完善的闭环任务控制功能,包括任务自 动执行:开始、暂停、恢复和终止。对于异常中断或人工暂停 的任务,具备中断任务的恢复功能。
弱口令检査主要分四个阶段:①生成弱口令字典:具备中 移动特的弱口令字典;②密码密文采集:支持主机、网络设 备、防火墙、数据库的弱口令采集,支持在线检查、离线检查两 种检査方式;③弱口令分析:通过技术手段逐一分析现网口令, 与弱口令进行对比;④弱口令分布统计:对全网弱口令现雛 行分析,得出弱口令数量、分布、排名和趋势,便于相关责任方 整改。
(3)
强口令修改。统计弱口令核査的结果,根据告瞀设置,
发出告警信息。同时,根据系统设置对设备账号的弱口令进 行强口令修改,保证其安全。
强口令生成模块支持基本的口令策略,比如S O X 法规要 求,也可以用户自定义口令策略,根据相应的口令策略生成强 口令。
生成的强口令后,弱口令云平台登录到设备,进行口令修 改,实现自动化的整改。
备注:哪些账号的口令可以自动化修改,可以通过系统设 置进行配置。
这个环节,也可以与现有4A 进行整合,直接调度4A 的密
178
信息通信
孙凯:自动化、闭环的弱口令核查云服务平台
码修改计划,针对单个账号或批量账号执行修改计划。
依照P D C A 管理循环模型,对弱口令核查进行闭环检查。
(4) 两级多任务核查单元。弱口令分析引擎采用两级的多
设备多线程调度;对于大任务量核查,平台支持云计算技术,可 以动态的平衡弱口令分析引擎计算单元:
单设备多进程分析。对于同一采集探针服务器,充分利用 C P U 多核心的特性,多线程并发进行弱口令分析工作。
多设备分布式分析。弱口令检查功能的分析引擎支持分 布式部署架构,由多个采集探针服务器同时采集、分析所管辖 网络内的多设备帐号。
根据弱口令核查的效率统计情况,利用云计算特性,动态 增加核查服务器,实现核查效率能达到既定要求。同时,对于 大任务进行分解,便于核查效率能准线性的进行,迅速开展弱 口令整治工作。
(5) 实时告警。对于核查出来的弱口令,通过告警平
台(如B O M C )进行及时告警通知,避免安全问题引起安
全事件。
(6)
动态弱口令字典。通过弱口令字典匹配一次,字典命
中频次加1,以此动态调整弱口令字典库字典顺序,形成各省 特的弱口令字典。这样的动态字典库能极大提高弱口令核 查的效率。
(7) 弱口令核查线性化算法设计。由于不同的口令加 密方式不一致,导致弱口令破解识别的时间差距,最短的 1分钟即可破解,最长的需要数小时完成。为了弱口令整 改工作能够有序有效地进行,弱口令核查的线性化意义 重大。肖战卷发
本项目采用时间加权与Floyd-Warshall 算法(动态规划) 结合的算法,以此来进行合理的任务调度,确保破解时间最短, 然后进行计算节点的任务分配,实现弱口令核查结果线性化 完成。
X \f \
A _
n
X 该加密算法破解时间权重,f 该加密算法口令个数
利用动态规划算法计算最短破解时间,给出破解顺序。保 障弱口令识别时间最短,已经尽量的实现线性化的口令破解 速度。(8)
闭环核查。“闭环”这个问题曾提出了很久,但一直没
有完善、成熟的技术作为依据,以往只能靠管理员的经验作为 控制手段。当执行策略以后,系统是没有反馈的,并不知道做 得好不好,有没有执行完;最后,我们发现时间一长,很多检查 是无效的。所以建立有效的闭环检查是整合弱口令核查云服
务平台最终重要的一个环节。
P (计划PLAN ):确定弱口令核查程度(目标),制定策略
核查计划。
D (执行D O ):对策略核查进行分析,实施行动计划。
C (检查CHECK ):根据分析结果给出相应强口令调整建
议和告警。
A (处理ACT )):参考调整建议进行强口令调整处理。 通过P D C A 模型将弱口令核查可重复化、阶段化,达到真
正的闭环,在执行的同时保证其安全性。
(9)支持范围和类型。
弱口令检查功能应支持主流设备,如下表所示:
类型
厂商类型厂商HP-UX
数据库
Oracle 操作系统
A D C Sybase ASE Solaris SQL Server Linux MySQL Huawei
网络设备Huawei 防火墙
Cisco Cisco Juniper Juniper ZTE
ZTE
弱口令检查支持的加密模式如下:
序号加密算法序号加密算法1NTMD42MD53SHA-14
SHA-256
5SHA-5126DES 7Blowfish 8MySQL 特有算法9Cisco 特有算法10
华为特有算法
11
中兴特有算法
动态字典库。动态字典库主要由业界常见的弱口令库, 收集的各个厂家常用口令库,移动自身特有的字典库组成。蒋欣 台湾
浪花一朵朵剧情介绍核查结果示意:
弱口令检査结果
弱口令帐号数量:6,
不可修改弱口令帐号数量:
5
弱口令帐号列表: zh an gyj> ••ot su d o ro o t, ***e i su d o u ser, a u d it, ••io ***56
lian gzw > *****t p s u n h g , ******23
179
2017年第1期信息通信2017 (总第169 期)INFORMATION & COMMUNICATIONS (Sum. N o 169)
基于SCDPM的备份系统设计
严丹
(四川警察学院,四川泸州646000)
摘要:针对目前高校所面临的数据容灾备份与数据恢复问题,设计了一个基于服务器自身保护的备份
系统,该系统采用 D2D2T,既能保证短期内数据的及时恢复,又能保证数据的长期有效性,实现了针对不同的业务类型采取不同的保护与 恢复机制策略。
关键词:备份系统;数据备份;SCDPM|数据恢复
中图分类号:TN929 文献标识码:A文章编号:1673-1131( 2017 )01-0180-02
Design of backup system based on SCDPM
YanDan
(Sichuan p o l i c e c o l l e g e,Luzhou646000,China)
Abstract:In view of t he proplem of Data backup and recovery data d i s a s t e r recovery i n u n i v c a^i t y,designed a backup system based on t he p r o t e c t i o n of t h e s e r v e r i t s e l f,the system adopts D2D2T,which can ensure t he timely recovray of d ata p o ints i n t h e s h o r t term,but a l s o can ensure tbe lang-tenn e f f e c t i v e n e s s of d a t a,r e a l i z e d f o r differmt types of b u siness t o t a k e d i f f e r e n t prot e c t i o n and recovery mechanism.
Keywords:backup system;d a t a backup;SCDPM;data recovery
0引言
随着信息化建设的发展,为高校实现数字化的管理,建器的备份。
1灾难恢复等级划分
设了很多项目,也产生了大量的数据,这些数据包括了学 生、教师的重要数据。怎样备份w和恢复这些数据成为了重 要的问题。通常,数据备份的核心是数据库的备份,目前市 场主流的数据库系统都有自己的数据库备份工具,但它们 不能实现自动备份,而且只能将数据备份到磁带机或者硬 盘上,不能驱动磁带库等自动加载设备。显然利用数据库 本身的备份工具远远达不到用户的要求,必须采用具有自动加载功能的磁带库硬件产品与数据库在线备份功能软件。
备份系统服务器会维护一个简单的数据库以管理相关曰志,如果该数据库损坏会破坏整个备份系统的运行,但是不会丢失已经备份的数据U1,只是无法査;但是,如 果备份服务器只是一个单独的服务器,在其操作系统上没 有其他的工作负载,服务器出现故障的可能性非常低,不 过为了防止小概率事件造成的大损失,可以采用相互备份 的方法,设计两台备份服务器.这两台备份服务器之间的连接可以是L A N也可以是W A N,因此可以做到真正意义 上的灾难恢复。因此本文采用S C D P M来实现系统服务
灾难恢复B1等级的定义是基于对灾难恢复七要素的不同 要求而进行的六个等级划分,如图1所示:
图1灾难恢复等级划分图
—般灾难恢复建议划分为第三级,实际划分情况需根据 自身项目条件而定。详细情况要素及要求可参照中华人民共 和国国家标准GB/T20988—2007《信息安全技术信息系统灾 难恢复规范》。
3结果预期
该平台切实地解决了目前弱口令核査处理效率低下、整改 不全面、无监督等问题。彻底解决风险评估报告中最常见的 弱口令高风险安全问题。
(1)该平台不仅可以周期性自动实现弱口令核査与问题展 现,同时具备自动化的弱口令整改能力。大大地减轻了一般维
(3)该平台以云服务的模式提供,对于大任务量核査,平 台支持云计算技术,可以动态地平衡弱口令分析引擎计算单元,提升有限硬件资源的利用率,提升核査效率。
参考文献:
[1] William S t a l l i n g s密码编码学与网络安全[M].电子工业出
版社,2004
护人员核査弱口令、若口令修改等日常口令维护工作。
(2)该平台提供集中、全面的弱口令字典库和设备种类支[2]吴开兴,张荣华.加密技术的研究与发展[J].计算机安全,
2011
持,便于系统的统一升级和管理,提髙了日常工作效率。同时 [3] DouglasR Stinson.密码学原理与实践[M].电子工业出版用户无需购买其他弱口令检査工具。社,2009
180
发布评论