标准规范下载简介
GBT 41266-2022 网络关键设备安全检测方法 交换机设备.pdf简介:
GBT 41266-2022 是中国国家标准中的一个技术规范,全称为《网络关键设备安全检测方法 交换机设备》。该标准主要针对网络关键设备,特别是交换机设备,提出了安全检测的方法和要求。交换机设备作为网络通信的核心组件,其安全性能直接影响到整个网络的稳定性和数据传输的安全性。
交换机设备的安全检测主要包括以下几个方面:
1. 硬件安全:检查设备的物理安全,包括防止物理破坏、电磁干扰等;同时也包括硬件组件的稳定性、耐用性及抗病毒能力等。
2. 软件安全:评估操作系统的安全性,包括漏洞管理、权限管理、系统更新等;检查设备的固件是否更新及时,是否存在已知的安全问题。
3. 网络协议安全:检查设备处理网络协议的能力,如TCP/IP、SSL/TLS等,是否符合安全标准,是否存在数据包泄露、篡改或冒充的风险。
4. 数据安全:评估设备在数据传输和存储过程中的加密和完整性保护,确保数据不被非法访问或修改。
5. 安全功能:如防火墙、入侵检测、安全策略管理等,确保设备具备必要的安全防护功能。
6. 安全管理:包括设备的日志管理、审计功能,以及系统的备份和恢复机制等。
7. 安全配置管理:验证设备的默认配置是否安全,用户配置是否符合最佳实践,是否存在已知的安全配置错误。
该标准的发布旨在提升网络关键设备的安全防护能力,帮助相关企业及机构进行有效的设备安全检测和维护,保障网络安全。
GBT 41266-2022 网络关键设备安全检测方法 交换机设备.pdf部分内容预览:
该检测项包括如下内容: a 安全要求: 使用口令鉴别方式时,应支持首次管理设备时强制修改默认口令或设置口令,或支持随机初始 口令,支持设置口令生存周期。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供口令鉴别方式相关的说明文档,包括不限于默认设备管理方式、默认口令、口令 生存周期等内容; 3)被测设备处于出厂默认配置状态, C 检测方法: 1)若被测设备存在默认口令,则使用默认账号登录被测设备,检查被测设备是否强制修改默 认口令,或使用随机的初始口令;若被测设备不存在默认口令,则检查是否强制设置口令。 2)检查被测设备是否支持设置口令生存周期 d)预期结果: 首次管理关键设备时,系统提示强制修改默认口令或者设置口令,或支持随机的初始口令,支 持设置口令生存周期。 判定原则: 测试结果应与预期结果相符,否则不符合要求,
6.7.4口令安全口令复杂度、口令显示
该检测项包括如下内容: a)安全要求: 使用口令鉴别方式时,支持口令复杂度检查功能,开启口令复杂度检查功能时,应支持检 查口令长度应不少于8位,且至少包含2种不同类型字符; 2)使用口令鉴别方式时,不应明文回显用户输人的口令信息。 b)预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供口令鉴别方式相关的说明文档,包括不限于口令复杂度、口令保护、设备管理方 式等内容。 C)检测方法: 1)开启口令复杂度检查功能时,配置或确认口令复杂度要求; 2)按照厂商提供的设备管理方式信息,创建不同管理方式的新账号,配置符合口令复杂度要 求的账号,并使用新创建的账号以不同的管理方式登录设备,检查在登录过程中是否明文 回显输入的口令信息以及是否能够成功登录; 3) 按照厂商提供的设备管理方式信息,创建不同管理方式的新账号,配置不符合口令复杂度 要求的账号,检查配置结果。 d 预期结果: 1)检测方法步骤1)中,支持口令复杂度要求长度不少于8位,且至少包含2种不同类型字 符,常见的字符类型包括数字、大小写字母、特殊字符等; 2)检测方法步骤2)中,创建新账号成功,以各种管理方式登录过程中没有明文回显输入的 口令信息,且登录成功:
3)检测方法步骤3)中,创建失败,无法创建口令不满足复杂度要求的账号 判定原则 测试结果应与预期结果相符,否则不符合要求
GB∕T 26750-2011 卫生洁具 便器用压力冲水装置6.7.5会话空闲时间过长防范功能
该检测项包括如下内容: a)安全要求: 应支持登录用户空闲超时锁定或自动退出等安全策略,以防范用户登录后会话空闲时间过长 导致的安全风险。 b)预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供会话空闲超时控制策略、相关的配置以及设备管理方式说明。 检测方法: 1)配置或确认会话空闲时长; 2) 按照厂商提供的设备管理方式信息,以不同的管理方式登录被测设备,检查登录后空闲时 间达到设定值或默认值时是否会锁定或者自动退出。 d)预期结果: 1)配置成功,或者已存在默认的会话空闲时长,并记录会话空闲时长值; 2)登录后空闲时间达到设定值或默认值时会锁定或者自动退出。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.7.6鉴别失败处理功解
该检测项包括如下内容: a 安全要求: 鉴别失败时,应返回最少且无差别信息。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供所有默认账号信息以及设备管理方式说明, c) 检测方法: 1)按照厂商提供的设备管理方式信息,以不同的管理方式,使用正确的账号(包括默认账号 或新建账号)及错误的口令登录,检查返回结果; 2) 按照厂商提供的设备管理方式信息,以不同的管理方式,使用错误的账号(包括默认账号 或新建账号)登录,检查返回结果。 d) 预期结果: 检测方法步骤1)和步骤2)返回的结果无差别,且没有其他鉴别失败原因提示。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
.7.7身份鉴别信息安全保护功能
该检测项包括如下内容!
安全要求: 应对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储的保密性,以及传输过程中
GB/T 412662022
密性和完整性。 b 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供所有身份鉴别信息安全存储、安全传输操作说明。 C 检测方法: 1)按照厂商提供的说明材料生成用户身份鉴别信息,查看是否以加密方式存储; 2)按照厂商提供的说明材料生成并传输用户身份鉴别信息,通过抓包或其他有效的方式查 看是否具备保密性和完整性保护能力。 d)预期结果: 1)用户身份鉴别信息能以加密方式存储; 2)具备保障用户身份鉴别信息保密性和完整性能力。 判定原则: 测试结果应与预期结果相符.否则不符合要求
.8.1用户权限管理功俞
该检测项包括如下内谷: a)安全要求: 1)应提供用户分级分权控制机制; 2)对涉及设备安全的重要功能如补丁管理、固件管理、日志审计、时间同步、端口镜像、流采 样等,应仅授权的高等级权限用户可使用。 b)预置条件: 1)按测试环境1搭建好测试环境: 2)厂商提供所有默认账号信息以及设备管理方式说明。 检测方法: 1)分别添加不同级别的两个用户userl、user2 2) 为user1配置低等级权限,仅具有修改自已的口令,状态查询等权限,不支持配置系统信 息,不支持涉及设备安全的重要功能如补丁管理、固件管理、日志审计、时间同步、端口镜 像、流采样等权限; 3) 为user2配置高等级权限,具有涉及设备安全的重要功能如补丁管理、固件管理、日志审 计、时间同步、端口镜像、流采样等权限; 4) 分别使用userl、user2登录设备,对设备进行修改自已的口令、状态查询、补丁管理、固件 管理、日志审计、时间同步、端口镜像、流采样等配置或操作。 d)预期结果: 1)检测方法步骤1)中成功添加两个用户; 2)检测方法步骤4)中,user1仅可修改自已的口令、进行状态查询等基本操作,不支持配置 系统信息,不支持涉及设备安全的重要功能如补丁管理、固件管理、日志审计、时间同步、 端口镜像、流采样等配置或操作;user2支持涉及设备安全的重要功能如补丁管理、固件 管理、日志审计、时间同步、端口镜像、流采样等配置或操作。 e)判定原则: 测试结果应与预期结果相符,否则不符合要求。
6.8.2访问控制列表功能
该检测项包括如下内容: a 安全要求: 应支持基于源IPv4/IPv6地址、目的IPv4/IPv6地址、源端口、目的端口、协议类型等的访问控 制列表功能,支持基于源MAC地址的访问控制列表功能。 b)预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供的设备登录管理方式登录设备; 3)厂商提供关于访问控制功能的相关配置说明, C) 检测方法: 1 配置被测设备,在管理接口上分别配置并启用用户自定义ACL,ACL可基于源IPv4 IPv6地址、源端口、协议类型、源MAC地址等进行过滤; 2) 配置被测设备,在业务接口上分别配置并启用用户自定义ACL,ACL可基于源IPv4/ IPv6地址、目的IPv4/IPv6地址、源端口、目的端口、协议类型、源MAC地址等进行过滤; 3 根据配置的ACL,利用数据网络测试仪,发送命中和未命中ACL的数据流,查看ACL是 否生效。 d)预期结果: 基于源IPv4/IPv6地址、目的IPv4/IPv6地址、源端口、目的端口、协议类型、源MAC地址的 访问控制列表功能生效,命中ACL的数据流会被设备过滤,未命中的不会被过滤, e 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.8.3会话过滤功解
GB/T 412662022
d)预期结果: 1)ACL规则为允许访问时,使用符合规则的IP地址和协议类型,用户能成功登录并管理 设备; 2)ACL规则为不允许访问时,使用符合规则的IP地址和协议类型,用户被拒绝登录设备。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求。
6.9.1日志记录和要素
测试结果应与预期结果相符,否则不符合要求
6.9.2日志信息本地存储安全
DBJ∕T 15-135-2018 广东省足球场地规划标准GB/T41266—2022
该检测项包括如下内容: a 安全要求: 应提供日志信息本地存储功能,当日志记录存储达到极限时,应采取覆盖告警、循环覆盖旧的 记录等措施。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供包括管理员等所有账号信息; 3)厂商提供日志记录的最大值或日志文件存储最大值说明。 c)检测方法: 1 使用管理员账号登录; 查看日志文件; 3) 反复进行相关操作,例如登录和登出,直到日志记录存储达到极限,例如日志记录条目数 达到最大值或日志文件存储达到最大值: 再进行一次设备相关操作,检查最新一次操作是否已经记录,最早的一次记录是否已经被 覆盖; 5)检查是否支持日志覆盖告警上报。 d)预期结果: 日志记录存储达到极限时,系统支持覆盖告警上报或采用循环覆盖旧的记录等措施。 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.9.3且志信息输出功能
该检测项包括如下内容: a) 安全要求: 应支持日志信息输出功能。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供包括管理员等所有账号信息; 3)厂商提供日志输出功能的说明,包括输出形式、方式、配置方法等 C 检测方法: 1 使用管理员账号登录被测设备; 2) 配置被测设备,将日志传输到远端服务器; 查看远端服务器是否有相关日志信息。 d) 预期结果: 1 检测方法步骤2)中,支持日志输出功能; 2) 检测方法步骤3)中,远端服务器存在相关日志信息。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
.9.4日志信息断电保护
该检测项包括如下内容!
GB/T 412662022
a) 安全要求: 应提供安全功能,保证设备异常断电恢复后,已记录的日志不丢失。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供包括管理员等所有账号信息。 c) 检测方法: 1) 使用管理员账号登录; 检查日志信息; 3) 设备断电然后重启; 4) 使用管理员账号重新登录; 5)检查断电重启之前的日志信息是否丢失。 d 预期结果: 断电重启以后日志信息没有丢失。 判定原则: 测试结果应与预期结果相符,否则不符合要求
NB/T 10303-2019 电动机用过热过流保护器6.9.5日志信息安全保护