等保2.0測評(三級)中針對網絡設備的身份鑒別相關測評單元和內容���。
等保2.0標準體系主要包含三個標準文件����,分別為:GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》���、GB/T
28448—2019《信息安全技術 網絡安全等級保護測評要求》(以下簡稱“測評要求”)和GB/T 25070—2019《信息安全技術
網絡安全等級保護安全設計技術要求》����。其中測評要求主要適用于安全測評服務機構的等級評測或者上級監管單位的監督檢查����,準確理解測評要求中的各測評項對于順利通過等保測評具有極大的幫助�。因此�,我們將在后續的文章中陸續介紹測評要求中各測評單元項和內容理解���,旨在幫助企業運營使用單位加深對等保測評對象安全加固措施的理解�,提升和強化日常安全運維管理����。
本期文章將詳細介紹等保2.0測評(三級)中針對網絡設備的身份鑒別相關測評單元和內容理解����。
1����、測評項
等保2.0標準中對網絡設備的測評項歸屬于安全計算環境的大模塊���,第三級主要涉及身份鑒別�、訪問控制�、安全審計和入侵防范五個部分內容�。其中身份鑒別主要的測評單元包括:
測評單元(L3-CES1-01)
測評單元(L3-CES1-02)
測評單元(L3-CES1-03)
測評單元(L3-CES1-04)
2�、測評項內容分析
測評單元(L3-CES1-01)
本項的測評要點:
a)應核查用戶在登錄時是否采用了身份鑒別措施����,對現場交換機����、路由器等網絡設備啟用賬號密碼認證����,包括常見的console����、telnet�、SSH方式的登錄驗證����。
b)應核查用戶列表確認用戶身份標識是否具有唯一性�,用戶名不能重復�,該項一般交換機默認具備�,不需要額外配置�。
c)應核查用戶配置信息或測試驗證是否不存在空口令用戶���, 主要排查交換機配置中的用戶列表�,清除空口令用戶;
d)應核查用戶鑒別信息是否具有復雜度要求并定期更換���,主要對交換機啟用密碼復雜度檢查策略和密碼生命周期���。
大多數用戶現場網絡設備(特別是二層交換機)一般未啟用身份鑒別功能����,默認配置缺乏安全性策略措施���。以華為交換機為例���,出廠默認只啟用console口管理���,且設置為不進行安全認證方式����,故通過console端口登錄交換機時并不需要輸入密碼����。
◆加固措施1:設定交換機console設置登錄密碼
以華為交換機為例�,可啟用console登錄的aaa認證策略實現對串口登錄用戶驗證���。
◆ 加固措施2:啟用交換機telnet或SSH方式遠程管理網絡設備的登錄用戶驗證
以華為交換機為例���,可啟用SSH登錄的aaa認證策略實現對SSH登錄用戶驗證����。
◆ 加固措施3:設定交換機密碼加密存儲���、復雜度和更換周期策略
以華為交換機為例����,可設定本地用戶賬號密碼加密存儲策略����,從V200R003版本開始華為交換機默認開啟密碼復雜度檢查策略�,并可設定密碼生命周期策略�。
對于老舊交換機不支持密碼復雜度和更換周期策略的�,可通過增加堡壘機等第三方運維管理設備���,通過堡壘機等設備內置的密碼復雜度和密碼更換周期策略滿足測評要求���。
測評單元(L3-CES1-02)
本項的測評要點:
a)應核查是否配置并啟用了登錄失敗處理功能���,需要對現場交換機����、路由器等網絡設備啟用登錄失敗處理策略����。
b)應核查是否配置并啟用了限制非法登錄功能�,非法登錄達到一定次數后采取特定動作����,如賬號鎖定等���,需要對現場交換機���、路由器等網絡設備啟用登錄失敗次數鎖定時間策略����。
c)應核查是否配置并啟用了登錄連續超時及自動退出功能����,需要對現場交換機���、路由器等網絡設備啟用登錄超時策略;
◆ 加固措施1:設置登錄失敗處理策略�,啟用密碼錯誤鎖定次數和時間等策略
以思科交換機為例���,可通過login-block策略實現登錄密碼錯誤次數等策略的配置�。
◆ 加固措施2:設置交換機登錄超時時間策略
以華為交換機為例���,可通過idle-timeout命令設定本地用戶超時連接時間�。
測評單元(L3-CES1-03)
本項的測評要點:
a)應核查是否采用加密等安全方式對系統進行遠程管理�,防止鑒別信息在網絡傳輸過程中被竊聽����,需要在網絡設備的遠程管理中采用SSH方式����,避免遠程管理明文數據傳輸����。
◆ 加固措施:網絡設備啟用SSH安全遠程管理
以華為交換機為例�,可設定遠程管理SSH終端連接模式����。
測評單元(L3-CES1-04)
本項的測評要點:
a)應核查是否采用動態口令�、數字證書�、生物技術和設備指紋等兩種或兩種以上組合的鑒別技術對用戶身份進行鑒別���,通常網絡設備不支持多種身份鑒別方式的組合���,此項一般需要借助堡壘機等設備實現���。
b)應核查其中一種鑒別技術是否使用密碼技術來實現���,可借助堡壘機等設備實現�。
◆ 加固措施:關閉console管理入口�,通過堡壘機等第三方安全設備實現對網絡設備遠程集中管理����,同時啟用多種身份鑒別方式���。
3�、等保測評整改方案建議
大部分用戶現場網絡設備數量較多���,是各等級保護測評機構在測評過程中的重點關注對象���,而在網絡安全等級保護2.0標準安全計算環境-身份鑒別中的測評項大部分屬于高風險項(必整改項)�,因此����,對于網絡設備中身份鑒別方面的加固是通過等保測評的關鍵措施之一�。
首先���,我們要知道等保并沒有硬性規定要購買網絡安全設備�,但是等保要求安全性必須達到一定的要求和標準�。由于網絡設備本身的安全功能相對簡單�,很難完全滿足測評要求���,所以建議通過運維安全管理產品(俗稱“堡壘機”)實現網絡設備的集中管理����,滿足身份鑒別要求�。目前市場上的運維安全管理產品均需滿足GA/T
1394-2017《信息安全技術
運維安全管理產品安全技術要求》����。該標準規定了運維安全管理產品的安全功能要����、安全保障要求及等級劃分���,適用于運維安全管理產品的設計�、開發與測試�。
聲明:本文來自等級保護測評����,版權歸作者所有�。文章內容僅代表作者獨立觀點����,不代表本站立場�,轉載目的在于傳遞更多信息�。如有侵權�,請聯系刪除���。轉載自安全內參����。
等保測評咨詢
