网络设备测评指导书.xlsxVIP

测评指标 控制项 检查对象 检查内容 结果记录 备注

身份鉴别 a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换； 网络设备 1）网络设备配置了登录时需要进行身份鉴别。

2）用户标识具有唯一性，不能重复。

3）密码复杂度满足要求，8位以上包含数字、字母、特殊字符两种及以上。

4）密码定期进行更换。

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； 网络设备 1）检查是否开启登陆失败处理。

2）登录失败采取的操作。

3）登录超时多少分钟。

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； 网络设备 采用安全方式连接。

1）Cisco：输入showrun命令，存在如下类似配置:

Router1#configureterminal

Router1(config)#hostnameRouter1

Router1(config#ipdomainnamenetRouterl(config)#cryptokeygeneratersa

.........

Howmanybitsinthemodulus[512]:1024

Router1(config)#ipsshtime-out120

Router1(config)#ipsshauthentcation-retries4

Router1(config)#linevty04

Router1(config)#transportinputsh

2）华为H3C:输入diSplaycurent-configuration命令，存在如下类似配置:

local-usertestpasswordcipher456%ET

service-typesshlevel3

sshusertestauthenticationtypepassword

User-interfacevty04

Protocolinboundssh

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 网络设备 1）采取双因素方式进行认证，例如：用户名密码+短信，用户名密码+key等。

2）若设备本身无法实现双因素可托管在堡垒机作为补偿措施。

访问控制 a)应对登录的用户分配账户和权限； 网络设备 1）可用的账户都分配了权限，默认账户、匿名帐户限制访问或禁止访问。

b)应重命名或删除默认账户，修改默认账户的默认口令； 网络设备 1）重命名默认账户。

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在 网络设备 1）删除多余用户，必须对应一人一号。

d)应授予管理用户所需的最小权限，实现管理用户的权限分离； 网络设备 1）访谈管理员，进行角色划分，分为审计管理员，安全管理员、系统管理员三个角色，并设置对应的权限。

2）Cisco路由器:输showrun命令，存在如下类似配置:

usernameadminprivilege15password0xxxxxxxx

usermameauditprivilege10password0xxxxxxxx

usernameoperatorprivilege7password0xxxxxxxx

华为/H3C交换机;输入displaycurrent-configuration命令,存在如下类似配置:

local-useruserl

service-typetelnet

userpriviledelevel2

#

local-useruser2

service-typeftp

userpriviledelevel3

3）网络管理员、安全管理员、系统管理员对应的账户为其工作任务所需的最小权限。

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则； 网络设备 1）由安全管理员对访问控制策略进行配置，规定访问控制规则。

f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级； 网络设备 1）访问控制主体为用户级，客体为命令级。默认符合。

f)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。 网络设备 1）安全标记项一般不做检查，目前暂无完整的实现方案。

安全审计 a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 网络设备 1）网络设备具有审计功能并且已开启。

2）每个用户的行为，重要事件均