GBT 41266-2022 网络关键设备安全检测方法 交换机设备.pdf
- 文档部分内容预览:
关闭提示信息或者用户自定义提示信息等方式实现。 b 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供设备管理方式说明材料。 C) 检测方法: 1)根据设备管理方式说明材料,配置设备的管理方式及相应的管理账号,尝试登录设备; 2)通过不同的管理方式登录设备,检查用户登录通过鉴别前的提示信息是否包含设备软件 版本、型号等敏感信息。 d) 预期结果: 用户登录通过鉴别前的提示信息未包含设备软件版本、型号等敏感信息。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.2欠余、备份恢复与异常检测
6.2.1设备整机穴余和自动切换功能
该检测项包括如下内容: a)安全要求: 交换机设备应提供整机主备自动切换功能,在设备运行状态异常时,切换到穴余设备以降低 全风险。 b)预置条件: 1)按测试环境5搭建好测试环境; 2)两台设备分别配置为主用设备与备用设备或负载分担模式。 检测方法: 测试仪表两对端口之间发送背景流量; 2 下线被测设备1; 3) 查看数据流量是否自动切换到被测设备2; 重新上线被测设备1; 被测设备1恢复正常运行后,查看数据流量状态是否正常。 预期结果: 1) 在检测方法步骤3)中,被测设备2能自动启用,流量能切换到被测设备2上; 2)在检测方法步骤5)中学校标准,被测设备1能正常运行,且数据流量状态正常。 判定原则: 1 测试结果应与预期结果相符,否则不符合要求; 主备模式和负载分担模式支持一种即可; 3 如被测设备不具备可插拨的主控板卡、业务板卡、交换网板等部件,设备应支持整机元 和自动切换; 4) 设备整机穴余和关键部件穴余支持其中一项即可判定为符合要求
6.2.2关键部件穴余和自动切换功能
该检测项包括如下内容: a)安全要求: 交换机设备应提供关键部件自动切换功能,在关键部件运行状态异常时,切换到余部件以
低安全风险。 预置条件: 1)按测试环境1搭建好测试环境; 2) 被测设备关键部件配置允余; 3)厂商提供支持余和自动切换的部件清单。 厂 检测方法: 1)数据网络测试仪发出背景流量; 2)按照厂商提供的清单,分别拔掉或关闭处于运行状态的关键部件(比如主控板卡、交换网 板、电源模块和风扇模块等),等待一段时间并观察被测设备的工作状态; 3)查看数据流量是否有丢包,并记录丢包数量。 预期结果: 1)被测设备可以自动启用备用关键部件(比如备用主控板卡、备用交换网板、备用电源模块 备用风扇等),工作正常。 厂 判定原则: 测试结果应与预期结果相符,否则不符合要求; 2) 如被测设备具备相应的部件,支持元余和自动切换的部件应至少包括主控板卡、交换网 板、电源模块和风扇模块; 3) 如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不 适用; 设备整机穴余和关键部件穴余支持其中一项即可判定为符合要求,
该检测项包括如下内容: a)安全要求: 部分关键部件,如主控板卡、交换网板、业务板卡、电源、风扇等应支持热插拔功能。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)被测设备关键部件正常运行。 c) 检测方法: 1)酉 配置被测设备正常工作,数据网络测试仪发出背景流量; 2 拔掉处于运行状态的关键部件,如主控板卡、交换网板(无背景流量)、业务板卡(无背景流 量)、电源、风扇,观察被测设备的工作状态; 3) 重新插上拔掉的关键部件,观察被测设备的工作状态 d)预期结果: 检测方法步骤2)和步骤3)中,流量不中断,设备支持热插拔,重新插人的关键部件在一段时间 后恢复正常运行。 e) 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2) 如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不 适用。
6.2.4备份与恢复功能
该检测项包括如下内容:
a)安全要求: 支持对预装软件、配置文件的备份与恢复功能,使用恢复功能时支持对预装软件、配置文件的 完整性检查。 b) 预置条件: 按测试环境1搭建好测试环境 ? 检测方法: 1)配置被测设备正常工作; 2) 分别备份预装软件、配置文件到被测设备之外的存储介质上; 清空或重置设备配置,保存并重启; 4) 从存储介质上恢复预装软件到被测设备并重启,查看设备是否能够以预装软件启动,并恢 复到正常工作状态; 5 从存储介质上恢复配置文件到被测设备,查看设备配置是否恢复到备份前工作状态; 修改存储介质上备份的预装软件和配置文件,并重复检测方法步骤3)~步骤5)。 d)预期结果: 检测方法步骤2)中,软件和配置文件备份成功; 2) 检测方法步骤4)中,恢复的软件工作正常; 3)检测方法步骤5)中,设备配置与备份前一致 4) 检测方法步骤6)中,设备能够检测到软件和配置已被修改,且不能成功恢复到备份前工 作状态。 e)判定原则: 测试结果应与预期结果相符,否则不符合要求。
6.2.5故障隔离与告警功能
该检测项包括如下内容 a)安全要求: 1)支持主控板卡、交换网板、业务板卡、电源、风扇等部分关键部件故障隔离功能; 2)应支持异常状态检测,产生相关错误提示信息,支持故障的告警、定位等功能。 b) 预置条件: 按测试环境1搭建好测试环境 检测方法: 1)数据网络测试仪发出背景流量; 2)分别拔掉或关闭处于运行状态的关键部件(比如主控板卡、交换网板、电源模块和风扇模 块等),等待一段时间并观察被测设备的工作状态以及是否有故障告警、定位的信息 d 预期结果: 1 被测试设备支持部分关键部件故障隔离功能,相互独立的模块或者部件之间任一模块或 部件出现故障,不影响其他模块或部件的正常工作; 2) 被测设备支持识别异常状态,产生相关错误提示信息,提供故障的告警、定位等功能。 e 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2)如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不 适用
6.2.6独立管理接口功能
该检测项包括如下内容:
a)安全要求: 应提供独立的管理接口,实现设备管理和数据转发的隔离。 b) 预置条件: 按测试环境1搭建好测试环境 检测方法: 1)检查被测设备是否有独立的管理接口,并确认管理接口是否能够正常使用; 2)从管理接口向业务接口发送测试数据; 3)从业务接口向管理接口发送测试数据。 d)预期结果: 1)检测方法步骤1)中,被测设备具备独立的管理接口且可以正常使用; 2)检测方法步骤2)与步骤3)中,管理和业务接口相互隔离,测试数据转发不成功 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.3漏洞与缺陷管理安全
a 安全要求: 不应存在已公布的漏洞,或具备补救措施防范漏洞安全风险。 b)子 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供具有管理员权限的账号,用于登录设备操作系统; 3)按照产品说明书进行初始配置,并启用相关的协议和服务; 4)扫描所使用的工具及其知识库需使用最新版本
预置条件: 1) 按测试环境1搭建好测试环境; 2)厂商提供具有管理员权限的账号,用于登录设备操作系统; 3)按照产品说明书进行初始配置,并启用相关的协议和服务; 4)扫描所使用的工具及其知识库需使用最新版本。 检测方法 典型的漏洞扫描方式包括系统漏洞扫描、WEB应用漏洞扫描等,扫描应覆盖具有网络通信功 能的各类接口。 1) 系统漏洞扫描: 利用系统漏洞扫描工具通过具有网络通信功能的各类接口分别对被测设备系统进行扫描 (包含登录扫描和非登录扫描两种方式,优先使用登录扫描方式),查看扫描结果; 2 WEB应用漏洞扫描(设备不支持WEB功能时不适用): 利用WEB应用漏洞扫描工具对支持WEB应用的网络接口进行扫描(包含登录扫描和非 登录扫描两种方式,优先使用登录扫描方式),查看扫描结果。 3)对于以上扫描发现的安全漏洞,检查是否具备补救措施。 预期结果: 分析扫描结果,没有发现安全漏洞;或者根据扫描结果中,发现了安全漏洞,针对发现的漏洞具 备相应的补救措施。 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2)常见的补救措施包括修复、规避等措施,如直接修复(打补丁等)、用第三方工具(如防火 墙)阻断、通过相关配置来规避风险(如关团租关功能或者协议等)
6.3.2恶意程序扫描
该检测项包括如下内容:
a) 安全要求: 预装软件、补丁包/升级包不应存在恶意程序。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供具有管理员权限的账号,用于登录设备操作系统; 3)厂商提供测试所需预装软件、补丁包/升级包; 4)按照产品说明书进行初始配置,并启用相关的协议和服务,准备开始扫描; 5)扫描所使用的工具需使用最新版本。 c)检测方法: 使用至少两种恶意程序扫描工具对被测设备预装软件、补丁包/升级包进行扫描,查看是否存 在恶意程序。 d)预期结果: 设备预装软件、补丁包/升级包不存在恶意程序。 e)判定原则: 测试结果应与预期结果相符,否则不符合要求。
6.3.3设备功能和访问接口声明
该检测项包括如下内容: a) 安全要求: 不应存在未声明的功能和访问接口(含远程调试接口)。 b 预置条件: 1)厂商提供设备所支持的功能和访问接口清单; 2)厂商提供管理员权限账号; 3)厂商说明不存在未声明的功能和访问接口。 C)检测方法: 1 使用管理员权限账号登录设备,检查设备所支持的功能是否与文档一致; 2)查看系统访问接口(含远程调试接口)是否与文档一致。 预期结果: 1)设备支持的功能和访问接口(含远程调试接口)与文档一致; 2)不存在未声明的功能和访问接口(含远程调试接口)。 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4预装软件启动及更新安全
6.4.1预装软件启动完整性校验功能
该检测项包括如下内容: a) 安全要求: 软件启动时可通过数字签名技术验证预装软件包的完整性。 b) 预置条件: 1)测试环境1搭建好测试环境; 2)厂商在设备中预先安装软件包和数字签名。 c)检测方法:
GB/T41266—2022
1)修改预装软件的数字签名,重启设备; 2)破坏预装软件的完整性,重启设备。 口 预期结果: 检测方法步骤1)和检测方法步骤2)中,设备无法使用修改后的预装软件正常启动。 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
该检测项包括如下内容: a)安全要求: 应支持设备预装软件更新功能,不应支持自动更新。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供被测设备预装软件; 3)厂商提供用于更新的软件包。 c 检测方法: 1) 检查预装软件是否可进行更新; 2) 检查预装软件是否可进行更新源(本地或远程)设置; 3) 检查预装的软件更新是否在人工操作下进行更新; 查阅设备功能说明材料,检查是否存在支持自动更新功能的说明。 预期结果: 1)预装软件可更新; 2) 可配置更新源(本地或远程); 3)设备仅可在人工操作下进行更新,设备功能说明材料中不存在支持自动更新的说明 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4.3更新授权功能
该检测项包括如下内容: a)安全要求: 对于更新操作,应仅限于授权用户可实施。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供被测设备分级的用户账号策略; 3)厂商提供用户手册。 ) 检测方法: 1) 检查用户手册中是否记录了对不同级别账号配置及权限的描述; 2) 尝试配置不同级别的账号,至少配置一个无更新权限的账号和一个具备更新权限的账号; 3) 尝试使用无更新权限的账号执行设备更新操作,查看结果; 4) 尝试使用具备更新权限的账号执行设备更新操作,查看结果。 d)预期结果: 1) 用户手册中记录了描述不同级别账号配置及权限说明; 2)不同权限的账号配置成功:
3)无更新权限账号不能执行设备更新操作: 4)具备更新权限的账号可以成功执行设备更新操作 判定原则: 测试结果应与预期结果相符,否则不符合要求,
6.4.4更新操作确认功解
该检测项包括如下内容: a)安全要求: 对于存在导致设备重启等影响设备运行安全的实施更新操作,应支持用户选择或确认是否进 行更新。 b)预置条件: 1)按测试环境1搭建好测试环境 2)厂商提供被测设备预装软件的待更新软件包,对该软件包的更新操作会导致设备重启等 影响设备运行安全的问题 )检测方法: 执行更新操作,检查更新过程中是否要求用户进行选择或确认。 d 预期结果: 执行更新操作时会要求用户进行选择或确认。 e) 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2 用户选择或确认的方式包括:选择更新或不更新;通过二次鉴别的方式进行确认;对授权 用户提示更新操作在特定时间段或特定操作之后才能生效,生效之前可撤销
6.4.5软件更新包完整性校验功能
该检测项包括如下内容: a)安全要求: 应支持软件更新包完整性校验。 b)预置条件: 1)按测试环境1搭建好测试环境 2)厂商提供预装软件的更新包、说明材料及数字签名; 3)厂商提供签名验证的工具或指令。 C 检测方法: 1 检查厂商发布更新软件包时是否同时发布更新软件包和数字签名; 2) 使用工具或指令验证厂商提供的更新包,检查是否通过签名验证; 修改商提供的预装软件更新包,使用工具或指令验证修改过的更新包,检查是否可以通 过签名验证。 d)预期结果: 1) 更新包与数字签名一同发布; 2) 使用厂商提供的签名验证工具或指令对更新包进行签名验证,若更新包与签名不匹配,则 验证不通过,输出错误信息,若匹配,则输出验证通过信息。 e)判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4.6更新失败恢复功能
该检测项包括如下内容: a 安全要求: 更新失败时设备应能够恢复到更新前的正常工作状态。 b 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供预装软件更新包及更新说明材料。 C 检测方法: 1)查看并记录被测设备当前版本; 2) 使用厂商提供的更新包对被测设备进行更新操作,在更新过程中模拟异常,使得更新过程 失败; 3)重启被测设备,查看被测设备运行状态及软件版本。 d 预期结果: 重启后,被测设备运行正常,软件版本为更新前的版本。 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4.7网络更新安全通道功能
该检测项包括如下内容: a 安全要求: 对于采用网络更新方式的,应支持非明文通道传输更新数据。 b 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供的被测设备支持网络更新方式。 c 检测方法: 1)配置被测设备,开启网络更新方式,并尝试从网络获得更新包; 2)在网络更新过程中,抓取数据包,查看是否为非明文数据。 d) 预期结果: 1)设备可从网络中获取到所需要的更新包; 2) 网络传输通道支持加密传输,数据包被加密,非明文传输。 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4.8更新过程告知功能
该检测项包括如下内容: a)安全要求: 应有明确的信息告知用户软件更新过程的开始、结束以及更新的内容。 b)子 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供的被测设备有预装软件更新的能力。 检测方法: 1)检查是否对此次更新的内容进行说明,可以通过文档或软件提示信息等方式进行说明;
2)检查更新过程中有无提示开始和结束的信息; 3)检查更新过程中有无步骤信息及更新进度信息显示; 4)检查更新完成后有无更新成功或失败信息,有无更新日志记录。 d) 预期结果: 1) 具备更新的内容说明; 具备更新开始提示信息和结束提示信息; 更新过程中显示更新步骤及更新进度信息; 4) 更新完成后,显示更新成功或失败信息,且日志中记录了更新的相关情况 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4.9更新源可用性
该检测项包括如下内容: a)安全要求: 应具备稳定可用的渠道提供软件更新源。 b)预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供设备预装软件更新包的更新源。 检测方法: 1)检查更新源是否可用,尝试从更新源获取更新包; 2)对被测设备进行更新,检查更新结果。 d 预期结果: 1)具备软件包更新源,可获得更新包; 2)更新正常。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.5.1默认开放服务和端口
GB/T41266—2022
6.5.2开启非默认开放服务和端口
该检测项包括如下内容: a)安全要求: 非默认开放的端口和服务,应在用户知晓且同意后才可启用。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)设备运行于默认状态,默认状态为设备出厂设置时的配置状态; 3)厂商提供设备非默认开放端口和服务对应关系的说明材料; 4) 厂商提供说明材料,说明开启非默认开放端口和服务的配置方式,以及如何让用户知晓和 同意开启非默认开放端口和服务 ) 检测方法: 按照厂商提供的说明材料,配置设备,开启非默认开放的端口和服务,确认是否经过用户知晓 且同意才可启用。 d)预期结果: 非默认开放的端口和服务,应在用户知晓且同意后才可启用。 e) 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2) 用户知晓且同意开启非默认端口和服务的方式通常可包括用户授权、二次确认等。
6.6抵御常见攻击能力
6.6.1大流量攻击防范能力
该检测项包括如下内容:
该检测项包括如下内容:
应具备抵御目的为交换机自身的大流量攻击的能力,例如目的为交换机管理接口的ICMI ICMPv6PingRequestFlood攻击、TCPv4/TCPv6SYNFlood攻击等
b)预置条件: 按测试环境1搭建好测试环境。 C 检测方法: 1)按测试环境连接设备,配置各接口的IPv4/IPv6地址; 2) 测试仪表从端口A到端口B发送背景流量; 3) 从测试仪表端口C向被测设备自身IP地址(例如:环回地址、管理接口地址)以端口线速 分别发送ICMPv4/ICMPv6PingRequestFlood攻击、TCPv4/TCPv6SYNFlood等攻击 流量,攻击流量和背景流量总和不超过设备转发能力。 d)预期结果: 攻击对背景流量无影响,且设备运行状态(CPU、内存、告警等)正常。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
5.6.2地址解析欺骗攻击防范能力
6.6.3广播风暴攻击防范能力
该检测项包括如下内容: a) 安全要求: 应支持基于MAC地址的转发功能,针对启用MAC地址转发的交换机端口,应支持开启生成 树协议等功能,防范广播风暴攻击;支持关闭生成树协议,或支持启用RootGuard、BPDU Guard等功能,防范针对生成树协议的攻击。 b)预置条件: 按测试环境2、测试环境3、测试环境4搭建好测试环境。 )检测方法:
GB/T41266—2022
1)按测试环境2连接设备,配置生成树协议,数据网络测试仪发送流量; 2 断开所使用的链路; 按测试环境3连接设备,配置生成树协议,数据网络测试仪发送流量; 4) 关闭所使用的被测设备1; 5) 按测试环境4连接设备,分别配置被测设备1~4的生成树优先级为1、2、3、0,配置被领 设备1的RootGuard功能,被测设备依次1、2、3加电,被测设备4加电; 6) 按照测试换机4连接设备,分别配置被测设备1~4的生成树优先级为1、2、3、0,关闭初 测设备3的BPDUGuard功能,交换机1、2、3、4加电; 7) 配置被测设备3的BPDUGuard功能,交换机1、2、3、4重新加电。 1 预期结果: 检测方法步骤1)中,只有一条链路可用; 2) 检测方法步骤2)中,另一条链路恢复使用; 3 检测方法步骤3)中,只有一条链路可用; 4 检测方法步骤4)中,被测设备2恢复使用; 5) 检测方法步骤5)之后,被测设备1仍是Root交换机; 6) 检测方法步骤6)之后,被测设备4是Root交换机; 7) 检测方法步骤7)之后,被测设备1是Root交换机。 判定原则: 测试结果应与预期结果相符,否则不符合要求
1)按测试环境2连接设备,配置生成树协议,数据网络测试仪发送流量; 2 断开所使用的链路; 按测试环境3连接设备,配置生成树协议,数据网络测试仪发送流量; 4) 关闭所使用的被测设备1; 5) 按测试环境4连接设备,分别配置被测设备1~4的生成树优先级为1、2、3、0,配置被测 设备1的RootGuard功能,被测设备依次1、2、3加电,被测设备4加电; 6) 按照测试换机4连接设备,分别配置被测设备1~4的生成树优先级为1、2、3、0,关闭被 测设备3的BPDUGuard功能,交换机1、2、3、4加电; 7) 配置被测设备3的BPDUGuard功能,交换机1、2、3、4重新加电。 1 预期结果: 检测方法步骤1)中,只有一条链路可用; 2) 检测方法步骤2)中,另一条链路恢复使用; 3) 检测方法步骤3)中,只有一条链路可用; 4 检测方法步骤4)中,被测设备2恢复使用; 5) 检测方法步骤5)之后,被测设备1仍是Root交换机; 检测方法步骤6)之后,被测设备4是Root交换机; 7) 检测方法步骤7)之后,被测设备1是Root交换机。 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.6.4用户凭证猜解攻击防范能力
6.6.5用户会话连接限制功能
该检测项包括如下内容: a)安全要求: 应支持限制用户会话连接的数量,以防范资源消耗类拒绝服务攻击。 b)预置条件: 按测试环境1搭建好测试环境
6.6.6WEB管理功能安全测试
6.6.7SNMP管理功能安全测试
该检测项包括如下内容: a)安全要求: 在支持SNMP管理功能时,应具备抵御常见攻击的能力,例如权限绕过、信息泄露等。 b 预置条件: 按测试环境1搭建好测试环境
C 检测方法: 1)配置被测设备的SNMP功能; 2) 对被测设备进行SNMP漏洞扫描; 3) 使用不具备权限的用户尝试读取未授权访问的节点信息(例如账户名、密码等),验证是否 可利用读取的信息进行非授权访问和攻击。 d 预期结果: 1)在检测方法步骤2)中,未发现已知漏洞或具备有效措施防范漏洞安全风险; 2)无法获取敏感信息或无法利用获取的信息实施非授权访问和攻击。 e)判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2 支持本节要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理 功能的说明。
6.6.8SSH管理功能安全测试
该检测项包括如下内容: a)安全要求: 在支持SSH管理功能时,应具备抵御常见攻击的能力,例如权限绕过、拒绝服务攻击等。 b) 预置条件: 按测试环境1搭建好测试环境。 检测方法: 1) 配置被测设备的SSH功能; 2) 对被测设备进行SSH漏洞扫描 3) 使用空用户名、空口令、超长口令以及带有特殊字符的用户名口令,尝试SSH登录,查看 登录结果; 4) 使用低权限用户尝试未授权的操作; 5) 发送背景流量,然后使用测试仪表向设备(例如环回地址、管理接口地址)发起超量的 SSH连接请求,观察设备状态与背景流量。 d)预期结果: 1) 在检测方法步骤2)中,未发现已知漏洞或具备有效措施防范漏洞安全风险; 2) 在检测方法步骤3)中,登录失败; 3) 在检测方法步骤4)中,操作失败; 4) 被测设备上未成功建立超量的SSH连接,攻击对背景流量无影响,设备运行状态(CPU、 内存、告警等)正常。 e 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2) 支持本节要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理 功能的说明
GB/T 412662022
6.6.10RestAPI管理功能安全测试
GB/T41266—2022
6.6.11NETCONF管理功能安全测试
该检测项包括如下内容: a)安全要求: 在支持NETCONF管理功能时,应具备抵御常见攻击的能力,例如权限绕过、拒绝服务攻 击等。 b) 预置条件: 按测试环境1搭建好测试环境。 检测方法: 1 配置被测设备的NETCONF功能; 2 对被测设备进行NETCONF漏洞扫描: 3 使用空用户名、空口令、超长口令以及带有特殊字符的用户名口令,尝试NETCONF登 录,查看登录结果; 4) 使用低权限用户尝试未授权的操作; 发送背景流量,然后使用测试仪表向设备环回地址和管理接口地址发起超量的 NETCONF连接请求(包括正常请求与畸形的请求),观察设备状态与背景流量。 d)预期结果: 1) 在检测方法步骤2)中,未发现已知漏洞或具备有效措施防范漏洞安全风险; 2) 在检测方法步骤3)中,登录失败; 3) 在检测方法步骤4)中,操作失败; 4 被测设备应对丢弃超量的连接请求,攻击对背景流量无影响,且设备运行状态(CPU、内 存、告警等)正常。 e)判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2) 支持本节要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理 功能的说明,
6.6.12FTP管理功能安全测试
该检测项包括如下内容: a)安全要求: 在支持FTP功能时,应具备抵御常见攻击的能力,例如目录遍历、权限绕过等。 b)预置条件:
GB/T 412662022
按测试环境1搭建好测试环境 检测方法: 配置被测设备的FTP功能; 对被测设备进行FTP漏洞扫描; 使用匿名方式登录FTP,查看登录情况: 4) 使用空用户名、空口令、超长口令以及带有特殊字符的用户名口令,尝试FTP登录,查看 登录结果; 5 查看FTP用户目录权限配置,尝试非授权访问目录; 尝试执行目录遍历攻击。 d)预期结果: 1) 检测方法步骤2)中,未发现已知漏洞或具备有效措施防范漏洞安全风险; 2) 检测方法步骤3)中,登录失败; 检测方法步骤4)中,登录失败,且设备无异常; 4) 检测方法步骤5)中,用户仅有该用户目录权限,无法访问其他用户的目录; 检测方法步骤6)中,目录遍历攻击失败 e) 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2)支持本节要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理 功能的说明
6.6.13SFTP管理功能安全测试
该检测项包括如下内容: a)安全要求: 在支持SFTP功能时,应具备抵御常见攻击的能力,例如目录遍历、权限绕过等。 b) 预置条件: 按测试环境1搭建好测试环境 C) 检测方法: 1) 配置被测设备的SFTP功能; 2) 对被测设备进行SFTP漏洞扫描: 3) 执行匿名方式登录SFTP,查看登录情况; 4) 输入空用户名、空口令、超长口令以及带有特殊字符的用户名口令,尝试SFTP登录,查看 登录情况; 5 对SFTP进行权限检测,查看用户目录权限配置; 检查设备是否支持用户口令的非明文保存 d)预期结果: 1) 检测方法步骤2)中,未发现已知漏洞或具备有效措施防范漏洞安全风险; 2) 检测方法步骤3)中,登录失败; 检测方法步骤4)中,登录失败,且设备无异常; 4) 检测方法步骤5)中,用户仅有该用户目录权限; 5) 检测方法步骤6)中,设备支持加密保存用户口令。 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2)支持本节要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理
6.7用户身份标识与鉴别
6.7.1身份鉴别信息声明
该检测项包括如下内容: a)安全要求: 应不存在未向用户公开的身份鉴别信息。 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供所有存在的身份鉴别信息,即默认用户名和口令; 3)厂商提供所有的管理方式(登录所采用的通信协议)信息; 4)厂商提供不存在未向用户公开的身份鉴别信息的声明。 c)检测方法: 1) 用管理员权限的账号登录; 检查系统默认账号与文档是否一致; 3 检查所有账号的权限是否和厂商提供的文档一致; 检查厂商提供的所有用户名和口令是否能成功登录。 d 预期结果: 系统默认账号与文档一致。账号的权限和厂商提供的文档一致。厂商提供的所有用户名和口 令能成功登录。厂商提供不存在未向用户公开的身份鉴别信息的声明。 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.7.2身份标识和鉴别功能
该检测项包括如下内容: a)安全要求: 应对用户进行身份标识和鉴别,用户身份标识应具有唯一性。 b 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供被测设备的管理账号和口令。 检测方法: 1)使用管理账号和正确口令以及错误口令分别登录设备,检查是否登录成功; 2 登录被测设备,创建新的账号和口令,并使用新账号和口令以及新账号和空口令尝试登录 设备,检查是否登录成功: 3 尝试创建与检测方法步骤3)中具有相同用户身份标识的账号,检查是否能够成功创建。 d)预期结果: 1)检测方法步骤1),正确的口令登录成功,错误的口令登录失败; 2)检测方法步骤2),使用新账号和口令登录成果,使用新账号和空口令登录失败; 3)检测方法步骤3),创建失败。 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.7.3口令安全—默认口令、口令生存周期
该检测项包括如下内容: a 安全要求: 使用口令鉴别方式时,应支持首次管理设备时强制修改默认口令或设置口令,或支持随机初始 口令,支持设置口令生存周期。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供口令鉴别方式相关的说明文档,包括不限于默认设备管理方式、默认口令、口令 生存周期等内容; 3)被测设备处于出厂默认配置状态, C 检测方法: 1)若被测设备存在默认口令,则使用默认账号登录被测设备,检查被测设备是否强制修改默 认口令,或使用随机的初始口令;若被测设备不存在默认口令,则检查是否强制设置口令。 2)检查被测设备是否支持设置口令生存周期 d)预期结果: 首次管理关键设备时,系统提示强制修改默认口令或者设置口令,或支持随机的初始口令,支 持设置口令生存周期。 判定原则: 测试结果应与预期结果相符,否则不符合要求,
6.7.4口令安全口令复杂度、口令显示
该检测项包括如下内容: a)安全要求: 使用口令鉴别方式时,支持口令复杂度检查功能,开启口令复杂度检查功能时,应支持检 查口令长度应不少于8位,且至少包含2种不同类型字符; 2)使用口令鉴别方式时,不应明文回显用户输人的口令信息。 b)预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供口令鉴别方式相关的说明文档,包括不限于口令复杂度、口令保护、设备管理方 式等内容。 C)检测方法: 1)开启口令复杂度检查功能时,配置或确认口令复杂度要求; 2)按照厂商提供的设备管理方式信息,创建不同管理方式的新账号,配置符合口令复杂度要 求的账号,并使用新创建的账号以不同的管理方式登录设备,检查在登录过程中是否明文 回显输入的口令信息以及是否能够成功登录; 3) 按照厂商提供的设备管理方式信息,创建不同管理方式的新账号,配置不符合口令复杂度 要求的账号,检查配置结果。 d 预期结果: 1)检测方法步骤1)中,支持口令复杂度要求长度不少于8位,且至少包含2种不同类型字 符,常见的字符类型包括数字、大小写字母、特殊字符等; 2)检测方法步骤2)中,创建新账号成功,以各种管理方式登录过程中没有明文回显输入的 口令信息,且登录成功:
3)检测方法步骤3)中,创建失败,无法创建口令不满足复杂度要求的账号 判定原则 测试结果应与预期结果相符,否则不符合要求
6.7.5会话空闲时间过长防范功能
该检测项包括如下内容: a)安全要求: 应支持登录用户空闲超时锁定或自动退出等安全策略,以防范用户登录后会话空闲时间过长 导致的安全风险。 b)预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供会话空闲超时控制策略、相关的配置以及设备管理方式说明。 检测方法: 1)配置或确认会话空闲时长; 2) 按照厂商提供的设备管理方式信息,以不同的管理方式登录被测设备,检查登录后空闲时 间达到设定值或默认值时是否会锁定或者自动退出。 d)预期结果: 1)配置成功,或者已存在默认的会话空闲时长,并记录会话空闲时长值; 2)登录后空闲时间达到设定值或默认值时会锁定或者自动退出。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.7.6鉴别失败处理功解
该检测项包括如下内容: a 安全要求: 鉴别失败时,应返回最少且无差别信息。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供所有默认账号信息以及设备管理方式说明, c) 检测方法: 1)按照厂商提供的设备管理方式信息,以不同的管理方式,使用正确的账号(包括默认账号 或新建账号)及错误的口令登录,检查返回结果; 2) 按照厂商提供的设备管理方式信息,以不同的管理方式,使用错误的账号(包括默认账号 或新建账号)登录,检查返回结果。 d) 预期结果: 检测方法步骤1)和步骤2)返回的结果无差别,且没有其他鉴别失败原因提示。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
.7.7身份鉴别信息安全保护功能
该检测项包括如下内容!
安全要求: 应对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储的保密性钢筋工程,以及传输过程中
GB/T 412662022
密性和完整性。 b 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供所有身份鉴别信息安全存储、安全传输操作说明。 C 检测方法: 1)按照厂商提供的说明材料生成用户身份鉴别信息,查看是否以加密方式存储; 2)按照厂商提供的说明材料生成并传输用户身份鉴别信息,通过抓包或其他有效的方式查 看是否具备保密性和完整性保护能力。 d)预期结果: 1)用户身份鉴别信息能以加密方式存储; 2)具备保障用户身份鉴别信息保密性和完整性能力。 判定原则: 测试结果应与预期结果相符.否则不符合要求
.8.1用户权限管理功俞
该检测项包括如下内谷: a)安全要求: 1)应提供用户分级分权控制机制; 2)对涉及设备安全的重要功能如补丁管理、固件管理、日志审计、时间同步、端口镜像、流采 样等,应仅授权的高等级权限用户可使用。 b)预置条件: 1)按测试环境1搭建好测试环境: 2)厂商提供所有默认账号信息以及设备管理方式说明。 检测方法: 1)分别添加不同级别的两个用户userl、user2 2) 为user1配置低等级权限钢结构标准规范范本,仅具有修改自已的口令,状态查询等权限,不支持配置系统信 息,不支持涉及设备安全的重要功能如补丁管理、固件管理、日志审计、时间同步、端口镜 像、流采样等权限; 3) 为user2配置高等级权限,具有涉及设备安全的重要功能如补丁管理、固件管理、日志审 计、时间同步、端口镜像、流采样等权限; 4) 分别使用userl、user2登录设备,对设备进行修改自已的口令、状态查询、补丁管理、固件 管理、日志审计、时间同步、端口镜像、流采样等配置或操作。 d)预期结果: 1)检测方法步骤1)中成功添加两个用户; 2)检测方法步骤4)中,user1仅可修改自已的口令、进行状态查询等基本操作,不支持配置 系统信息,不支持涉及设备安全的重要功能如补丁管理、固件管理、日志审计、时间同步、 端口镜像、流采样等配置或操作;user2支持涉及设备安全的重要功能如补丁管理、固件 管理、日志审计、时间同步、端口镜像、流采样等配置或操作。 e)判定原则: 测试结果应与预期结果相符,否则不符合要求。
6.8.2访问控制列表功能
该检测项包括如下内容: a 安全要求: 应支持基于源IPv4/IPv6地址、目的IPv4/IPv6地址、源端口、目的端口、协议类型等的访问控 制列表功能,支持基于源MAC地址的访问控制列表功能。 b)预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供的设备登录管理方式登录设备; 3)厂商提供关于访问控制功能的相关配置说明, C) 检测方法: 1 配置被测设备,在管理接口上分别配置并启用用户自定义ACL,ACL可基于源IPv4 IPv6地址、源端口、协议类型、源MAC地址等进行过滤; 2) 配置被测设备,在业务接口上分别配置并启用用户自定义ACL,ACL可基于源IPv4/ IPv6地址、目的IPv4/IPv6地址、源端口、目的端口、协议类型、源MAC地址等进行过滤; 3 根据配置的ACL,利用数据网络测试仪,发送命中和未命中ACL的数据流,查看ACL是 否生效。 d)预期结果: 基于源IPv4/IPv6地址、目的IPv4/IPv6地址、源端口、目的端口、协议类型、源MAC地址的 访问控制列表功能生效,命中ACL的数据流会被设备过滤,未命中的不会被过滤, e 判定原则: 测试结果应与预期结果相符,否则不符合要求
....- 检测试验 安全标准 检测标准 设备标准
- 相关专题: