GB/T 38798-2020 综合宽带接入网安全技术要求
- 文档部分内容预览:
不论在何种管理方式下,对设备的管理用户都需要鉴别和认证,鉴别和认证是系统访问的基础。与 管理员权限相关的安全数据应得到妥善的保护。 无论在设备还是网管系统中,口令不应使用明文保存
6.2.1 SNMP 访间
支持SNMP访问的设备应支持SNMPvl或SNMPv2c,宜支持SNMP?3。 当采用SNMPvl和SNMPv2c时,应可以和访问控制列表相结合控制非法网管接人设备,同时不 使用public/private作为缺省团体名,缺省只读团体名和读写团体名称不能够相同,并且具有提示管理 员修改团体名的功能。 O 支持SNMPv3时,支持USM等安全机制。 宜实现对网管站的访问控制.限定用户通过基些IP地址使用SNMP对设备进行访问
纺织标准6.2.2本地CONSOLE访间
支持Web方式访问的设备应支持以下安全要求: a)用户应提供用户名/口令才能进行后续的操作,用户地址和操作应记人日志; b)可限定用户通过哪些IP地址使用HTTP对设备进行访问; c)应支持关闭HTTP服务; d)应支持SSL/TLS安全协议或提供其他安全措施,实现对管理用户数据的完整性保护
GB/T 387982020
6.3网管系统安全要求
6.3.1安全策略管理
网管系统应能提供统一的安全策略控制,包括以下儿项 a 登录策略管理:提供设置非法登录系统的次数及锁定时间,设置管理用户账号有效期,设置登 录超时退出时间、账号登录时间段、限制同一账号最大连接数等功能; b) 提供管理用户的功能; 管理用户密码设置策略:限制管理用户设置的密码长度、密码组成,提供密码重置功能,设置用 户密码有效天数等; 支持管理用户登录的IP管理策略,将登录的管理用户与IP地址绑定
d)支持管理用户登录的IP管理策略,将登录的管理用户与IP地址绑定, 6.3.2角色管理 CO1 角色表示一类特定的权限的集合,包括管理用户可以登录的客户端IP地址范围,管理用户可以进 行的操作,管理用户可以管理的资源等。 通过安全管理可以动态地创建、删除和修改角色,形成新的权限集合,以便分配给管理用户,达到控 制管理用户权限的目的。 角色管理功能应包含以下几项: a)增加、删除、修改角色;、 b)给角色分配管理资源(可管理的对象范围)和操作权限; c)从操作权限来说,网管系统应可以提供三类缺省的角色: 系统管理员:可以执行网管系统提供的所有功能项,包括权限分配功能; 配置管理员:可以执行网管系统提供的对设备和系统自身有数据修改权限的功能(不包括 权限分配功能),如资源维护、设备配置、版本升级、系统维护等: 监控管理员:可以执行网管系统提供的对设备的监控和网管系统自身的查询和审计等功 能,如资源查询、告警监控、性能统计、日志查询等 网管系统应提供灵活的角色创建功能,如可以根据管理用户的需要再单独创建版本管理员、统计管 理员等角色。 从管理资源来说,这些操作权限都应可以指定管理的范围
对使用网管系统的管理用户账号进行管理维护,包括: a)增加账号; b)删除账号; c) 修改账号信息; d)查询账号信息
GB/T38798—2020
管理用户的账号信息包括: a) 用户账号; b) 用户密码 c) 密码有效期: d) 用户所属角色; 附加说明。 支持同一个管理员账号属于多个角色组
管理用户的账号信息包括: a) 用户账号; b) 用户密码 密码有效期: d) 用户所属角色; 附加说明。 支持同一个管理员账号属于多个角色组
6.3.4用户登录管理
网管系统应能提供完善的用户登录管理功能,包括: a 只有在服务器中已经注册的用户才能登录到网管系统,如果启动了访问控制列表功能,则客户 端应同时满足存在于网管系统ACL表中的用户才能登录到网管系统: b) 登录的用户只具有已经被授权的指定操作: 登录失败告警,使用同一管理账号连续多次登录失败时,网管系统应产生非法登录告警,并对 该管理账号进行锁定; d)手工注销登录的用户; e)手工或超时自动锁定客户端或退出
6.3.5在线用户管理
网管系统应能对在线用户进行监视,能够实时监视在线用户的登录情况,包括 a)登录用户; b)登录时间; c)操作终端信息 网管系统应能对在线用户进行管理 故的操作,并强制其退出
管理用户可以根据给定条件对日志进行查询,并可对查询到的日志进行排序 查询的条件为: a) 给定时间或时间段进行查询; b) 给定用户进行查询; c)给定的日志类型。 可以查询到的信息包括: a) 日志类型,包括操作日志、系统日志、安全日志; b) 操作时间; c) 操作人; 5AG d) 操作名称; e) 操作对象; f) 操作内容; g) 操作终端; h) 操作结果(例如,成功或失败)
海绵城市标准规范范本GB/T 38798—2020
失,业务质量不应受到影响 主控板倒换应支持人工倒换和自动倒换两种模式
应支持两路电源模块,在任何一路电源供电失效的情况下,设备应正常工作,业务质量不应受到 影响。
对设备风扇工作情况、内部温度等环境信息的收集
正常情况下,设备的绝缘电阻应不小于50MQ
白砂糖标准设备的接地电阻应小于5Q
设备应安装过压、过流保护器。过压、过流保护器在外接电源异常时保护设备的核心部分 设备应满足YD/T1082对模拟雷电冲击、电力线感应、电力线接触等指标的要求
....- 相关专题: 宽带