网络安全与系统维护指南.docxVIP

网络安全与系统维护指南

第1章基础防护与访问控制

1.1身份认证与多因素验证

身份认证是系统访问的第一道防线，必须严格区分静态密码与动态令牌。当前主流方案已不再依赖单一密码，而是采用“密码+生物特征”的组合模式。例如，在Linux系统管理中，应强制要求用户登录时同时输入账号密码和手机验证码，其中验证码有效期应设定为5分钟，过期后需重新，以此防止凭证被长期持有。多因素验证（MFA）需涵盖“知识因素”与“生物因素”的互补。知识因素包括短信验证码、邮箱验证或硬件令牌；生物因素则包括指纹识别、面部识别或虹膜扫描。例如，在金融级系统中，当用户输入错误密码两次后，系统应自动触发生物特征验证，若生物特征匹配度低于阈值，则直接拒绝登录，确保攻击者无法仅凭密码绕过防线。

必须实施基于属性的多因素验证，即根据用户的角色和敏感程度动态调整验证强度。普通用户仅需密码，而管理员或开发人员必须额外提供物理令牌或指纹验证。例如，在内部办公网络中，普通员工登录只需输入用户名和密码，而数据库管理员登录时必须同时输入密码并滑动手机侧面的指纹识别滑块，以防内部人员滥用权限。对于高敏感数据访问，需引入动态口令或时间戳校验机制。当用户尝试访问加密数据库时，系统不应仅验证静态凭证，还应验证请求时间戳是否处于当前会话的有效窗口期内。例如，在ERP系统中，若用户尝试在凌晨3点访问核心财务模块，