1、原始记录任务单号:等级保护测评用例用例编号Db-3-js-wlaq-wlsbfh-a标准内编号7.1.2.7测评项 技术要求-网络安全-网络设备防护测评要求 应对登录网络设备的用户进行身份鉴别;测评对象 核心交换机、汇聚交换机、防火墙测评方式 检查 访谈 测试 其他测评方法操作步骤 预期结果 测评记录1、 访谈管理员采用何种方式进行管理网络设备。对网络设备的管理本地方式可采用登录 CON、AUX 端口进行管理;对网络设备的管理远程方式可采用Telnet、SSH 方式登录到设备。采用何种方式登录:CON Auxtelnet SSH其他 2、 检查是否对登录用户的身份进行鉴别操作命令:Show r
2、unning-config检查配置文件中应当有如下配置:Line vty 0 4 line con 0Login loginPassword xxxxxx Password xxxxxxLine aux 0LoginPassword xxxxx是 否3、 检查是否修改了默认的用户名和密码操作骤:telnet/ssh x.x.x.x用默认的用户名和密码使用默认的密码不可能登录到网络设备管理界面 是 否说明:检测: 记录: 审核: 2013 年 月 日原始记录任务单号:等级保护测评用例用例编号Db-3-js-wlaq-wlsbfh-b标准内编号7.1.2.7测评项 技术要求-网络安全-网络设备防护
3、测评要求 应对网络设备的管理员登录地址进行限制;测评对象 核心交换机、汇聚交换机、防火墙测评方式 检查 访谈 测试 其他测评方法操作步骤 预期结果 测评记录1、 检查网络设备是否对远程管理计算机的 IP 地址进行了限制,即只允特定的 IP 地址列表对网络进行远程管理。检查命令(特权模式下):show running-config | begin vtyshow access-lists XXX检查配置文件中应当有如下配置:Access-list 3 permit x.x.x.x logAccess-list 3 deny anyLine vty 0 4Access-class 3 in是 否说
4、明:检测: 记录: 审核: 2013 年 月 日原始记录任务单号:等级保护测评用例用例编号Db-3-js-wlaq-wlsbfh-c标准内编号7.1.2.7测评项 技术要求-网络安全-网络设备防护测评要求 网络设备用户的标识应唯一;测评对象 核心交换机、汇聚交换机、防火墙测评方式 检查 访谈 测试 其他测评方法操作步骤 预期结果 测评记录1.访谈管理员,网络设备是否为多人管理、多人对网络设备的配置数据进行更改等操作。网络设备的管理不应多人共同管理 是 否2.检查配置,查看目前网络设备配置是否为管理员分配唯一的用户名和口令。检查命令(特权模式下):show running-config | in
5、clude username检查配置文件中应当有如下配置:“username xxxxx password 7 xxxxxxxx”是 否说明:检测: 记录: 审核: 2013 年 月 日原始记录任务单号:等级保护测评用例用例编号Db-3-js-wlaq-wlsbfh-d标准内编号7.1.2.7测评项 技术要求-网络安全-网络设备防护测评要求 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;测评对象 核心交换机、汇聚交换机、防火墙测评方式 检查 访谈 测试 其他测评方法操作步骤 预期结果 测评记录访谈网络设备管理员,询问采用了何种鉴别技术实现了双因子鉴别,如采用证书、令牌
6、、智能卡等除采用户名/密码登录方式外,应结合证书、令牌、智能卡、U-Key 方式登录设备是 否说明:检测: 记录: 审核: 2013 年 月 日原始记录任务单号:等级保护测评用例用例编号Db-3-js-wlaq-wlsbfh-e标准内编号7.1.2.7测评项 技术要求-网络安全-网络设备防护测评要求 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;测评对象 核心交换机、汇聚交换机、防火墙测评方式 检查 访谈 测试 其他测评方法操作步骤 预期结果 测评记录1.访谈管理员采用哪种技术在通过远程管理网络设备时进行的身份鉴别方式至少要求有用户名和口令相结合的方式口令 指纹 令牌 其他
7、 2.访谈管理员,若采用口令鉴别方式,是否有复杂度要求,且定期更换口令口令的设置要有字母、特殊字符、数字并区分大小写,密码长度为 6-8 位比较适中,如可定期更换口令,对网络设备的防护会比较安全有 无口令复杂度要求:口令长度 更换周期 检查网络设备的配置文件中保存相关密码的字段是否为密文显示具体操作:show running-config | passwordshow running-config | include secret输出显示的密码内容应为加密后的信息,如:0956F8975A0368B是 否说明:检测: 记录: 审核: 2013 年 月 日原始记录任务单号:等级保护测评用例用例编
8、号Db-3-js-wlaq-wlsbfh-f 标准内编号 7.1.2.7测评项 技术要求-网络安全-网络设备防护测评要求 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;测评对象 核心交换机、汇聚交换机、防火墙测评方式 检查 访谈 测试 其他测评方法操作步骤 预期结果 测评记录1. 检查对网络登录失败处理功能具体操作:使用 SSH 或 Telnet 对设备进行远程管理,查看对网络失败处理功能的执行情况(是否限制非法登录次数)应能限制登录次数,一般默认为 3 次,登录失败结果登录会话。登录失败:结束会话 其他空闲超时时间: S限制非法登录次数: 次 2
9、. 检查网络设备登录超时时间使用命令:Show running-config检查配置文件中应当有如下配置:line vty 0 4exec-timeout 5 0说明:检测: 记录: 审核: 2013 年 月 日原始记录任务单号:等级保护测评用例用例编号Db-3-js-wlaq-wlsbfh-g标准内编号7.1.2.7测评项 技术要求-网络安全-网络设备防护测评要求 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;测评对象 核心交换机、汇聚交换机、防火墙测评方式 检查 访谈 测试 其他测评方法操作步骤 预期结果 测评记录1. 访谈管理员,是否使用加密协议对网络设备
10、进行远程管理SSH 协议可以实现在进行网络管理时流量在传输过程中被加密不被窃听 是 否2. 检查网络设备配置,是否配置 SSH 加密传输协议。检查命令:show running-config | include ssh检查配置文件中应当有如下配置:line vty 0 4transport input sshSSH SSL 其他 说明:检测: 记录: 审核: 2013 年 月 日原始记录任务单号:等级保护测评用例用例编号Db-3-js-wlaq-wlsbfh-h标准内编号7.1.2.7测评项 技术要求-网络安全-网络设备防护测评要求 应实现设备特权用户的权限分离。测评对象 核心交换机、汇聚交换机、防火墙测评方式 检查 访谈 测试 其他测评方法操作步骤 预期结果 测评记录1.访谈管理员,是否为不同的用户设置不同权限应为不同用户设置不同的权限或只针对管理员的用户进行授权,其它用户只能查看配置是 否说明:检测: 记录: 审核: 2013 年 月 日
