从等保测评身份鉴别要求看网络设备如何安全加固，从零基础到精通，收藏这篇就够了！

本文链接：https://blog.csdn.net/Javachichi/article/details/146012459

等保2.0标准体系主要包含三个标准文件，分别为：GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》、GB/T 28448—2019《信息安全技术网络安全等级保护测评要求》（以下简称“测评要求”）和GB/T 25070—2019《信息安全技术网络安全等级保护安全设计技术要求》。其中测评要求主要适用于安全测评服务机构的等级评测或者上级监管单位的监督检查，准确理解测评要求中的各测评项对于顺利通过等保测评具有极大的帮助。因此，我们将在后续的文章中陆续介绍测评要求中各测评单元项和内容理解，旨在帮助企业运营使用单位加深对等保测评对象安全加固措施的理解，提升和强化日常安全运维管理。

本期文章将详细介绍等保2.0测评（三级）中针对网络设备的身份鉴别相关测评单元和内容理解。

测评项

等保2.0标准中对网络设备的测评项归属于安全计算环境的大模块，第三级主要涉及身份鉴别、访问控制、安全审计和入侵防范五个部分内容。其中身份鉴别主要的测评单元包括：

测评单元（L3-CES1-01）

测评单元（L3-CES1-02）

测评单元（L3-CES1-03）

测评单元（L3-CES1-04）

测评项内容分析

测评单元（L3-CES1-01）

本项的测评要点：

a）应核查用户在登录时是否采用了身份鉴别措施，对现场交换机、路由器等网络设备启用账号密码认证，包括常见的console、telnet、SSH方式的登录验证。

b）应核查用户列表确认用户身份标识是否具有唯一性，用户名不能重复，该项一般交换机默认具备，不需要额外配置。

c）应核查用户配置信息或测试验证是否不存在空口令用户，主要排查交换机配置中的用户列表，清除空口令用户；

d）应核查用户鉴别信息是否具有复杂度要求并定期更换，主要对交换机启用密码复杂度检查策略和密码生命周期。

大多数用户现场网络设备（特别是二层交换机）一般未启用身份鉴别功能，默认配置缺乏安全性策略措施。以华为交换机为例，出厂默认只启用console口管理，且设置为不进行安全认证方式，故通过console端口登录交换机时并不需要输入密码。

◆ 加固措施1：设定交换机console设置登录密码

以华为交换机为例，可启用console登录的aaa认证策略实现对串口登录用户验证。

◆ 加固措施2：启用交换机telnet或SSH方式远程管理网络设备的登录用户验证

以华为交换机为例，可启用SSH登录的aaa认证策略实现对SSH登录用户验证。

◆ 加固措施3：设定交换机密码加密存储、复杂度和更换周期策略

以华为交换机为例，可设定本地用户账号密码加密存储策略，从V200R003版本开始华为交换机默认开启密码复杂度检查策略，并可设定密码生命周期策略。

对于老旧交换机不支持密码复杂度和更换周期策略的，可通过增加堡垒机等第三方运维管理设备，通过堡垒机等设备内置的密码复杂度和密码更换周期策略满足测评要求，以威努特安全运维管理系统为例，可通过设定用户口令安全策略满足要求。

测评单元（L3-CES1-02）

本项的测评要点：

a）应核查是否配置并启用了登录失败处理功能，需要对现场交换机、路由器等网络设备启用登录失败处理策略。

b）应核查是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如账号锁定等，需要对现场交换机、路由器等网络设备启用登录失败次数锁定时间策略。

c）应核查是否配置并启用了登录连续超时及自动退出功能，需要对现场交换机、路由器等网络设备启用登录超时策略；

◆ 加固措施1：设置登录失败处理策略，启用密码错误锁定次数和时间等策略

以思科交换机为例，可通过login-block策略实现登录密码错误次数等策略的配置。

◆ 加固措施2：设置交换机登录超时时间策略

以华为交换机为例，可通过idle-timeout命令设定本地用户超时连接时间。

测评单元（L3-CES1-03）

本项的测评要点：

a）应核查是否采用加密等安全方式对系统进行远程管理，防止鉴别信息在网络传输过程中被窃听，需要在网络设备的远程管理中采用SSH方式，避免远程管理明文数据传输。

◆ 加固措施：网络设备启用SSH安全远程管理

以华为交换机为例，可设定远程管理SSH终端连接模式。

测评单元（L3-CES1-04）

本项的测评要点：

a）应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别，通常网络设备不支持多种身份鉴别方式的组合，此项一般需要借助堡垒机等设备实现。

b）应核查其中一种鉴别技术是否使用密码技术来实现，可借助堡垒机等设备实现。

◆ **加固措施：**关闭console管理入口，通过堡垒机等第三方安全设备实现对网络设备远程集中管理，同时启用多种身份鉴别方式。

以威努特安全运维管理系统为例，可支持远程运维用户的多种认证策略绑定，包括OTP认证、AD域认证和证书认证等方式。

图：证书认证

等保测评整改方案建议

大部分用户现场网络设备数量较多，是各等级保护测评机构在测评过程中的重点关注对象，而在网络安全等级保护2.0标准安全计算环境-身份鉴别中的测评项大部分属于高风险项（必整改项），因此，对于网络设备中身份鉴别方面的加固是通过等保测评的关键措施之一。

首先，我们要知道等保并没有硬性规定要购买网络安全设备，但是等保要求安全性必须达到一定的要求和标准。由于网络设备本身的安全功能相对简单，很难完全满足测评要求，所以建议通过运维安全管理产品（俗称“堡垒机”）实现网络设备的集中管理，满足身份鉴别要求。目前市场上的运维安全管理产品均需满足GA／T 1394-2017《信息安全技术运维安全管理产品安全技术要求》。该标准规定了运维安全管理产品的安全功能要、安全保障要求及等级划分，适用于运维安全管理产品的设计、开发与测试。

威努特相关产品

通过威努特安全运维管理系统实现网络设备的集中管理，可满足身份鉴别要求。

威努特安全运维管理系统是集用户（Account）管理、授权（Authorization）管理、认证（Authentication）管理和综合审计（Audit）于一体的集中安全运维管理系统。能够帮助企业制定严格的网络设备资源访问策略，并且采用强身份鉴别手段，全面保障网络设备的安全，并能够详细记录用户对网络设备的访问及操作，满足对用户行为审计的需求。

威努特简介

北京威努特技术有限公司（以下简称“威努特”），是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会（ISA）全球网络安全联盟(GCA)创始成员。

威努特作为国家高新技术企业，以创新的“白环境”整体解决方案为核心，自主研发了全系列工控网络安全专用产品，拥有52项发明专利、50项软件著作权、52项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定，受邀出色完成新中国70周年庆典、中共十九大、全国两会等重大活动的网络安保任务，被授予“国家重大活动网络安保技术支持单位”，得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。

威努特始终以“专注工控，捍卫安全”为使命，致力于为我国关键信息基础设施网络空间安全保驾护航！