编程那点事编程那点事

专注编程入门及提高
探究程序员职业规划之道!

信息安全等级保护之技术要求→网络安全→网络设备防护

一、要求内容 

a)应对登录网络设备的用户进行身份鉴别; 

b)应对网络设备的管理员登录地址进行限制; 

c)网络设备用户的标识应唯一; 

d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别; 

e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 

f)网络设备用户的身份鉴别信息至少应有一种是不可伪造的; 

g)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施; 

h)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; 

i)应实现设备特权用户的权限分离。 

二、实施建议 

首先建立完善的网络设备安全登录和管理规定,规定的内容应改至少满足等保的要求;重要的网络设备可以使用两种或两种以上组合的鉴别技术来进行身份鉴别,如密码、令牌、生物识别技术等;对与重要的网络设备建议不使用网络登录或者限制登录终端,网络登录要使用加密方式以防止窃听。 

三、常见问题 

有些企业的网络管理人员仍然使用网络登录形式管理远程设备,使用单独的密码验证方式,没有使用加密传输方式,没有限制登录终端。 

四、实施难点 

禁用网络登录和限制登录终端给网管人员的维护带来不便。 

五、测评方法 

形式 访谈,检查,测试。 对象 网络管理员,边界和网络设备。 

实施 

a)应访谈网络管理员,询问对网络设备的防护措施有哪些,询问对网络设备的登录和验证方式做过何种特定配置;询问对网络特权用户的权限如何进行分配; 

b)应访谈网络管理员,询问网络设备的口令策略是什么; 

c)应检查边界和主要网络设备,查看是否配置了登录用户身份鉴别功能,口令设置是否有复杂度要求;查看是否对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别,其中一种是不可伪造的; 

d)应检查边界和网络设备,查看是否配置了鉴别失败处理功能(如是否有鉴别失败后锁定帐号等措施); 

e)应检查边界和网络设备,查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能; 

f)应检查边界和网络设备,查看是否对网络设备的管理员登录地址进行限制;查看是否设置网络登录连接超时,并自动退出;查看是否实现设备特权用户的权限分离; 

g)应对边界和网络设备进行渗透测试,通过使用各种渗透测试技术(如口令猜解等)对网络设备进行渗透测试,验证网络设备防护能力是否符合要求。 

六、参考资料 ISO17799中对连接限制方面有实施指导: 

11.5.5 会话超时 控制: 不活动的会话应在一个设定的不活动周期后关闭。 实施指南: 超过一段设定的不活动的时限,超时设施应清空会话屏幕并且,也可能在超时更长时,关闭应用和网络会话。超时的延迟应反映区域的安全风险,被处理的信息和被使用应用的类别,以及与用户的设备相关的风险。 对某些清空其屏幕并防止未授权访问,但没有关闭应用或网络会话的系统可以提供一种受限制的终端超时设施形式。 

11.5.6 连接时间限制 控制: 应使用连接时间限制以提供高风险应用程序的额外安全保障 实施指南: 敏感的计算机应用,特别是安装在高风险位置(例如,超出组织安全管理的公共区域或外部区域)的应用,应考虑连接时间控制。 

这种限制的例子包括: 

a) 使用预先定义的时隙,例如,对成批文件传输或短持续期的定期交互会话; 

b) 如果对超出时间或延长时间的操作没有要求,则将连接时间限于正常办公时间; 

c) 考虑以定时的间隔进行重新认证。

未经允许不得转载: 技术文章 » 信息安全 » 信息安全等级保护之技术要求→网络安全→网络设备防护