文章总结： 本文阐述了等保中标识与鉴别的基本概念。标识需唯一不可伪造，鉴别验证身份真实性，分三类信息。重点指出等保三级系统必须采用含密码技术的双因素认证，单一或多重口令均不符合要求且属高风险项。文章建议增强口令复杂度，明确标识与鉴别是访问控制基础。 综合评分： 83 文章分类： 政策法规,安全建设,安全意识

做等保的人需要理解标识与鉴别的基本概念

何威风 何威风

河南等级保护测评

2026年3月9日 00:00 河南

简言之，标识与鉴别是涉及系统和用户的一个过程。

标识就是系统要标识用户的身份，并为每个用户取一个系统可以识别的内部名称——用户标识符。标识也就是指用户（设备）向信息系统（或对等实体）表明其身份的行为。用户标识符必须是唯一的且不能被伪造，防止一个用户冒充另一个用户。

先要知道李逵是李逵

鉴别是指信息系统利用单一或者多重鉴别机制对用户（设备）所声称身份的真实性进行验证的过程。简言之，即将用户标识符与用户联系的过程称为鉴别，鉴别过程主要用于识别用户的真实身份，鉴别操作总是要求用户具有能够证明他的身份的特殊信息，并且这个信息是秘密的，任何其他用户都不能拥有它。为证实其身份的真实性，用户还应在标识的同时提供一种或几种鉴别信息。

不让李鬼冒充李逵

一般来说，作为身份认证的信息可以分为三类，即用户所知道的信息；用户所持有的信息；用户的特征；三种认证信息举例情况是这样，如口令属于用户所知道的；智能卡属于用户所持有的；指纹则属于用户的特征。利用这三类身份认证信息中的任何一类均可建立用户身份的认证机制，当然，同时利用两种或三种信息的组合来作为身份认证机制，会进一步增强认证机制的有效性和强壮性。

提供多种鉴别信息也正是网络安全等级测评中第三级以上信息系统的安全计算环境的身份鉴别所要求的内容，在网络安全等级保护的第三级安全计算环境之身份鉴别的  d)项，是这么描述的“应采用口令 、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现”，我们在日常中称这个要求为“多因素认证”。

我们看到这里要求的是两种或两种以上的鉴别技术，而不是两“个”。所以，如果某单位信息系统内的设备采用的是口令作为鉴别方式，那么无论能设置几组口令或已经设置几组口令，在等级保护测评中这项都是不符合的，而且作为等保2.0的第三级以上系统作为高风险项，涉及到用户测评报告结果得分，所谓高风险项也就是“一票否决”项，所以这里需要特别注意。当然在高风险项补救措施中，如下：

1、如设备通过本地登录方式（非网络方式）维护，本地物理环境可控，可酌情降低风险等级。

2、采用两重用户名/口令认证措施（两重口令不同），例如身份认证服务器、堡垒机等手段，可酌情降低风险等级。

另外，在三级系统中高风险判例中指出是对重要核心设备、操作系统等通过不可控网络环境远程进行管理，这里也是一个思考点。

指纹图片

对于大多数信息系统来说，鉴别一般是在用户登录时发生的，系统提示用户输入口令，然后判断用户输入的口令是否与系统中存在的该用户的口令一致。口令机制是简便易行的鉴别手段，但通常比较脆弱，从常规报道与人们的生活习惯，我们知道许多用户常常使用自己的姓名、配偶的姓名、宠物的名字或者生日作为口令，这种口令很不安全，因为这种口令很难经得住常见的字典攻击的。

 较安全的口令通常我们建议是不少于8个字符，较严格一点的话不少于12个字符，随着硬件性能和攻击口令工具的不断更迭，口令长度建议是宜长不宜短。并同时含有数字、字母大小写和特殊符号，并且限定一个口令的生存周期。 另外，前面我们提到了多因素认证，随着生物认证技术的不断发展，作为一种比较有前途的鉴别用户身份的方法，利用指纹、视网膜甚至是行为习惯等作为鉴别技术。目前有关技术巳取得了长足进展，已经在多种场合达到了实用水平。

虹膜扫描

标识与鉴别是用来确保用户在系统中的唯一性和可确认性，防止信息系统被非授权用户非法登录的技术手段，是实现访问控制机制的前提和基础。例如，用户登录网络设备、操作系统、数据库和应用系统时，都需要对用户进行标识与鉴别。访问控制的决策基于可信任的标识与鉴别，同时标识与鉴别的信息可作为不可否认性和用户承担责任的证据。下面，对标识与鉴别和访问控制不同处做一点分辨。

访问控制仅适用于系统内的主体和客体，而不包括外界对系统的访问。控制外界对系统访问的技术是标识和鉴别。有关访问控制，就涉及强制访问控制和自主访问控制。

参考文献：

卿斯汉  操作系统安全

公安部信息安全等级保护评估中心  信息安全等级测评师培训教程（初级）

GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求

GB/T22239-2008 信息安全技术 信息安全等级保护基本要求****

GB/T 18794-2003 信息技术 开放系统互连 开放系统安全框架

安全通信网络高风险判定及整改建议

物理层面高风险判定及整改建议

《网络安全法》第二十三条第（一）项合规分解

《网络安全法》第二十三条第（二）项合规分解

《网络安全法》第二十三条第（三）项合规分解

《网络安全法》第二十七条合规分解

由《网络安全法》罚则第六十一条给网络运营者闲聊几句

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 何威风 何威风《做等保的人需要理解标识与鉴别的基本概念》