安全計算環境-網絡設備

安全管理中心針對整個系統提出了安全管理方面的技術控制要求，通過技術手段實現集中管理；涉及的安全控制點包括系統管理、審計管理、安全管理和集中管控。以下以三級等級保護對象為例，描述安全管理中心各個控制要求項的檢查方法、檢查對象和期望結果等。

邊界內部稱為“安全計算環境”，通常通過局域網將各種設備節點聯結起來，構成復雜的計算環境。構成節點的設備包括網絡設備、安全設備、服務器設備、終端設備、應用系統和其他設備等，涉及的對象包括各類操作系統、數據庫系統、中間件系統及其他各類系統軟件、應用軟件和數據對象等。對這些節點和系統的安全防護構成了“一個中心，三重防御”的縱深防御體系的最后一道防線。

安全計算環境針對邊界內部提出了安全控制要求，主要對象為邊界內部的所有對象，包括網絡設備、安全設備、服務器設備、終端設備、應用系統、數據對象和其他設備等，涉及的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份與恢復、剩余信息保護和個人信息保護。

本章將以三級等級保護對象為例，描述安全計算環境各個控制要求項的測評內容、測評方法、證據、案例等。

一、路由器

路由器是溝通外部網絡和內部網絡的橋梁，是整個系統對外安全防護的前沿崗哨。根據《信息安全技術 網絡安全等級保護測評要求》（以下簡稱為《測評要求》），身份鑒別、訪問控制、安全審計、入侵防范、可信驗證的相關要求應當具體落實到路由器的檢查項中。本節將從身份鑒別、訪問控制、安全審計、入侵防范、可信驗證五個方面描述路由器在檢查過程中的關注點。

控制點

1.

身份鑒別

為確保路由器的安全，必須對路由器中的每個運維用戶或與之相連的路由器進行有效的標識與鑒別。只有通過鑒別的用戶，才能被賦予相應的權限，進入路由器，并在規定的權限范圍內操作。

a)

安全要求：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。

要求解讀：一般來說，用戶登錄路由器的方式包括利用控制臺端口通過串口進行本地連接登錄、利用輔助端口（AUX）通過調制解調器進行遠程撥號連接登錄、利用虛擬終端（VTY）通過TCP/IP網絡進行遠程Telnet登錄等。無論采用哪一種登錄方式，都需要對用戶身份進行鑒別，口令是路由器用來防止非授權訪問的常用手段，是路由器自身安全的一部分。因此需要加強對路由器口令的管理，包括口令的設置和存儲（最好的口令存儲方法是保存在TACACS+或RADIUS認證服務器上）。管理員應當依據需要，為路由器相應的端口添加身份鑒別所需的最基本的安全控制機制。

在一臺路由器中，不允許配置用戶名相同的用戶。同時，要防止多人共用一個賬戶。應實行分賬戶管理，為每名管理員設置單獨的賬戶，避免出現問題后不能及時進行追查的情況發生。

為避免身份鑒別信息被冒用，可以通過采用令牌、認證服務器等加強對身份鑒別信息的保護。如果僅基于口令進行身份鑒別，則應保證口令復雜度，滿足定期更改口令的要求。

可以使用“service password-encryption”命令對存儲在配置文件中的所有口令和類似數據進行加密，以避免攻擊者通過讀取配置文件獲取用戶口令的明文。

檢查方法

1. 核查是否在用戶登錄時采用了身份鑒別措施。

2. 核查用戶列表，測試用戶身份標識是否具有唯一性。

3. 查看用戶配置信息或訪談系統管理員，核查是否存在空口令用戶（應為不存在）。

4. 核查用戶鑒別信息是否滿足復雜度要求并定期更換。

期望結果

1. 情況如下。

路由器使用口令鑒別機制對登錄用戶進行身份標識和鑒別。

在用戶登錄時提示輸入用戶名和口令。以錯誤口令或空口令登錄時提示登錄失敗，證明了登錄控制功能的有效性。

路由器中不存在密碼為空的用戶。

2. 身份認證，示例如下。

Cisco路由器：輸入“show run”命令，存在如下類似用戶列表配置。

也可以啟用AAA服務器進行身份認證。

華為/H3C路由器：輸入“display current-configuration”命令，存在如下類似用戶列表配置。

也可以啟用AAA服務器進行身份認證。

3. 用戶口令情況，示例如下。

Cisco路由器：輸入“show run”命令，存在如下類似配置。

華為/H3C路由器：輸入display current-configuration命令，查看是否存在如下類似配置：

4. 口令由數字、字母、特殊字符組成。口令長度大于8位。口令更換周期一般為3個月。

H3C路由器：輸入display password-control，存在如下類似配置。

b)

安全要求：應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。

要求解讀：對路由器，可以通過配置結束會話、限制管理員的最大登錄失敗次數、網絡連接超時自動退出等多種措施實現登錄失敗處理功能。例如，可以利用“exec-timeout”命令，配置虛擬終端VTY的超時參數。防止空閑任務占用VTY，從而避免惡意攻擊或遠端系統意外崩潰導致的資源獨占。再如，設置管理員最大登錄失敗次數，一旦該管理員的登錄失敗數超過設定的數值，系統將對其進行登錄鎖定，從而防止非法用戶通過暴力破解的方式登錄路由器。

檢查方法

1. 核查是否配置并啟用了登錄失敗處理功能；如果網絡中部署了堡壘機，則先核查堡壘機是否具有登錄失敗處理功能。如果網絡中沒有部署堡壘機，則核查設備是否默認啟用了登錄失敗處理功能，例如登錄失敗3次即退出登錄界面。

2. 核查是否配置并啟用了非法登錄達到一定次數后鎖定賬戶的功能。

3. 核查是否配置并啟用了遠程登錄連接超時自動退出的功能。

以華為路由器為例，設置超時時間為5分鐘，輸入“display current-configuration”命令，在VTY下查看是否存在如下類似配置。

期望結果

1. 網絡設備默認啟用登錄失敗處理功能。

2. 堡壘機限制非法登錄（達到一定次數后進行賬戶鎖定），或者有如下情況。

• H3C路由器：輸入display password-control，存在如下類似配置。

• Cisco、華為路由器連續登錄5次即鎖定10分鐘。

3. 堡壘機啟用了遠程登錄連接超時自動退出的功能，或者有如下情況。

Cisco路由器：輸入show run命令，存在如下類似配置。

• ?華為/H3C路由器：輸入display current-configuration命令，存在如下類似配置。

c)

安全要求：當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。

要求解讀：在對網絡設備進行遠程管理時，為避免口令傳輸過程中被竊取，不應當使用明文傳送的Telnet服務，而應當采用SSH、HTTPS等加密協議等方式進行交互式管理。

檢查方法

核查是否采用加密等安全方式對系統進行遠程管理，以防止鑒別信息在網絡傳輸過程中被竊聽。如果網絡中部署了堡壘主機，則先核查堡壘機在進行遠程連接時采用何種措施防止鑒別信息在網絡傳輸過程中被竊聽（例如SSH等方式）。

期望結果

Cisco路由器：輸入show run命令，存在如下類似配置。

華為/H3C路由器：輸入display current-configuration命令，存在如下類似配置。

d)

安全要求：應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。

要求解讀：采用組合的鑒別技術對用戶進行身份鑒定是防止欺騙的有效方法。在這里，兩種或兩種以上組合的鑒別技術是指同時使用不同種類的（至少兩種）鑒別技術，且其中一種鑒別技術至少應使用密碼技術來實現。

檢查方法

詢問系統管理員，了解系統是否采用由口令、數字證書、生物技術等中的兩種或兩種以上組合的鑒別技術對用戶身份進行鑒別，并核查其中一種鑒別技術是否使用密碼技術來實現。

期望結果

至少采用了兩種鑒別技術，其中之一為口令或生物技術，另外一種為基于密碼技術的鑒別技術（例如使用基于國密算法的數字證書或數字令牌）。