信息安全等级保护测评指导书
华为交换机安全测评(Quidway S3500
杭州辰龙检测技术有限公司
2013.12
保密申明
本安全方案包含了来自辰龙可靠、权威的信息,此信息仅供信息安全等级保护测评项目使用,接受本指导书即表示同意对其内容保密,并且未经向杭州辰龙书面请求和书面认可,不得向外界复制,泄露或散布此方案。如果你不是有意接受者,请注意对本方案内容的任何形式的泄露、复制或散布都是被禁止的。
序号
测评指标
测评项
检查方法
预期结果
1
安全审计
(G3)
a)对网络设备进 行日志录;
检查输入命令 display current-configuration 检查配文件是否似如下置项: logging-host x.x.x.x
存在类如下
logging-host x.x.x.x
b)审计记录内容
检查查看是否启用功能
生成日记录报表。
c)分析记录数据, 生成审报表;
访谈访谈并查看如审计记数据分析生成。
启用了志功
c)保护审计记录。
访谈访谈是否避免日志的授权改、破坏。 检查输入命令 display current-configuration 检查配文件是否似如下置项:
logging-host x.x.x.x
有专门日志务器志,对台服器的访经过 授权。
2
访问控制
(G3)
a)启用访问控制 功能;
检查检查网络拓扑相关交机配,查在交换 启用了访问控功能。
输入命令 display current-configuration
检查配文件是否下类似置项:
acl name test basic
rule 1 deny source x.x.x.x
存在类如下
acl name test basic
rule 1 deny source x.x.x.x
b)提供访问控制 能力;
检查输入命令 display current-configuration
检查配文件是否似如下置项:
acl name test basic
rule 1 deny source x.x.x.x packet-filter ip-group test
存在类如下
acl name test basic
rule 1 deny source x.x.x.x packet-filter ip-group test
c)限制网络最大 流量数;
访谈询问网络管理据网络状是需要络最大量。
有专用带宽理设现网络量的制或相关 QOS
配置
d)重要网段防止 地址欺
检查输入命令 display current-configuration
检查配文件是否似如下置项:
arp static 10.0.0.1 0000.e268.9980
存在类如下
arp static 10.0.0.1 0000.e268.9980
序号
测评指标
测评项
检查方法
预期结果
3
网络设备 (G3)
a)登录用户身份 鉴别;
检查输入命令 display current-configuration
1) 查看配置文件是否在类似下登口令置:
user-interface vty 0 4 user privilege level 3
set authentication password ciper ******
2) 如果设备启用了 AAA 认证配置件中在类似下配 置项:
radius scheme radius1
primary authentication 10.1.1.1 primary accounting 10.1.1.2
存在类如下
1) user-interface vty 0 4 user privilege level 3
set authentication password ciper ******
2) radius scheme radius1
primary authentication 10.1.1.1 primary accounting 10.1.1.2
b)登录地址限制;
检查输入命令 display current-configuration
查看配文件是否似如下置项:
user-interface vty 0 4 acl 2000 inbound
存在类如下
user-interface vty 0 4 acl 2000 inbound
c)用户标识唯一;
检查输入命令 display current-configuration
检查配文件否存如下配项:
local-user user1
password ciphcipher命令er O`WE!$@JG]OQ=^Q`MAF4<1!!
level 1
local-user user2
password cipher O`WE!$@JG]OQ=^Q`MAF4<1!!
level 3
存在类如下
local-user user1
password cipher O`WE!$@JG]OQ=^Q`MAF4<1!!
level 1
local-user user2
password cipher O`WE!$@JG]OQ=^Q`MAF4<1!!
level 3
d)两种或两种以 上身份别技术;
访谈访谈采用了何技术实现双因子鉴,并网络管 的配合验证子鉴有效性
两种认方式时作身份。
e)身份鉴别信息 复杂;
访谈询问网络管理使口令的成、度和期等。 检查:入命令 display current-configuration 检查配文件是否似如下置项:
password cipher WE!$@JG]OQ=^Q`MAF4<1!!
口令组满足杂性要求并期更新; 密码密显示
password cipher WE!$@JG]OQ=^Q`MAF4<1!!
f)具有登录失败 处理功
检查:入命令 display current-configuration
检查配文件是否似如下置项:
user-interface vty 0 4 idle-timeout 5 0
存在类如下
user-interface vty 0 4 idle-timeout 5 0
序号
测评指标
测评项
检查方法
预期结果
g)安全的远程管 理方法;
访谈询问是否采用安全的远程管理方法。 检查输入命令 display current-configuration 查看配文件是否似如下:
user-interface vty 0 4 protocol inbound ssh
使 SSH SSL 等安程管理类似如下配置
user-interface vty 0 4 protocol inbound ssh
h)特权用户权限 分离。
检查输入命令 display current-configuration
检查配文件是否似如下置项:
local-user user1 level 1
local-user user2 level 3
存在多不同限用到权限下配置:
local-user user1 level 1
local-user user2 level 3
4
备份和恢 (A3)
a)提供本地数据 备份与复;
访谈访谈设备配置份策略。 检查是否定期备份件和设软件。
定期备配置件和
b)提供异地数据 备份功
访谈: 现场访并查用户用了异备份。
使用了地备功能。
c)冗余的网络拓 扑结构;
检查查看网络扑结看是否用了冗余技来避免关键 存在单故障。
拓扑结冗余。
d)提供硬件冗余。
检查查看主要交换硬件冗余
设备硬冗余。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。