等保2.0标准体系主要包含三个标准文件,分别为:GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》(以下简称“测评要求”)和GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》。其中测评要求主要适用于安全测评服务机构的等级评测或者上级监管单位的监督检查,准确理解测评要求中的各测评项对于顺利通过等保测评具有极大的帮助。因此,我们将在后续的文章中陆续介绍测评要求中各测评单元项和内容理解,旨在帮助企业运营使用单位加深对等保测评对象安全加固措施的理解,提升和强化日常安全运维管理。

本期文章将详细介绍等保2.0测评(三级)中针对网络设备的身份鉴别相关测评单元和内容理解。

1、测评项

等保2.0标准中对网络设备的测评项归属于安全计算环境的大模块,第三级主要涉及身份鉴别、访问控制、安全审计和入侵防范五个部分内容。其中身份鉴别主要的测评单元包括:

测评单元(L3-CES1-01)

测评单元(L3-CES1-02)

测评单元(L3-CES1-03)

测评单元(L3-CES1-04)

2、测评项内容分析

测评单元(L3-CES1-01)

本项的测评要点:

a)应核查用户在登录时是否采用了身份鉴别措施,对现场交换机、路由器等网络设备启用账号密码认证,包括常见的console、telnet、SSH方式的登录验证。

b)应核查用户列表确认用户身份标识是否具有唯一性,用户名不能重复,该项一般交换机默认具备,不需要额外配置。

c)应核查用户配置信息或测试验证是否不存在空口令用户, 主要排查交换机配置中的用户列表,清除空口令用户;

d)应核查用户鉴别信息是否具有复杂度要求并定期更换,主要对交换机启用密码复杂度检查策略和密码生命周期。

大多数用户现场网络设备(特别是二层交换机)一般未启用身份鉴别功能,默认配置缺乏安全性策略措施。以华为交换机为例,出厂默认只启用console口管理,且设置为不进行安全认证方式,故通过console端口登录交换机时并不需要输入密码。

加固措施1:设定交换机console设置登录密码

以华为交换机为例,可启用console登录的aaa认证策略实现对串口登录用户验证。

◆ 加固措施2:启用交换机telnet或SSH方式远程管理网络设备的登录用户验证

以华为交换机为例,可启用SSH登录的aaa认证策略实现对SSH登录用户验证。

加固措施3:设定交换机密码加密存储、复杂度和更换周期策略

以华为交换机为例,可设定本地用户账号密码加密存储策略,从V200R003版本开始华为交换机默认开启密码复杂度检查策略,并可设定密码生命周期策略。

对于老旧交换机不支持密码复杂度和更换周期策略的,可通过增加堡垒机等第三方运维管理设备,通过堡垒机等设备内置的密码复杂度和密码更换周期策略满足测评要求。

测评单元(L3-CES1-02)

本项的测评要点:

a)应核查是否配置并启用了登录失败处理功能,需要对现场交换机、路由器等网络设备启用登录失败处理策略。

b)应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账号锁定等,需要对现场交换机、路由器等网络设备启用登录失败次数锁定时间策略。

c)应核查是否配置并启用了登录连续超时及自动退出功能,需要对现场交换机、路由器等网络设备启用登录超时策略;

加固措施1:设置登录失败处理策略,启用密码错误锁定次数和时间等策略

以思科交换机为例,可通过login-block策略实现登录密码错误次数等策略的配置。

加固措施2:设置交换机登录超时时间策略

以华为交换机为例,可通过idle-timeout命令设定本地用户超时连接时间。

测评单元(L3-CES1-03)

本项的测评要点:

a)应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听,需要在网络设备的远程管理中采用SSH方式,避免远程管理明文数据传输。

◆ 加固措施:网络设备启用SSH安全远程管理

以华为交换机为例,可设定远程管理SSH终端连接模式。

测评单元(L3-CES1-04)

本项的测评要点:

a)应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别,通常网络设备不支持多种身份鉴别方式的组合,此项一般需要借助堡垒机等设备实现。

b)应核查其中一种鉴别技术是否使用密码技术来实现,可借助堡垒机等设备实现。

加固措施:关闭console管理入口,通过堡垒机等第三方安全设备实现对网络设备远程集中管理,同时启用多种身份鉴别方式。

3、等保测评整改方案建议

大部分用户现场网络设备数量较多,是各等级保护测评机构在测评过程中的重点关注对象,而在网络安全等级保护2.0标准安全计算环境-身份鉴别中的测评项大部分属于高风险项(必整改项),因此,对于网络设备中身份鉴别方面的加固是通过等保测评的关键措施之一。

首先,我们要知道等保并没有硬性规定要购买网络安全设备,但是等保要求安全性必须达到一定的要求和标准。由于网络设备本身的安全功能相对简单,很难完全满足测评要求,所以建议通过运维安全管理产品(俗称“堡垒机”)实现网络设备的集中管理,满足身份鉴别要求。目前市场上的运维安全管理产品均需满足GA/T 1394-2017《信息安全技术 运维安全管理产品安全技术要求》。该标准规定了运维安全管理产品的安全功能要、安全保障要求及等级划分,适用于运维安全管理产品的设计、开发与测试。

目前,在中华人民共和国公安部计算机信息系统安全专用产品销售许可服务平台(https://www.ispl.cn/ispl/)可查拥有运维安全管理产品销售许可证的部分知名厂商如下(排名不分先后),大家可以从中选择适合自己的产品。

声明:本文来自等级保护测评,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。