网络设备安全需求规格书.docxVIP

网络设备安全需求规格书

序号

项目

子项目

需求规格

1

管理通道安全

管理面与用户面隔离

a)如果设备仅支持带外管理的系统，系统必须保证管理面与用户面隔离，确保在用户面使用端口扫描工具（如nmap）无法扫描到管理平面的地址及端口。

b)对于支持带内管理模式且有独立管理面IP的设备，设备应提供有效的办法（如ACL、VLAN等机制）来保证带内管理面与用户面的隔离。

2

操作系统安全

操作系统生命周期

不得使用已经停止维护的操作系统版本。

操作系统加固

1、系统经业界主流漏洞扫描工具扫描（如Nessus），扫描报告中不得出现高风险级别的漏洞。

2、系统提供安全配置/加固指南和安全维护手册等文档。

物料对操作系统安全补丁的兼容性测试

需要制定周期性安全预警、安全补丁发布计划，安全补丁要提供兼容性测试报告。建议每季度发布一次补丁。

3

Web系统安全

登录认证防暴力破解

登录认证模块提供防暴力破解机制：验证码或者多次连续尝试登录失败后锁定帐号或IP

会话管理

对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作，以防止URL越权。

登录口令保护

向服务器端传递用户名和口令（含应用层用户名/口令）时，需采用安全协议（如HTTPS、HTTPdigest）或加密用户名/口令后再传输。

认证管理

对用户的最终认证处理过程必须放到服务端进行。

输入校验

系统外部输入需在服务端进行最终校验。

输出编码

对于不可信的数据，输出到客户端前必须先进行HTML编码，防止脚本注入攻击。

Web系统漏洞

提供使用Web安全扫描工具（如AppScan、WebInspect、AcunetixWebVulnerabilityScanner）扫描的报告，扫描报告中不得出现高风险级别的漏洞。

4

产品开发、发布和安装安全

禁止绕过系统安全机制的功能

1、禁止隐秘访问方式：包括隐藏账号、隐藏口令、隐藏模式命令/参数、隐藏组合键访问方式；隐藏的协议/端口/服务；隐藏的生产命令/端口、调测命令/端口；不记录日志的非查询操作等

2、禁止不可管理的认证/访问方式：包括用户不可管理的帐号，人机接口以及可远程访问的机机接口的硬编码口令，不经认证直接访问系统的接口等。

3、除上述隐秘、不可管理的认证/访问方式外，不得含有其它任何形式的后门、木马等恶意代码或未知功能。

禁止存在未文档化的命令/参数、端口等

1、不得存在客户资料中没有公开的协议端口/服务；

2、不得存在未文档化的命令、参数等（包括但不限于产品的生产、调测、维护用途）

软件完整性

对于涉及软件包分发的物料应提供完整性校验机制（如：数字签名或者哈希值），并提供文档说明验证方法。

注：CRC不能用于完整性校验。

5

协议与接口

通信矩阵

1、提供清单列举物料所有功能/特性所使用到的端口；

2、如存在动态侦听端口，侦听范围必须限定在确定的必要的范围内；

3、未在通信矩阵中描述的端口应关闭

协议安全

1、系统的管理平面和近端维护终端（如LMT）、网管维护终端间，支持使用合适的安全协议（如SSHv2/TLS1.0/SSL3.0/IPSec/SFTP/SNMPv3等）进行通信。

2、对于不安全协议（如FTP、Telnet），支持关闭，建议缺省关闭。产品资料中应建议用户使用安全协议，如需使用不安全协议，应提示风险。

端口接入认证

能对系统进行管理的逻辑端口/协议，应提供接入认证机制，标准定义无认证机制的除外。

协议健壮性

对与终端用户有交互或者与非信任网络互联的容易受攻击的协议，使用CodenomiconDefensics工具或认可的具有同等能力的工具进行畸形报文攻击测试，测试结果不得出现致命或严重级别的问题。

这些协议和版本包括但不限于（请去掉产品无关的协议、补充相关的协议）：

BGP,Diameter,DNS,DVRMP,EAP,FTP,GRE,GTP,H.225,H.248,H.323,HTTP,ICMP,IMAP,IPSec,IPv4,IPv6,IS-IS,ISAKMP/IKE,LDAP,MGCP,MPLS/LDP,NTP,OSPF,PIM,POP3,RADIUS,RIP,RSVP,RTP,RTSP,SIGCOMP,SIP,SNMP,SMTP,SSH,SSL/TLS,TACACS,TR-069,XML/SOAP,WAP.

物理接口接入认证

在设备面板上可见的能对系统进行管理的物理接口，应提供接入认证机制。