04 安全计算环境测评指导书 （S3A3） - 金融.xlsVIP

应用系统或系统管理平台

终端设备Windows

SQLServer

MySQL

Oracle

WindowsServer

AIX

Linux

防火墙、入侵防范、堡垒机、安全审计等

思科交换机、思科路由器

华为交换机、华为路由器

目录

1.00

说明：

依据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T28448-2019信息安全技术网络安全等级保护测评要求》、《JR/T0071.2-2020金融行业网络安全等级保护实施指引第2部分:基本要求》和《JR/T0072-2020金融行业网络安全等级保护测评指南》制作。

层面

控制点

测评项

测评实施

测评方法和步骤

预期结果

判定说明

安全计算环境（华为交换机/华为路由器）

身份鉴别

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，应实现身份鉴别信息防窃取和防重用。静态口令应在8位以上，由字母、数字、符号等混合组成并每半年更换口令，不允许新设定的口令与前次旧口令相同。应用系统用户口令应在满足口令复杂度要求的基础上定期更换。（F3）

1、应核查用户在登陆时是否采用了身份鉴别措施；

2、应核查用户列表确认用户身份标识是否具有唯一性；

3、应核查用户配置信息或测试验证是否不存在空口令用户；

4、应核查用户鉴别信息是否具有复杂度要求并定期更换。

1）设备开启了身份鉴别功能。（网络设备不管哪种方式登录都默认具备身份鉴别功能，并默认开启）

2）不具有重名用户，用户标识具有唯一性。（网络设备默认无法新建同名用户）

3）设备账号均设置有口令，无空口令用户。

4）passward-controlaging90（口令生存期大于90天）

passward-controllength8（口令长度不低于8位）

passward-controlhistory5（强制历史密码不低于5个）

passward-controlcompositiontype-number3type-length4（密码中至少包含数字、字母、特殊字符）

根据预期结果中存在以下情况进行判定：

1.如果都满足，则判定为符合；

2.如果其中一个不满足，则判定为部分符合；

3.如果都不满足，则判定不符合；

风险判定建议：

根据《网络安全等级保护测评高风险判断指引》，针对不符合或部分符合，建议判定为高风险、中风险。

b）应具有登录失败处理功能，应配置并启用结束会话、限制登录间隔、限制非法登录次数和当登录连接超时自动退出等相关措施。（F3）

1、应核查是否配置并启用了登录失败处理功能；

2、应核查是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如账号锁定等；

3、应核查是否配置并启用了登录连续超时及自动退出功能。

一、如系统中设置有堡垒机，并设置了设备只能从堡垒机进行登录，则先核查堡垒机是否具有并配置了登录失败、登录超时、远程登录超时功能。

或者

二、1.华为设备默认开启了登录失败处理功能。

2.在设备命令行界面输入displaypassward-control,查看以下配置：password-controllogin-attemptXexceedlocktimeXX

3.在设备命令行界面输入displaycurrent-configuration命令，查看以下配置

linevty04

access-list101in

transportinputssh/telent

idle-timeoutx

（如设备未开启远程登录，只能本地登录，第三条不适用）

一、系统中设置有堡垒机，设备只能通过堡垒机跳转登录。

1.堡垒机开启了登录失败处理功能。

2.堡垒机设置了登录失败5次锁定登录IP5分钟。

3.堡垒机设置了连接超时时间5分钟。

或者

二、1.华为设备默认开启了登录失败处理功能。

2.password-controllogin-attempt5（推荐登录失败设置5次）exceedlocktime300（推荐锁定时间设置300秒）

3.linevty04

access-list101in

transportinputssh/telent

idle-timeout5（推荐远程连接超时时间设置5分钟）

第三条或者

设备未开启远程登录，只能通过CONSOLE口进行登录，不适用。

c）当进行远程管理时，应对管理终端进行身份标识和鉴别，采用密码技术防止鉴别信息在网络传输过程中被窃听。（F3）

应核查是否采用加密等安全方式对系统进行远程管理，防止鉴别信息在网络传输过程中被窃听。

一、如果网络中部署堡垒主机，先核查堡垒主机采用何种措施在进行远程登录时，防止鉴别信息在网络传输过程中被窃听，如SS