三级等保之网络设备AAA及服务器动态口令加固方案-宁盾.PDF

解决方案 三级等保之网络设备AAA及服务器动态口令加固方案 随着信息化进程的发展，企业不断更新、升级网络，网络基础设施复杂多样，大型、异构的网络环境难以对用户 行为进行统一控制和审计。其中在对网络基础设施构成的安全风险调查中，由于不安全的身份认证及混乱的授权、 审计现状所导致事故占企业内部安全风险的80%。对此《网络安全法》提出，国家实行网络安全等级保护制度， 以帮助企业、政府机关合理地规避或降低风险。等保涉及范围包括：网络的物理安全、网络拓扑结构安全、网络 系统安全、应用系统安全和网络管理安全等。关于网络设备防护及及主机（服务器）身份鉴别的等级保护需求， 宁盾提供动态口令加固及网络设备AAA（Authentication：认证、Authorization：授权、Accounting：审计） 管理解决方案。 三级等保之网络设备防护及主机身份鉴别安全需求及产品方案 类别 等级保护安全需求 宁盾等级保护建设方案 应对登录网络设备的用户进行身份鉴别（G2） 网络设备动态口令加固方案： 应对网络设备的管理员登录地址进行限制。（G2） 1、增强用户身份的唯一性； 网络设备用户的标识应唯一。（G2） 2、只允许权限内用户登录； 3、在账号密码的基础上增加动 主要网络设备应对统一用户选择两种或两种以上组合的鉴别技术 态口令进行安全加固； 网络 来进行身份鉴别。（G3） 4、动态口令每隔30/60s变化一 设备 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并 次，不可追溯； 防护 定期更换。（G2） 5、限制登录次数及非法登录告 （AAA 警； 部分） 应具有登录失败处理功能，可采取结束会话、限制非法登录次数 6、基于角色的访问控制管理； 和当网络登录连接超时自动退出等措施。（G2） 7、认证登录审计； 当对网络设备进行管理时，应采取必要措施防止鉴别信息在网络 8、其他； 传输过程中被窃听。（G2） 当对网络设备进行管理时，应采取必要措施防止鉴别信息在网络 SSH远程登录； 传输过程中被窃听。（G2） 应实现设备特权用户的权限分离。（G3） 网络设备AAA管理方案： 1、兼容多品牌、多类型网络设备； 2、基于用户角色划分登录权限； 3、基于品牌、类型、操作级别 粗粒度划分权限； 4、基于可操作命令细粒度权限 划分。 5、操作审计及其他； 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。（G2） 操作系统和数据库系统管理用户