类别
等级保护安全需求
宁盾等级保护安全建设方案
网络
设备
防护
应对登录网络设备的用户进行身份鉴别(
G2
)
网络设备动态口令加固方案:
1
、
增强用户身份的唯一性;
2
、
只允许权限内用户登录;
3
、
在账号密码的基础上增加动
态口令进行安全加固;
4
、
动态口令每隔
30/60s
变化一
次,不可追溯;
5
、
限制登录次数及非法登录告
警;
6
、
基于角色的访问控制管理;
7
、
认证登录审计;
8
、其他。
应对网络设备的管理员登录地址进行限制。
(
G2
)
网络设备用户的标识应唯一。(
G2
)
主要网络设备应对统一用户选择两种或两种以
上组合的鉴别技术来进行身份鉴别。
(
G3
)
身份鉴别信息应具有不易被冒用的特点,
口令应
有复杂度要求并定期更换。(
G2
)
应具有登录失败处理功能,
可采取结束会话、
限
制非法登录次数和当网络登录连接超时自动退
出等措施。(
G2
)
当对网络设备进行管理时,
应采取必要措施防止
鉴别信息在网络传输过程中被窃听。(
G2
)
SSH
远程登录
应实现设备特权用户的权限分离。
(
G3
)
网络设备
AAA
管理方案:
1
、
兼容多品牌、多类型网络设
备;
2
、
基于用户角色划分登录权
限;
3
、
基于品牌、类型、操作级别
粗粒度划分权限;
4
、
基于可操作命令细粒度权限
划分;
5
、
操作审计及其他。