2013设备安全需求规格书.docxVIP

网络设备安全需求规格书序号项目子项目需求规格1管理通道安全管理面与用户面隔离a) 如果设备仅支持带外管理的系统，系统必须保证管理面与用户面隔离，确保在用户面使用端口扫描工具（如nmap）无法扫描到管理平面的地址及端口。b) 对于支持带内管理模式且有独立管理面IP的设备，设备应提供有效的办法（如ACL、VLAN等机制）来保证带内管理面与用户面的隔离。2操作系统安全操作系统生命周期不得使用已经停止维护的操作系统版本。操作系统加固1、系统经业界主流漏洞扫描工具扫描（如Nessus），扫描报告中不得出现高风险级别的漏洞。2、系统提供安全配置/加固指南和安全维护手册等文档。物料对操作系统安全补丁的兼容性测试需要制定周期性安全预警、安全补丁发布计划，安全补丁要提供兼容性测试报告。建议每季度发布一次补丁。3Web系统安全登录认证防暴力破解登录认证模块提供防暴力破解机制：验证码或者多次连续尝试登录失败后锁定帐号或IP会话管理对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作，以防止URL越权。登录口令保护向服务器端传递用户名和口令（含应用层用户名/口令）时，需采用安全协议（如HTTPS、HTTP digest）或加密用户名/口令后再传输。认证管理对用户的最终认证处理过程必须放到服务端进行。输入校验系统外部输入需在服务端进行最终校验。输出编码对于不可信的数据，输出到客户端前必须先进行HTML编码，防止脚本注入攻击。Web系统漏洞提供使用Web安全扫描工具（如AppScan、WebInspect、Acunetix Web Vulnerability Scanner）扫描的报告，扫描报告中不得出现高风险级别的漏洞。4产品开发、发布和安装安全禁止绕过系统安全机制的功能1、禁止隐秘访问方式：包括隐藏账号、隐藏口令、隐藏模式命令/参数、隐藏组合键访问方式；隐藏的协议/端口/服务；隐藏的生产命令/端口、调测命令/端口；不记录日志的非查询操作等2、禁止不可管理的认证/访问方式：包括用户不可管理的帐号，人机接口以及可远程访问的机机接口的硬编码口令，不经认证直接访问系统的接口等。3、除上述隐秘、不可管理的认证/访问方式外，不得含有其它任何形式的后门、木马等恶意代码或未知功能。禁止存在未文档化的命令/参数、端口等1、不得存在客户资料中没有公开的协议端口/服务；2、不得存在未文档化的命令、参数等（包括但不限于产品的生产、调测、维护用途）软件完整性对于涉及软件包分发的物料应提供完整性校验机制（如：数字签名或者哈希值），并提供文档说明验证方法。注：CRC不能用于完整性校验。5协议与接口通信矩阵1、提供清单列举物料所有功能/特性所使用到的端口；2、如存在动态侦听端口，侦听范围必须限定在确定的必要的范围内；3、未在通信矩阵中描述的端口应关闭协议安全1、系统的管理平面和近端维护终端（如LMT）、网管维护终端间，支持使用合适的安全协议（如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/SNMPv3等）进行通信。2、对于不安全协议（如FTP、Telnet），支持关闭，建议缺省关闭。产品资料中应建议用户使用安全协议，如需使用不安全协议，应提示风险。端口接入认证能对系统进行管理的逻辑端口/协议，应提供接入认证机制，标准定义无认证机制的除外。协议健壮性对与终端用户有交互或者与非信任网络互联的容易受攻击的协议，使用Codenomicon Defensics工具或认可的具有同等能力的工具进行畸形报文攻击测试，测试结果不得出现致命或严重级别的问题。这些协议和版本包括但不限于（请去掉产品无关的协议、补充相关的协议）：BGP, Diameter, DNS, DVRMP, EAP, FTP, GRE, GTP, H.225, H.248, H.323, HTTP, ICMP, IMAP, IPSec, IPv4, IPv6, IS-IS, ISAKMP/IKE, LDAP, MGCP, MPLS/LDP, NTP, OSPF, PIM, POP3, RADIUS, RIP, RSVP, RTP, RTSP, SIGCOMP, SIP, SNMP, SMTP, SSH, SSL/TLS, TACACS, TR-069, XML/SOAP, WAP.物理接口接入认证在设备面板上可见的能对系统进行管理的物理接口，应提供接入认证机制。6敏感数据与加密加密算法清单提供使用的所有加密算法清单，说明加密算法的应用场景。私有密码算法禁止使用私有算法实现加解密，包括但不限于：1. 自行定义的通过变形/字符移位/替换等方式执行的数据转换算法。2. 使用非密码算法用于加密目的，如用编码的方式（如Base64编码）实现数据加密的目的的伪加密实现。