网络设备安全需求规格书.docxVIP

第 PAGE \* Arabic 5 页第 PAGE \* Arabic 5 页 网络设备安全需求规格书 序号 项目 子项目 需求规格 1 管理通道安全 管理面与用户面隔离 a) 如果设备仅支持带外管理的系统，系统必须保证管理面与用户面隔离，确保在用户面使用端口扫描工具（如nmap）无法扫描到管理平面的地址及端口。 b) 对于支持带内管理模式且有独立管理面IP的设备，设备应提供有效的办法（如ACL、VLAN等机制）来保证带内管理面与用户面的隔离。 2 操作系统安全 操作系统生命周期 不得使用已经停止维护的操作系统版本。 操作系统加固 1、系统经业界主流漏洞扫描工具扫描（如Nessus），扫描报告中不得出现高风险级别的漏洞。 2、系统提供安全配置/加固指南和安全维护手册等文档。 物料对操作系统安全补丁的兼容性测试 需要制定周期性安全预警、安全补丁发布计划，安全补丁要提供兼容性测试报告。建议每季度发布一次补丁。 3 Web系统安全 登录认证防暴力破解 登录认证模块提供防暴力破解机制：验证码或者多次连续尝试登录失败后锁定帐号或IP 会话管理 对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作，以防止URL越权。 登录口令保护 向服务器端传递用户名和口令（含应用层用户名/口令）时，需采用安全协议（如HTTPS、HTTP digest）或加密用户名/口令后再传输。 认证管理 对用户的最终认证处理过程必须放到服务端进行。 输入校验 系统外部输入需在服务端进行最终校验。 输出编码 对于不可信的数据，输出到客户端前必须先进行HTML编码，防止脚本注入攻击。 Web系统漏洞 提供使用Web安全扫描工具（如AppScan、WebInspect、Acunetix Web Vulnerability Scanner）扫描的报告，扫描报告中不得出现高风险级别的漏洞。 4 产品开发、发布和安装安全 禁止绕过系统安全机制的功能 1、禁止隐秘访问方式：包括隐藏账号、隐藏口令、隐藏模式命令/参数、隐藏组合键访问方式；隐藏的协议/端口/服务；隐藏的生产命令/端口、调测命令/端口；不记录日志的非查询操作等 2、禁止不可管理的认证/访问方式：包括用户不可管理的帐号，人机接口以及可远程访问的机机接口的硬编码口令，不经认证直接访问系统的接口等。 3、除上述隐秘、不可管理的认证/访问方式外，不得含有其它任何形式的后门、木马等恶意代码或未知功能。 禁止存在未文档化的命令/参数、端口等 1、不得存在客户资料中没有公开的协议端口/服务； 2、不得存在未文档化的命令、参数等（包括但不限于产品的生产、调测、维护用途） 软件完整性 对于涉及软件包分发的物料应提供完整性校验机制（如：数字签名或者哈希值），并提供文档说明验证方法。 注：CRC不能用于完整性校验。 5 协议与接口 通信矩阵 1、提供清单列举物料所有功能/特性所使用到的端口； 2、如存在动态侦听端口，侦听范围必须限定在确定的必要的范围内； 3、未在通信矩阵中描述的端口应关闭 协议安全 1、系统的管理平面和近端维护终端（如LMT）、网管维护终端间，支持使用合适的安全协议（如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/SNMPv3等）进行通信。 2、对于不安全协议（如FTP、Telnet），支持关闭，建议缺省关闭。产品资料中应建议用户使用安全协议，如需使用不安全协议，应提示风险。 端口接入认证 能对系统进行管理的逻辑端口/协议，应提供接入认证机制，标准定义无认证机制的除外。 协议健壮性 对与终端用户有交互或者与非信任网络互联的容易受攻击的协议，使用Codenomicon Defensics工具或认可的具有同等能力的工具进行畸形报文攻击测试，测试结果不得出现致命或严重级别的问题。 这些协议和版本包括但不限于（请去掉产品无关的协议、补充相关的协议）： BGP, Diameter, DNS, DVRMP, EAP, FTP, GRE, GTP, H.225, H.248, H.323, HTTP, ICMP, IMAP, IPSec, IPv4, IPv6, IS-IS, ISAKMP/IKE, LDAP, MGCP, MPLS/LDP, NTP, OSPF, PIM, POP3, RADIUS, RIP, RSVP, RTP, RTSP, SIGCOMP, SIP, SNMP, SMTP, SSH, SSL/TLS, TACACS, TR-069, XML/SOAP, WAP. 物理接口接入认证 在设备面板上可见的能对系统进行管理的物理接口，应提供接入认证机制。 6 敏感数据与加密 加密算法清单 提供使用的所有加密算法清单，说明加密算