解析A.1.2BIOS弱密码风险的11个关键点

2023-11-23 理论教育版权反馈

【摘要】：合理利用BIOS密码可以给终端的安全带来很大的益处。需要结合不同的终端进行BIOS密码的设置规定。表 A-42.风险管控风险点（1-5）：BIOS密码强度不符合要求的风险管控流程。2）事中处置定期检查终端资产的BIOS密码设置情况。BIOS密码复杂度不符合要求，警告终端用户，管理员记录违规情况。1）加强安全意识培训和教育，使终端用户意识到密码口令的重要性，督促其按照规定设置BIOS密码。

1.风险分析

（1）风险描述

设置BIOS密码可以为终端带来一定程度的保护。设置BIOS密码的目的有两个：一是防止别人擅自更改终端的BIOS设置；二是防止别人非法进入终端（包括进入操作系统等）。

合理利用BIOS密码可以给终端的安全带来很大的益处。需要结合不同的终端进行BIOS密码的设置规定。

公用的计算机，比如只作为查询作用的终端，一般会采取BIOS密码不公开的方式，此时允许他人进入操作系统使用计算机，但不允许他人进入BIOS画面随意修改BIOS设置，以保护计算的正常运行。

比较重要的个人终端，如果不允许其他人使用，则必须设置BIOS密码不公开，此时别人无法进入BIOS设置，也无法进入操作系统。

个人终端，允许指定的几个人使用，可以设置BIOS密码，并将密码告知指定的使用人，但需要保留“管理员密码”，日后可以根据需要取消或修改掉BIOS密码，这样，终端BIOS主动权掌握在高级管理员手中。

BIOS密码设置为空或者较弱，很容易被别人猜中，从而控制硬件启动顺序，主机很可能被别人控制不能操作，使而失去可用性。也可能被别人利用软盘、光盘和U盘等外部引导方式或远程启动方式控制电脑。由于现在CPU多提供智能控制功能，因此通过BIOS就可以开启远程控制，并且可以在操作系统启动之前进行控制，实现操作系统的修复和重新安装，功能上方便了，但是安全风险也增加了。

（2）相关风险点

终端BIOS弱密码风险点见表A-3。

表 A-3

（a）基于资产使用生命周期分析

该类风险涉及入网、运行阶段。

风险点（1-11）：终端BIOS密码不设置或者为空、较弱都极有可能被轻易获得，从而终端被控制利用，导致终端无法启动，不可用，设置被通过U盘等其他虚拟驱动登录方式或者远程控制的方式登录终端主机，造成终端数据信息被复制、外泄等风险。

（b）与信息安全关系

密码口令风险涉及在线信息安全风险和存储信息风险。

由于BIOS弱口令的存在，使得BIOS口令容易被破解。其损害有：引起终端的启动顺序变化，使用外接系统引导，绕开终端的监控和防护，直接读取终端的文件信息，导致存储在计算机中的信息外泄；可以利用主动控制等远程操作方式监视主机与业务服务器的连接，下载服务中的敏感信息，引发信息外泄风险。

（c）基于资产使用人分析

BIOS风险对所有人均有可能发生，但该类风险主要还是在内部人员中发生，当内部别有企图的人员接近终端的时候，很容易进入BIOS，重新设置密码，导致操作系统不能正常启动，或者通过设置硬件启动顺序，通过USB中虚拟操作系统启动，导致终端被控制，信息外泄；其他人员的终端往往由于制度和规范保护，经过统一处理，可以有效降低该类风险。

（d）合规性要求

合规性要求详见表A-4。

表 A-4(www.chuimin.cn)

2.风险管控

风险点（1-5）：BIOS密码强度不符合要求的风险管控流程。

1）事前处置所有终端领用时初始化BIOS密码，对于拥有修改BIOS权限的使用者，制定BIOS密码管理要求，包括密码口令不能为空、密码复杂度、密码最小长度、密码更新周期。如强行规定密码复杂度达到8个以上字符，包含大小写、数字、符号等。

2）事中处置定期检查终端资产的BIOS密码设置情况。

发现BIOS密码为空时，警告终端用户，管理员记录违规情况。

BIOS密码复杂度不符合要求，警告终端用户，管理员记录违规情况。

如果经提醒不修改密码，则记录日志用于后期审计和行政处罚。

3）事后处置管理员保留违规记录，如果出现安全事件，可以追溯责任人，逾期不修改的，结合行政扣分管理措施等。

控制流程详见图A-3。