等保2.0測(cè)評(píng)(三級(jí))中針對(duì)網(wǎng)絡(luò)設(shè)備的身份鑒別相關(guān)測(cè)評(píng)單元和內(nèi)容�����。
等保2.0標(biāo)準(zhǔn)體系主要包含三個(gè)標(biāo)準(zhǔn)文件�����,分別為:GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》�����、GB/T
28448—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(以下簡(jiǎn)稱(chēng)“測(cè)評(píng)要求”)和GB/T 25070—2019《信息安全技術(shù)
網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》�。其中測(cè)評(píng)要求主要適用于安全測(cè)評(píng)服務(wù)機(jī)構(gòu)的等級(jí)評(píng)測(cè)或者上級(jí)監(jiān)管單位的監(jiān)督檢查�,準(zhǔn)確理解測(cè)評(píng)要求中的各測(cè)評(píng)項(xiàng)對(duì)于順利通過(guò)等保測(cè)評(píng)具有極大的幫助���。因此,我們將在后續(xù)的文章中陸續(xù)介紹測(cè)評(píng)要求中各測(cè)評(píng)單元項(xiàng)和內(nèi)容理解����,旨在幫助企業(yè)運(yùn)營(yíng)使用單位加深對(duì)等保測(cè)評(píng)對(duì)象安全加固措施的理解,提升和強(qiáng)化日常安全運(yùn)維管理�。
本期文章將詳細(xì)介紹等保2.0測(cè)評(píng)(三級(jí))中針對(duì)網(wǎng)絡(luò)設(shè)備的身份鑒別相關(guān)測(cè)評(píng)單元和內(nèi)容理解。
1�、測(cè)評(píng)項(xiàng)
等保2.0標(biāo)準(zhǔn)中對(duì)網(wǎng)絡(luò)設(shè)備的測(cè)評(píng)項(xiàng)歸屬于安全計(jì)算環(huán)境的大模塊,第三級(jí)主要涉及身份鑒別�����、訪(fǎng)問(wèn)控制���、安全審計(jì)和入侵防范五個(gè)部分內(nèi)容����。其中身份鑒別主要的測(cè)評(píng)單元包括:
測(cè)評(píng)單元(L3-CES1-01)
測(cè)評(píng)單元(L3-CES1-02)
測(cè)評(píng)單元(L3-CES1-03)
測(cè)評(píng)單元(L3-CES1-04)
2�����、測(cè)評(píng)項(xiàng)內(nèi)容分析
測(cè)評(píng)單元(L3-CES1-01)
本項(xiàng)的測(cè)評(píng)要點(diǎn):
a)應(yīng)核查用戶(hù)在登錄時(shí)是否采用了身份鑒別措施��,對(duì)現(xiàn)場(chǎng)交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備啟用賬號(hào)密碼認(rèn)證����,包括常見(jiàn)的console、telnet����、SSH方式的登錄驗(yàn)證。
b)應(yīng)核查用戶(hù)列表確認(rèn)用戶(hù)身份標(biāo)識(shí)是否具有唯一性�����,用戶(hù)名不能重復(fù)�����,該項(xiàng)一般交換機(jī)默認(rèn)具備��,不需要額外配置�����。
c)應(yīng)核查用戶(hù)配置信息或測(cè)試驗(yàn)證是否不存在空口令用戶(hù)�, 主要排查交換機(jī)配置中的用戶(hù)列表�����,清除空口令用戶(hù);
d)應(yīng)核查用戶(hù)鑒別信息是否具有復(fù)雜度要求并定期更換,主要對(duì)交換機(jī)啟用密碼復(fù)雜度檢查策略和密碼生命周期�����。
大多數(shù)用戶(hù)現(xiàn)場(chǎng)網(wǎng)絡(luò)設(shè)備(特別是二層交換機(jī))一般未啟用身份鑒別功能�����,默認(rèn)配置缺乏安全性策略措施��。以華為交換機(jī)為例���,出廠(chǎng)默認(rèn)只啟用console口管理���,且設(shè)置為不進(jìn)行安全認(rèn)證方式,故通過(guò)console端口登錄交換機(jī)時(shí)并不需要輸入密碼���。
◆加固措施1:設(shè)定交換機(jī)console設(shè)置登錄密碼
以華為交換機(jī)為例�,可啟用console登錄的aaa認(rèn)證策略實(shí)現(xiàn)對(duì)串口登錄用戶(hù)驗(yàn)證��。
◆ 加固措施2:?jiǎn)⒂媒粨Q機(jī)telnet或SSH方式遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備的登錄用戶(hù)驗(yàn)證
以華為交換機(jī)為例,可啟用SSH登錄的aaa認(rèn)證策略實(shí)現(xiàn)對(duì)SSH登錄用戶(hù)驗(yàn)證�����。
◆ 加固措施3:設(shè)定交換機(jī)密碼加密存儲(chǔ)�、復(fù)雜度和更換周期策略
以華為交換機(jī)為例,可設(shè)定本地用戶(hù)賬號(hào)密碼加密存儲(chǔ)策略����,從V200R003版本開(kāi)始華為交換機(jī)默認(rèn)開(kāi)啟密碼復(fù)雜度檢查策略,并可設(shè)定密碼生命周期策略�����。
對(duì)于老舊交換機(jī)不支持密碼復(fù)雜度和更換周期策略的����,可通過(guò)增加堡壘機(jī)等第三方運(yùn)維管理設(shè)備,通過(guò)堡壘機(jī)等設(shè)備內(nèi)置的密碼復(fù)雜度和密碼更換周期策略滿(mǎn)足測(cè)評(píng)要求����。
測(cè)評(píng)單元(L3-CES1-02)
本項(xiàng)的測(cè)評(píng)要點(diǎn):
a)應(yīng)核查是否配置并啟用了登錄失敗處理功能�,需要對(duì)現(xiàn)場(chǎng)交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備啟用登錄失敗處理策略�。
b)應(yīng)核查是否配置并啟用了限制非法登錄功能,非法登錄達(dá)到一定次數(shù)后采取特定動(dòng)作,如賬號(hào)鎖定等����,需要對(duì)現(xiàn)場(chǎng)交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備啟用登錄失敗次數(shù)鎖定時(shí)間策略��。
c)應(yīng)核查是否配置并啟用了登錄連續(xù)超時(shí)及自動(dòng)退出功能����,需要對(duì)現(xiàn)場(chǎng)交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備啟用登錄超時(shí)策略;
◆ 加固措施1:設(shè)置登錄失敗處理策略���,啟用密碼錯(cuò)誤鎖定次數(shù)和時(shí)間等策略
以思科交換機(jī)為例��,可通過(guò)login-block策略實(shí)現(xiàn)登錄密碼錯(cuò)誤次數(shù)等策略的配置��。
◆ 加固措施2:設(shè)置交換機(jī)登錄超時(shí)時(shí)間策略
以華為交換機(jī)為例����,可通過(guò)idle-timeout命令設(shè)定本地用戶(hù)超時(shí)連接時(shí)間����。
測(cè)評(píng)單元(L3-CES1-03)
本項(xiàng)的測(cè)評(píng)要點(diǎn):
a)應(yīng)核查是否采用加密等安全方式對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程管理,防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)����,需要在網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理中采用SSH方式���,避免遠(yuǎn)程管理明文數(shù)據(jù)傳輸。
◆ 加固措施:網(wǎng)絡(luò)設(shè)備啟用SSH安全遠(yuǎn)程管理
以華為交換機(jī)為例��,可設(shè)定遠(yuǎn)程管理SSH終端連接模式���。
測(cè)評(píng)單元(L3-CES1-04)
本項(xiàng)的測(cè)評(píng)要點(diǎn):
a)應(yīng)核查是否采用動(dòng)態(tài)口令�、數(shù)字證書(shū)�����、生物技術(shù)和設(shè)備指紋等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶(hù)身份進(jìn)行鑒別�����,通常網(wǎng)絡(luò)設(shè)備不支持多種身份鑒別方式的組合�����,此項(xiàng)一般需要借助堡壘機(jī)等設(shè)備實(shí)現(xiàn)���。
b)應(yīng)核查其中一種鑒別技術(shù)是否使用密碼技術(shù)來(lái)實(shí)現(xiàn),可借助堡壘機(jī)等設(shè)備實(shí)現(xiàn)。
◆ 加固措施:關(guān)閉console管理入口����,通過(guò)堡壘機(jī)等第三方安全設(shè)備實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備遠(yuǎn)程集中管理,同時(shí)啟用多種身份鑒別方式���。
3�����、等保測(cè)評(píng)整改方案建議
大部分用戶(hù)現(xiàn)場(chǎng)網(wǎng)絡(luò)設(shè)備數(shù)量較多��,是各等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)過(guò)程中的重點(diǎn)關(guān)注對(duì)象�,而在網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)安全計(jì)算環(huán)境-身份鑒別中的測(cè)評(píng)項(xiàng)大部分屬于高風(fēng)險(xiǎn)項(xiàng)(必整改項(xiàng))�����,因此��,對(duì)于網(wǎng)絡(luò)設(shè)備中身份鑒別方面的加固是通過(guò)等保測(cè)評(píng)的關(guān)鍵措施之一�。
首先,我們要知道等保并沒(méi)有硬性規(guī)定要購(gòu)買(mǎi)網(wǎng)絡(luò)安全設(shè)備�����,但是等保要求安全性必須達(dá)到一定的要求和標(biāo)準(zhǔn)。由于網(wǎng)絡(luò)設(shè)備本身的安全功能相對(duì)簡(jiǎn)單����,很難完全滿(mǎn)足測(cè)評(píng)要求,所以建議通過(guò)運(yùn)維安全管理產(chǎn)品(俗稱(chēng)“堡壘機(jī)”)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的集中管理���,滿(mǎn)足身份鑒別要求��。目前市場(chǎng)上的運(yùn)維安全管理產(chǎn)品均需滿(mǎn)足GA/T
1394-2017《信息安全技術(shù)
運(yùn)維安全管理產(chǎn)品安全技術(shù)要求》����。該標(biāo)準(zhǔn)規(guī)定了運(yùn)維安全管理產(chǎn)品的安全功能要���、安全保障要求及等級(jí)劃分���,適用于運(yùn)維安全管理產(chǎn)品的設(shè)計(jì)、開(kāi)發(fā)與測(cè)試�。
聲明:本文來(lái)自等級(jí)保護(hù)測(cè)評(píng),版權(quán)歸作者所有�����。文章內(nèi)容僅代表作者獨(dú)立觀(guān)點(diǎn)�,不代表本站立場(chǎng)�����,轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)���,請(qǐng)聯(lián)系刪除���。轉(zhuǎn)載自安全內(nèi)參。
等保測(cè)評(píng)咨詢(xún)
