主流网络设备三级等保测评指导与加固

最新推荐文章于 2025-03-04 12:30:34 发布
最新推荐文章于 2025-03-04 12:30:34 发布
阅读量2.4k 收藏 41
点赞数 12
文章标签: 服务器 php 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84434570/article/details/142867519
版权

一、查看设备版本

通过display version命令的回显,查看交换机的版本信息。

二、登录设备

  1. 打开网络浏览器,输入交换机的IP地址,输入具有管理权限的用户名和密码,即可查看交换机的配置状态。

  2. 在PC上打开浏览器,输入交换机的IP地址,进入Web网管登录界面。

  3. 通过Console口连接交换机,使用命令行配置Web登录的IP地址和接口。

三、现场测评

1、身份鉴别:

为确保网络设备的安全,必须对网络设备的每个用户进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限进入网络设备,并在规定的权限范围内进行操作

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

要求解读

用户登录网络设备的方式包括通过串口本地连接登录、通过TCP/IP网络进行远程Telnet、SSH登录。无论采用哪种登录方式都需要对用户身份进行鉴别。口令是网络设备用来防止非授权访问的常用手段,网络设备不允许配置相同用户名的用户,要防止多人共用一个账户,应为每名管理员设置单独的账户,并保证口令复杂度,满足定期更改口令的要求。

测评方法

(1)核查是否在用户登录时采用了身份鉴别措施。

(2)核查用户列表,测试用户身份标识是否具有唯一性。

(3)查看用户配置信息,核查是否存在空口令用户。

      (4)核查用户鉴别信息是否满足复杂度和定期更换要求。

  Cisco设备:输入“show run | include username”命令,在返回的配置信息里查找如下用户列表配置,查看用户名、密码、权限配置信息:

图片

输入“show password-control”命令,在返回的配置信息里查找如下配置:口令复杂度、口令定期更换周期。

图片

华为/H3C设备:输入aaa进入aaa视图,再次输入dis this,查看用户名、密码、权限配置信息:

图片

图片

H3C设备输入“display password-control”命令,在返回的配置信息里查找如下配置:口令复杂度、口令定期更换周期。

图片

华为设备执行命令display local-aaa-user password policy

图片

图片

测评结果

(1)网络设备使用口令对登录用户进行身份标识和鉴别。用户登录时提示输入用户名和口令。以错误口令或空口令登录时提示登录失败,证明了登录控制功能的有效性。网络设备中不存在密码为空的用户。

安全加固

配置网络设备使用用户名+密码认证方式,认证通过才可以登录并管理网络设备,后期密码定期进行更换并满足高复杂度要求。

华为/H3C设备:输入local-user xitong password cipher Admin@123456,创建新用户并设置密码。

图片

密码复杂度和定期更换要求:

图片

Password control: Enabled为已开启口令复杂度策略要求,Disabled为未开启口令复杂度策略要求;

Password aging: Enabled (90 days) 为密码最长使用期限90天。

Password length: Enabled (8 characters) 为密码最小长度8位。

Password composition: Enabied(3 types, 1 characters per type) 为最少包含三种字符,且每种字符最少使用1位;

Password history: Enabled (max history records:4)为新密码中最多包含旧密码中的4个字符。

Early notice on password expiration: 7 days为密码有效期到期前7天提示更换。

User authentication timeout:600 seconds为用户认证超时时间6分钟。

Maximum failedlogin attempts: 5 times为最多登录失败次数5次。

Login attempt-failed action: Lock for 5 minutes为达到最多登录失败次数5次后,处理动作为锁定账户5分钟。

Cisco设备:创建新用户并设置密码username admin privilege 1 password Admin@123456。

图片

密码复杂度和定期更换要求:

输入password-control min-length 8 special-char 1 upper-case 1 lower-case 1 numeric-count 1,配置密码复杂度最小长度为8,至少各包含大小写字母、数字、特殊字符1位。

思科设备默认无法直接配置密码定期更换要求。

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

要求解读

网络设备,可以通过配置结束会话、限制管理员的最大登录失败次数、设置网络连接超时自动退出等多种措施提高设备自身安全性,一旦管理员的登录失败次数超过设定的数值,系统将对其进行登录锁定,从而防止非法用户通过暴力破解的方式登录网络设备。

测评方法

(1)核查是否配置并启用了登录失败处理功能。如果设备只允许通过堡垒机维护管理,则先核查堡垒机是否具有登录失败处理功能。如果网络中没有部署堡垒机,则核查设备是否启用了登录失败处理功能。

(2)核查是否配置并启用了非法登录达到一定次数后锁定账户的功能。

(3)核查是否配置并启用了远程登录连接超时自动退出的功能。

登录失败处理查询:

华为/H3C网络设备:输入“display password-control”命令,在返回的配置信息里查找如下配置

最低0.47元/天 解锁文章
什么网络
关注
网络安全自学教程》- 软件开发的安全问题解决方案
wangyuxiang946的博客
06-03 1万+
分析传统软件开发生命周期的弊端,讲解安全的软件开发生命周期以及威胁建模、代码审计等支撑技术
信息安全等级保护测评实施H3C交换机三级作业指导书.doc
08-11
等级保护-交换机-三级测评指导书
等保测评-华为、华三、锐捷路由、交换设备配置
08-04
等保测评相关路由、交换机设备配置
等保测评身份鉴别要求看网络设备如何安全加固,从零基础到精通,收藏这篇就够了!
最新发布
Javachichi的博客
03-04 450
等保2.0标准体系主要包含三个标准文件,分别为:GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》(以下简称“测评要求”)和GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》。其中测评要求主要适用于安全测评服务机构的等级评测或者上级监管单位的监督检查,准确理解测评要求中的各测评项对于顺利通过等保测评具有极大的帮助。因此,我们将在后续的文章中陆续介绍测评要求中各测评单元项和内容理解,旨
等保2.0测评指导书
11-04
物理安全、安全通信网络、安全区域边界、安全计算环境、安全计算环境linux、安全计算环境windows、Oracle、Mysql、终端设备、应用系统、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制
等保测评记录-1
qq_55814083的博客
09-07 427
输入local-aaa-user password policy administator执行。最后display即可显示password-control为enabled。华为交换机型号S5700、版本V200R005C00SPC500。2、启用password-control。首先进入system-view。首先进入system-view。1、关掉高危端口23、80。
等保基线核查——交换机
weixin_43965325的博客
10-25 6146
交换机基线核查常用命令行
等保测评 安全计算环境之网络设备
weixin_45380284的博客
02-20 6070
安全计算环境之网络设备 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 1)应核查用户在登录时是否采用了身份鉴别措施 2)应核查用户列表,测试用户身份标识是否具有唯一性 3)应核查用户配置信息或访谈系统管理员,核查是否不存在空口令用户 4)应核查用户鉴别信息是否具有复杂度要求并定期更换 b)具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施 1)应核查是否配置并启用了登录失败处理功能:如果网络中部署堡
等保2.0 | 几维安全发布等保检测、等保加固专版 加速企业等保合规
weixin_34190136的博客
02-25 244
随着等保 2.0 时代的到来,网络安全要求更加严格,应用场景更加丰富,等级保护已成为互联网企业义不容辞的责任。作为国内移动安全领域的技术创新企业,几维安全在积极响应等保2.0时代的战略布局,推出等保2.0检测、等保加固专版,为企业用户提供一站式安全等保服务。 等保测评的五个阶段 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保...
等保测评常用命令
学生
11-04 6329
记录一些等保测评常用命令
网络安全等级保护-等保2.0-等保三级测评:设备和计算安全-测评表模板
10-11
网络安全等级保护-等保2.0-等保三级测评:设备和计算安全-测评表模板
等保测评---交换机测试命令
weixin_54339675的博客
12-05 1741
show run | b logging :查看是否开启日志,是否配置日志服务器。show interfaces :查看交换机的接口详细配置信息。show run | i ssh server :查看是否采用ssh方式进行管理。show run :查看交换机配置信息。
基线-h3c网络设备安全加固-检查的配置命令参考.xlsx
11-19
主要介绍h3C网络设备包含交换机、路由器、WLAN、防火墙V7设备安全加固的判断依据、检查方法、加固指南。
等级保护三级安全建设
Xin20203010的博客
07-22 2284
等级保护方案介绍 伴随着信息系统的快速发展,信息系统所面临的安全威胁日益复杂,用户对信息安全系统的需求日俱增。从外部环境来看,信息安全已经成为近几年信息化建设的热点话题,如何保障信息系统的安全已经成为国家关注的焦点,从27号文件开始,国家陆续出台了一系列的安全政策和标准,提出了以“适度安全、分级保护”为核心的等级保护建设思路,公安部、保密局、国密办以及国信办陆续出台政策,要求国内重要的信息系统应按照等级保护的办法和要求,进行相关安全防护系统的建设 三级建设要求如下: 根据《信息系统安全等护基本要求》中华
【EeePC双系统性能测评】:Android x86WinXP游戏及多媒体体验对比分析
!... # 摘要 本论文综合比较了Android x86系统和Windows XP系统在EeePC上的安装、性能、游戏及多媒体体验,并提供了实战优化建议。通过对两种系统的架构特点、优化策略、游戏和多媒体应用的兼容性及性能进行深入分析,...
网络安全(黑客)自学
Dasdwer的博客
08-08 2147
什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。如何成为一名黑客很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为黑客(网络安全)入门必备黑客(网络安全)职业指南黑客(网络安全)学习导航。
等保测评中锐捷交换机常用查询命令
2401_84434570的博客
10-08 1095
【代码】等保测评中锐捷交换机常用查询命令。
等级保护测评基本要求安全区域边界笔记
weixin_54799594的博客
06-01 1163
等级测评安全区域边界学习过程中的小笔记
通过等保测评所需安全设备以及设备介绍
weixin_64392888的博客
04-26 913
7. **安全信息和事件管理(SIEM)**:结合了安全事件管理(SEM)和安全信息管理(SIM),用于收集、分析并报告日志数据,是SOC的基础。6. **安全运营中心(SOC)**:不是单一设备,而是一套安全监控和管理的系统,用于实现业务信息系统的持续安全运营。15. **网络准入控制(NAC)**:控制设备在连接到网络之前必须满足的安全标准,防止不安全的设备接入。1. **防火墙(Firewall)**:它用于隔离内网和外网,控制数据流的进出,防止未经授权的访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值