安全计算环境-(一)路由器-1

安全计算环境-网络设备

安全管理中心针对整个系统提出了安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。以下以三级等级保护对象为例,描述安全管理中心各个控制要求项的检查方法、检查对象和期望结果等。

边界内部称为“安全计算环境”,通常通过局域网将各种设备节点联结起来,构成复杂的计算环境。构成节点的设备包括网络设备、安全设备、服务器设备、终端设备、应用系统和其他设备等,涉及的对象包括各类操作系统、数据库系统、中间件系统及其他各类系统软件、应用软件和数据对象等。对这些节点和系统的安全防护构成了“一个中心,三重防御”的纵深防御体系的最后一道防线。

安全计算环境针对边界内部提出了安全控制要求,主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等,涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。

本章将以三级等级保护对象为例,描述安全计算环境各个控制要求项的测评内容、测评方法、证据、案例等。

一、路由器

路由器是沟通外部网络和内部网络的桥梁,是整个系统对外安全防护的前沿岗哨。根据《信息安全技术 网络安全等级保护测评要求》(以下简称为《测评要求》),身份鉴别、访问控制、安全审计、入侵防范、可信验证的相关要求应当具体落实到路由器的检查项中。本节将从身份鉴别、访问控制、安全审计、入侵防范、可信验证五个方面描述路由器在检查过程中的关注点。

控制点

1.

身份鉴别

为确保路由器的安全,必须对路由器中的每个运维用户或与之相连的路由器进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入路由器,并在规定的权限范围内操作。

a)

安全要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

要求解读:一般来说,用户登录路由器的方式包括利用控制台端口通过串口进行本地连接登录、利用辅助端口(AUX)通过调制解调器进行远程拨号连接登录、利用虚拟终端(VTY)通过TCP/IP网络进行远程Telnet登录等。无论采用哪一种登录方式,都需要对用户身份进行鉴别,口令是路由器用来防止非授权访问的常用手段,是路由器自身安全的一部分。因此需要加强对路由器口令的管理,包括口令的设置和存储(最好的口令存储方法是保存在TACACS+或RADIUS认证服务器上)。管理员应当依据需要,为路由器相应的端口添加身份鉴别所需的最基本的安全控制机制。

在一台路由器中,不允许配置用户名相同的用户。同时,要防止多人共用一个账户。应实行分账户管理,为每名管理员设置单独的账户,避免出现问题后不能及时进行追查的情况发生。

为避免身份鉴别信息被冒用,可以通过采用令牌、认证服务器等加强对身份鉴别信息的保护。如果仅基于口令进行身份鉴别,则应保证口令复杂度,满足定期更改口令的要求。

可以使用“service password-encryption”命令对存储在配置文件中的所有口令和类似数据进行加密,以避免攻击者通过读取配置文件获取用户口令的明文。

检查方法

1. 核查是否在用户登录时采用了身份鉴别措施。

2. 核查用户列表,测试用户身份标识是否具有唯一性。

3. 查看用户配置信息或访谈系统管理员,核查是否存在空口令用户(应为不存在)。

4. 核查用户鉴别信息是否满足复杂度要求并定期更换。

期望结果

1. 情况如下。

路由器使用口令鉴别机制对登录用户进行身份标识和鉴别。

在用户登录时提示输入用户名和口令。以错误口令或空口令登录时提示登录失败,证明了登录控制功能的有效性。

路由器中不存在密码为空的用户。

2. 身份认证,示例如下。

Cisco路由器:输入“show run”命令,存在如下类似用户列表配置。

也可以启用AAA服务器进行身份认证。

华为/H3C路由器:输入“display current-configuration”命令,存在如下类似用户列表配置。

也可以启用AAA服务器进行身份认证。

3. 用户口令情况,示例如下。

Cisco路由器:输入“show run”命令,存在如下类似配置。

华为/H3C路由器:输入display current-configuration命令,查看是否存在如下类似配置:

4. 口令由数字、字母、特殊字符组成。口令长度大于8位。口令更换周期一般为3个月。

H3C路由器:输入display password-control,存在如下类似配置。

b)

安全要求:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

要求解读:对路由器,可以通过配置结束会话、限制管理员的最大登录失败次数、网络连接超时自动退出等多种措施实现登录失败处理功能。例如,可以利用“exec-timeout”命令,配置虚拟终端VTY的超时参数。防止空闲任务占用VTY,从而避免恶意攻击或远端系统意外崩溃导致的资源独占。再如,设置管理员最大登录失败次数,一旦该管理员的登录失败数超过设定的数值,系统将对其进行登录锁定,从而防止非法用户通过暴力破解的方式登录路由器。

检查方法

1. 核查是否配置并启用了登录失败处理功能;如果网络中部署了堡垒机,则先核查堡垒机是否具有登录失败处理功能。如果网络中没有部署堡垒机,则核查设备是否默认启用了登录失败处理功能,例如登录失败3次即退出登录界面。

2. 核查是否配置并启用了非法登录达到一定次数后锁定账户的功能。

3. 核查是否配置并启用了远程登录连接超时自动退出的功能。

以华为路由器为例,设置超时时间为5分钟,输入“display current-configuration”命令,在VTY下查看是否存在如下类似配置。

期望结果

1. 网络设备默认启用登录失败处理功能。

2. 堡垒机限制非法登录(达到一定次数后进行账户锁定),或者有如下情况。

  • H3C路由器:输入display password-control,存在如下类似配置。

  • Cisco、华为路由器连续登录5次即锁定10分钟。

3. 堡垒机启用了远程登录连接超时自动退出的功能,或者有如下情况。

Cisco路由器:输入show run命令,存在如下类似配置。

  •  华为/H3C路由器:输入display current-configuration命令,存在如下类似配置。

c)

安全要求:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。

要求解读:在对网络设备进行远程管理时,为避免口令传输过程中被窃取,不应当使用明文传送的Telnet服务,而应当采用SSH、HTTPS等加密协议等方式进行交互式管理。

检查方法

核查是否采用加密等安全方式对系统进行远程管理,以防止鉴别信息在网络传输过程中被窃听。如果网络中部署了堡垒主机,则先核查堡垒机在进行远程连接时采用何种措施防止鉴别信息在网络传输过程中被窃听(例如SSH等方式)。

期望结果

Cisco路由器:输入show run命令,存在如下类似配置。

华为/H3C路由器:输入display current-configuration命令,存在如下类似配置。

d)

安全要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

要求解读:采用组合的鉴别技术对用户进行身份鉴定是防止欺骗的有效方法。在这里,两种或两种以上组合的鉴别技术是指同时使用不同种类的(至少两种)鉴别技术,且其中一种鉴别技术至少应使用密码技术来实现。

检查方法

询问系统管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或两种以上组合的鉴别技术对用户身份进行鉴别,并核查其中一种鉴别技术是否使用密码技术来实现。

期望结果

至少采用了两种鉴别技术,其中之一为口令或生物技术,另外一种为基于密码技术的鉴别技术(例如使用基于国密算法的数字证书或数字令牌)。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/63092.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

D9741是一块脉宽调制方三用于也收路像机和笔记本电的等设备上的直流转换器。在便携式的仪器设备上。

概述: D9741是一块脉宽调制方三用于也收路像机和笔记本电的等设备上的直流转换器。在便携式的仪器设备上。 主要特点: ● 高精度基准电路 ● 定时闩锁、短路保护电路 ● 低电压输入时误操作保护电路 ● 输出基准电压(2.5V) ● 超过工作范围能进行自动校…

数据挖掘之聚类分析

聚类分析(Clustering Analysis) 是数据挖掘中的一项重要技术,旨在根据对象间的相似性或差异性,将对象分为若干组(簇)。同一簇内的对象相似性较高,而不同簇间的对象差异性较大。聚类分析广泛应用…

Qt 图形框架下图形拖动后位置跳动问题

在使用Qt 的图形框架QGraphicsScene,QGraphicsView实现图形显示时。遇到一个很棘手的BUG。 使用的图形是自定义的QGraphicsObject的子类。 现象是将图形添加到画布上之后,用鼠标拖动图形,图形能正常改变位置,当再次用鼠标点击图…

Vue技术中参数传递:Props与事件的实践指南

在Vue.js中,组件间的参数传递是构建动态和交互式应用的核心。本文将深入探讨如何通过Props和事件($emit)在Vue组件间进行参数传递,并提供代码示例。 Props传递数据 Props是Vue中组件间传递数据的一种方式,它允许父组…

一、LRU缓存

LRU缓存 1.LRU缓存介绍2.LRU缓存实现3.LRU缓存总结3.1 LRU 缓存的应用3.2 LRU 缓存的优缺点 1.LRU缓存介绍 LRU是Least Recently Used 的缩写,意为“最近最少使用”。它是一种常见的缓存淘汰策略,用于在缓存容量有限时,决定哪些数据需要被删…

LabVIEW光栅衍射虚拟仿真系统

随着现代教育技术的快速发展,虚拟仿真实验平台逐渐成为物理实验教学的重要辅助工具。基于LabVIEW的平面透射光栅虚拟仿真系统帮助学生更好地理解和分析光栅衍射现象,提高教学质量和学生的学习兴趣。 项目背景 在波动光学的教学中,光栅衍射实…

241211 selenium问题记录

The process started from chrome location /usr/bin/chromedriver is no longer running, so ChromeDriver is assuming that Chrome has crashed. 声明option类 chrome_option.add_argument(--headless) 后台启动webdriver NoSuchDriverException(msg) from err selenium.c…

前端核心知识总结

‌前端架构知识总结‌主要包括以下几个方面&#xff1a; ‌HTML‌&#xff1a;HTML是构建网页的基础&#xff0c;使用各种标签定义网页的结构&#xff0c;如<html>、<head>、<body>等。HTML5引入了新的语义化标签&#xff0c;如<article>、<section…

libcublas.so.11: cannot open shared object file: no such file or di

问题&#xff1a;在linux系统安装tensorrt后import tensorrt时出现 libcublas.so.11: cannot open shared object file: no such file or directory 或者 libcublasLt.so.11&#xff1a;cannot open shared object file: no such file or directory 或者 libcudnn.so.8&…

Linux编译Kernel时的文件zImage、文件dtb(dtbs)、核心模块分别是什么东西?

zImage文件的介绍 在编译Linux内核时&#xff0c;zImage 是一种内核映像文件&#xff0c;它是内核的压缩版本&#xff0c;通常用于引导嵌入式设备或其他资源有限的环境。 zImage 的具体含义 zImage 是 “Compressed Kernel Image” 的缩写。它是通过压缩原始的内核映像&…

Spring Boot 3.x嵌入MongoDB 进行测试

在现代应用开发中&#xff0c;数据库是不可或缺的一部分。对于使用 MongoDB 的 Java 应用&#xff0c;进行单元测试时&#xff0c;通常需要一个轻量级的数据库实例。de.flapdoodle.embed.mongo 是一个非常有用的库&#xff0c;它允许开发者在测试中嵌入 MongoDB 实例&#xff0…

scala隐式类

1 定义 隐式类指的是用implicit关键字修饰的类。在对应的作用域内&#xff0c;带有这个关键字的类的主构造函数可用于隐式转换。 2示例 现在有一个需求&#xff1a;有一个 Person 类&#xff0c;含有work&#xff08;&#xff09;方法&#xff0c;有一个 Student 类&#xff0…

Swin Transformer:用Transformer实现CNN多尺度操作

文本是关于Swin Transformer基础知识的了解 论文&#xff1a;https://arxiv.org/pdf/2103.14030 项目&#xff1a;https://github. com/microsoft/Swin-Transformer. 实现一个Swin Transformer&#xff1a;Swin Transformer模型具体代码实现-CSDN博客 Swin Transformer mlp…

系列2:基于Centos-8.6Kubernetes 集成GPU资源信息

每日禅语 自省&#xff0c;就是自我反省、自我检查&#xff0c;自知己短&#xff0c;从而弥补短处、纠正过失。佛陀强调自觉觉他&#xff0c;强调以达到觉行圆满为修行的最高境界。要改正错误&#xff0c;除了虚心接受他人意见之外&#xff0c;还要不忘时时观照己身。自省自悟之…

flutter控件buildDragTargetWidget详解

文章目录 1. DragTarget 的核心概念基本属性 2. 基本用法3. 使用 buildDragTargetWidget4. 常见场景5. 注意事项 buildDragTargetWidget 不是 Flutter 中的内置 API 或方法&#xff0c;但根据命名习惯&#xff0c;它很可能是您正在实现或使用的一个方法&#xff0c;用于在 Flut…

MySQL迁移SQLite

将 MySQL 的表结构和数据迁移到 SQLite&#xff0c;可以通过以下步骤实现。这个过程主要包括导出 MySQL 数据库到 SQL 文件&#xff0c;然后将其导入到 SQLite 数据库中。 步骤 1: 导出 MySQL 数据库 首先&#xff0c;需要将 MySQL 数据库导出为一个 SQL 文件。可以使用 mysq…

【数据结构——内排序】二路归并排序(头歌实践教学平台习题)【合集】

目录&#x1f60b; 任务描述 测试说明 我的通关代码: 测试结果&#xff1a; 任务描述 本关任务&#xff1a;实现二路归并算法。 测试说明 平台会对你编写的代码进行测试&#xff1a; 测试输入示例&#xff1a; 11 18 2 20 34 12 32 6 16 5 8 1 (说明&#xff1a;第一行是元…

近期数据安全事件通报处罚案例分析与建议

近期典型事件案例 案例一&#xff1a;北京某公司未建立数据安全管理制度和操作规程&#xff0c;造成大量公民个人信息泄露 北京某公司的数据管理人员&#xff0c;某天发现公司的客户数据疑似泄露在境外非法网站上随后报警。经检查&#xff0c;该公司的技术人员在数据库系统测试…

基于 webRTC Vue 的局域网 文件传输工具

文件传输工具&#xff0c;匿名加密&#xff0c;只需访问网页&#xff0c;即可连接到其他设备&#xff0c;基于 webRTC 和 Vue.js coturn TURN 服务器 docker pull coturn/coturn docker run -d --networkhost \-v $(pwd)/my.conf:/etc/coturn/turnserver.conf \coturn/coturn…

【FFmpeg】FFmpeg 内存结构 ⑥ ( 搭建开发环境 | AVPacket 创建与释放代码分析 | AVPacket 内存使用注意事项 )

文章目录 一、搭建开发环境1、开发环境搭建参考2、项目搭建 二、AVPacket 创建与释放代码分析1、AVPacket 创建与释放代码2、Qt 单步调试方法3、单步调试 - 分析 AVPacket 创建与销毁代码 三、AVPacket 内存使用注意事项1、谨慎使用 av_init_packet 函数2、av_init_packet 函数…