信息安全等级保护测评指导书
华为交换机安全测评(Quidway S3500)
杭州辰龙检测技术有限公司
2013.12
保密申明
本安全方案包含了来自辰龙可靠、权威的信息,此信息仅供信息安全等级保护测评项目使用,接受本指导书即表示同意对其内容保密,并且未经向杭州辰龙书面请求和书面认可,不得向外界复制,泄露或散布此方案。如果你不是有意接受者,请注意对本方案内容的任何形式的泄露、复制或散布都是被禁止的。
序号 | 测评指标 | 测评项 | 检查方法 | 预期结果 |
1 | 安全审计 (G3) | a)对网络设备进 行日志记录; | 检查:输入命令 display current-configuration 检查配置文件中是否存在类似如下配置项: logging-host x.x.x.x | 存在类似如下配置: logging-host x.x.x.x |
b)审计记录内容 | 检查:查看是否启用了审计功能 | 生成日志记录的报表。 | ||
c)分析记录数据, 生成审计报表; | 访谈:访谈并查看如何实现审计记录数据的分析和报表生成。 | 启用了日志功能。 | ||
c)保护审计记录。 | 访谈:访谈是否避免了审计日志的未授权修改、删除和破坏。 检查:输入命令 display current-configuration 检查配置文件中是否存在类似如下配置项: logging-host x.x.x.x | 有专门的日志服务器存放日志,对这台服务器的访问需经过 授权。 | ||
2 | 访问控制 (G3) | a)启用访问控制 功能; | 检查:检查网络拓扑结构和相关交换机配置,查看是否在交换机上 启用了访问控制功能。 输入命令 display current-configuration 检查配置文件中是否存在以下类似配置项: acl name test basic rule 1 deny source x.x.x.x | 存在类似如下配置: acl name test basic rule 1 deny source x.x.x.x |
b)提供访问控制 能力; | 检查:输入命令 display current-configuration 检查配置文件中是否存在类似如下配置项: acl name test basic rule 1 deny source x.x.x.x packet-filter ip-group test | 存在类似如下配置: acl name test basic rule 1 deny source x.x.x.x packet-filter ip-group test | ||
c)限制网络最大 流量数; | 访谈:询问网络管理员,根据网络现状是否需要限制网络最大流量。 | 有专用的带宽管理设备来实现网络流量的控制或有相关 QOS 配置 | ||
d)重要网段防止 地址欺骗; | 检查:输入命令 display current-configuration 检查配置文件中是否存在类似如下配置项: arp static 10.0.0.1 0000.e268.9980 | 存在类似如下配置: arp static 10.0.0.1 0000.e268.9980 | ||
序号 | 测评指标 | 测评项 | 检查方法 | 预期结果 |
3 | 网络设备 防护(G3) | a)登录用户身份 鉴别; | 检查:输入命令 display current-configuration 1) 查看配置文件,是否存在类似如下登录口令设置: user-interface vty 0 4 user privilege level 3 set authentication password ciper ****** 2) 如果设备启用了 AAA 认证,查看配置文件中是否存在类似如下配 置项: radius scheme radius1 primary authentication 10.1.1.1 primary accounting 10.1.1.2 | 存在类似如下配置: 1) user-interface vty 0 4 user privilege level 3 set authentication password ciper ****** 2) radius scheme radius1 primary authentication 10.1.1.1 primary accounting 10.1.1.2 |
b)登录地址限制; | 检查:输入命令 display current-configuration 查看配置文件里是否存在类似如下配置项: user-interface vty 0 4 acl 2000 inbound | 存在类似如下配置: user-interface vty 0 4 acl 2000 inbound | ||
c)用户标识唯一; | 检查:输入命令 display current-configuration 检查配置文件是否存在类似如下配置项: local-user user1 password ciphcipher命令er O`WE!$@JG]OQ=^Q`MAF4<1!! level 1 local-user user2 password cipher O`WE!$@JG]OQ=^Q`MAF4<1!! level 3 | 存在类似如下配置: local-user user1 password cipher O`WE!$@JG]OQ=^Q`MAF4<1!! level 1 local-user user2 password cipher O`WE!$@JG]OQ=^Q`MAF4<1!! level 3 | ||
d)两种或两种以 上身份鉴别技术; | 访谈:访谈采用了何种鉴别技术实现双因子鉴别,并在网络管理员 的配合下验证双因子鉴别的有效性。 | 两种认证方式同时作用鉴别身份。 | ||
e)身份鉴别信息 复杂; | 访谈:询问网络管理员使用口令的组成、长度和更改周期等。 检查:输入命令 display current-configuration 检查配置文件中是否存在类似如下配置项: password cipher WE!$@JG]OQ=^Q`MAF4<1!! | 口令组成满足复杂性和长度要求并定期更新; 密码密文显示,举例如下: password cipher WE!$@JG]OQ=^Q`MAF4<1!! | ||
f)具有登录失败 处理功能; | 检查:输入命令 display current-configuration 检查配置文件中是否存在类似如下配置项: user-interface vty 0 4 idle-timeout 5 0 | 存在类似如下配置: user-interface vty 0 4 idle-timeout 5 0 | ||
序号 | 测评指标 | 测评项 | 检查方法 | 预期结果 |
g)安全的远程管 理方法; | 访谈:询问是否采用安全的远程管理方法。 检查:输入命令 display current-configuration 查看配置文件中是否存在类似如下配置项: user-interface vty 0 4 protocol inbound ssh | 使用 SSH 或 SSL 等安全的远程管理方法,存在类似如下配置: user-interface vty 0 4 protocol inbound ssh | ||
h)特权用户权限 分离。 | 检查:输入命令 display current-configuration 检查配置文件中是否存在类似如下配置项: local-user user1 level 1 local-user user2 level 3 | 存在多个不同权限用户,做到权限分离,如下配置: local-user user1 level 1 local-user user2 level 3 | ||
4 | 备份和恢 复(A3) | a)提供本地数据 备份与恢复; | 访谈:访谈设备配置文件备份策略。 检查:是否定期备份配置文件和设备软件。 | 定期备份配置文件和设备软件。 |
b)提供异地数据 备份功能; | 访谈: 现场访谈并查看用户是否采用了异地备份。 | 使用了异地备份功能。 | ||
c)冗余的网络拓 扑结构; | 检查:查看网络拓扑结构,看是否采用了冗余技术来避免关键节点 存在单点故障。 | 拓扑结构冗余。 | ||
d)提供硬件冗余。 | 检查:查看主要交换机是否有硬件冗余。 | 设备硬件冗余。 | ||
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论