认证与MFA
多因素认证
MFA要求
| 访问类型 | 是否需要MFA | 首选方法 |
|---|---|---|
| 外部访问(VPN、门户) | 是 -- 无例外 | FIDO2 / WebAuthn |
| 管理员系统访问 | 是 -- 无例外 | FIDO2 / TOTP |
| 云服务 / SaaS | 是 -- 无例外 | TOTP / FIDO2 |
| 电子邮件访问 | 是 -- 无例外 | TOTP / FIDO2 |
| 内部应用(LAN) | 基于风险 | TOTP(需要时) |
MFA方法(优先级排序)
| 方法 | 安全级别 | 适用场景 |
|---|---|---|
| FIDO2 / WebAuthn | 最高(防钓鱼) | 所有访问的首选方案 |
| TOTP(认证器应用) | 高 | 标准替代方案 |
| 推送通知 | 中 | 仅在配合数字匹配时使用 |
| SMS-OTP | 低 -- 不允许使用 | 不允许(SIM卡交换风险) |
MFA例外
MFA要求的例外仅在有充分理由时允许:
- 须提供书面理由
- 须ISB审批
- 须定义补偿措施
- 有时间限制并设到期提醒
- 服务账户:IP白名单 + API密钥替代MFA
密码策略
| 要求 | 标准 |
|---|---|
| 最小长度 | 16个字符 |
| 推荐 | 口令短语(4个以上单词) |
| 复杂性 | 不强制要求特殊字符(长度优于复杂度) |
| 密码管理器 | 全体员工强制使用 |
| 重复使用 | 禁止(每个服务使用独立密码) |
| 泄露检查 | 自动对照HaveIBeenPwned / 已知泄露列表检查 |
| 到期 | 不强制定期更换(NIST 800-63B),仅在疑似泄露时轮换 |
服务账户
| 要求 | 实施方式 |
|---|---|
| 禁止共享账户 | 每个服务账户都有明确的所有者 |
| 最小权限 | 最小权限原则,仅授予所需的API范围 |
| 轮换 | API密钥至少每年轮换 |
| 监控 | 对服务账户使用进行异常检测 |
| 文档记录 | 记录用途、所有者、权限、创建日期 |