安全计算环境之网络设备
1. 身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
1)应核查用户在登录时是否采用了身份鉴别措施
2)应核查用户列表,测试用户身份标识是否具有唯一性
3)应核查用户配置信息或访谈系统管理员,核查是否不存在空口令用户
4)应核查用户鉴别信息是否具有复杂度要求并定期更换
b)具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
1)应核查是否配置并启用了登录失败处理功能:如果网络中部署堡垒主机,先核查堡垒主机是否具有登录失败处理功能,如果没有部署堡垒主机,则设置默认登录失败3次,退出登录界面
2)应核查是否配置并启用了限制非法登录达到一定次数后实现账户锁定功能
3)应核查是否配置并启用了远程登录连接超时并自动退出功能
以华为路由器为例,设置超时时间为5分钟,输入"“display current-configuration”命令,在VTY下查看是否存在如下类似配置:
line vty 0 4
access-list 101 in
transport input ssh
idle-timeout 5”
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
1)应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。如果网络中部署堡垒主机,先核查堡垒主机采用何种措施在进行远程登录时,防止鉴别信息在网络传输过程中被窃听,如SSH等方式
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
1)应核查系统是否采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户身份进行鉴别
2. 访问控制
a)应对登录的用户分配账户和权限;
1)应访谈网络管理员、安全管理员、系统管理员或核查用户账户和权限设置情况
2)应核查是否已禁用或限制匿名、默认账户的访问权限"
b)应重命名或删除默认账户,修改默认账户的默认口令
1)应核查是否已经重命名默认账户或默认账户已被删除
2)应核查是否已修改默认账户的默认口令
登录交换机,使用交换机默认账户和默认口令进行登录测试,看能否成功:
思科:账户: cisco、 Cisco,口令: cisco ;
华为:账户admin. huawei, 口令: admin 、[email protected]
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
1)应核查是否不存在多余的或过期的账户,管理员用户与账户之间是否一一对应
2)应核查并测试多余的、过期的账户是否被删除或停用
思科:输入show run命令,查看每条如下类似命令所配置的用户名是否确实必要:
username XXXXXXXX privilege xx password XXXXXXXX
华为/H3C:输入 display current-configuration命令,查看每条如下类似命令所配置的用户名是否确实必要:
local-user xxxxx privilege level x"
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
1)应核查是否进行角色划分,如划分为网络管理员,安全管理员、系统管理员等角色
2)应核查访问控制策略,查看管理用户的权限是否已进行分离
3)应核查管理用中权限是否为其工作任务所需的最小权
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
1)应检查是否由授权主体(如管理员用户)负责配置访问控制策略
2)应检查授权主体是否依据安全策略配置了主体对客体的访问规则
3)应测试验证用户是否有可越权访问情形
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
1)应检查访问控制的粒度是否达到主体为用户级或进程级,客体为文件、数据库表级
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问;
1)应检查是否对主体和客体设置安全标记
- 应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略
3. 安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
1)应核查是否开启了安全审计功能;网络设备设置日志服务器IP地址,并使用syslog方式或者SMP方式将日志发送到日志服务器
2)应核查安全审计范围是否覆盖到每个用户
3)应核查是否对重要的用户行为和重要安全事件进行审计
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
1)应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
1)访谈审计记录的存储、备份和保护的措施,是否将交换机日志定时发送到日志服务器上等,并使用syslog方式或SNMP方式将日志发送到日志服务器。
如果部署了日志服务器,登录日志服务器查看被测交换机的日志是否在收集的范围内
d)应对审计进程进行保护,防止未经授权的中断;
1)应测试通过非审计员的其他账户来中断审计进程,验证审计进程是否受到保护
4. 入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
此项不适用,该项要求一般在服务器上实现
b)应关闭不需要的系统服务、默认共享和高危端口;
1)应访谈系统管理员是否定期对系统服务进行梳理,关闭了非必要的系统服务和默认共享
- 应核查是否不存在非必要的高危端口
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
1)应核查配置文件是否对终端接入范围进行限制。如果网络中部署堡垒主机应先核查堡垒机是否限制管理终端地址范围,同时核查网络设备上是否仅配置位垒机的远程管理地址,否则登录设备进行核查:
Cisco路由器和路由器:输入show run命令;
华为/H3C路由器和路由器:输入diplay current- configuration命令
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
此项不适用,该项要求一般在应用层面上核查
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
1)应进行漏洞扫描,核查是否不存在高风险漏洞
2)应访谈系统管理员,核查是否在经过充分测试评估后及时修补漏洞
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警;
此项不适合,该项要求一般在入侵防护系统上实现
5. 恶意代码防范
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断;
此项不适合,该项要求一般在服务器上实现
6. 可信验证
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和 应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检 测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心;
1)应核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证
2)应核查是否应用程序的关键执行环节进行动态可信验证
3)应测试验证当检测到设备的可信性受到破坏后是否进行报警
4)应测试验证结果是否以审计记录形式送至安全管理中心