GBT 41268-2022 网络关键设备安全检测方法 路由器设备.pdf
- 文档部分内容预览:
1)被测设备可以自动启用备用关键部件(比如备用主控板卡、备用交换网板、备用电源模块、 备用风扇等),工作正常 e 判定原则: 1) 测试结果应与预期结果相符,否则不符合要求; 2) 如被测设备具备相应的部件,支持余和自动切换的部件应至少包括主控板卡、交换网 板、电源模块和风扇模块; 如被测设备不具备可插拨的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不 适用; 4)设备整机兀余和关键部件余支持其中一项即可判定为符合要求
该检测项包括如下内容: a安全要求: 部分关键部件,如主控板卡、交换网板、业务板卡、电源、风扇等应支持热插拔功能。 预置条件: 1)按测试环境1搭建好测试环境 2)被测设备关键部件正常运行。 C)检测方法: 1)配置被测设备正常工作,数据网络测试仪发出背景流量; 2) 拔掉处于运行状态的关键部件,如主控板卡、交换网板(无背景流量)、业务板卡(无背景流 量)、电源、风扇,观察被测设备的工作状态; 3)重新插上拔掉的关键部件,观察被测设备的工作状态 d)预期结果: 检测方法步骤2)和步骤3)中,流量不中断,设备支持热插拨,重新插入的关键部件在一段时间 后恢复正常运行。 e 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2)如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不 适用
6.2.4备份与恢复功能
该检测项包括如下内容: a) 安全要求: 支持对预装软件、配置文件的备份与恢复功能螺旋钢管标准,使用恢复功能时支持对预装软件、配置文件的 完整性检查。 b 预置条件: 按测试环境1搭建好测试环境 检测方法: 1)配置被测设备正常工作; 2)分别备份预装软件、配置文件到被测设备之外的存储介质上; 3)清空或重置设备配置,保存并重启:
GB/T412682022
4)从存储介质上恢复预装软件到被测设备并重启,查看设备是否能够以预装软件启动,并恢 复到正常工作状态; 5) 从存储介质上恢复配置文件到被测设备,查看设备配置是否恢复到备份前工作状态; 6) 修改存储介质上备份的预装软件和配置文件,并重复检测方法步骤3)~步骤5)。 d)预期结果: 1) 检测方法步骤2)中,软件和配置文件备份成功; 2) 检测方法步骤4)中,恢复的软件工作正常; 3) 检测方法步骤5)中,设备配置与备份前一致: 4) 检测方法步骤6)中,设备能够检测到软件和配置已被修改,且不能成功恢复到备份前工 作状态。 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.2.5故障隔离与告警功能
该检测项包括如下内容: a)安全要求: 1)支持主控板卡、交换网板、业务板卡、电源、风扇等部分关键部件故障隔离功能; 2)应支持异常状态检测,产生相关错误提示信息,支持故障的告警、定位等功能。 b) 预置条件: 按测试环境1搭建好测试环境 c) 检测方法: 1)数据网络测试仪发出背景流量; 2) 分别拨掉或关闭处于运行状态的关键部件(比如主控板卡、交换网板、电源模块和风扇模 块等),等待一段时间并观察被测设备的工作状态以及是否有故障告警、定位的信息。 d)预期结果: 1) 被测试设备支持部分关键部件故障隔离功能,相互独立的模块或者部件之间任一模块或 部件出现故障,不影响其他模块或部件的正常工作; 2)被测设备支持识别异常状态,产生相关错误提示信息,提供故障的告警、定位等功能。 e)判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2)如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不适用。
6.2.6独立管理接口功能
该检测项包括如下内容: a)安全要求: 应提供独立的管理接口,实现设备管理和数据转发的隔离。 b 预置条件: 按测试环境1搭建好测试环境 c) 检测方法: 1)检查被测设备是否有独立的管理接口,并确认管理接口是否能够正常使用; 2)从管理接口向业务接口发送测试数据:
3)从业务接口向管理接口发送测试数据。 d)预期结果: 1)检测方法步骤1)中,被测设备具备独立的管理接口且可以正常使用; 2)检测方法步骤2)与3)中,管理和业务接口相互隔离,测试数据转发不成功 e)判定原则: 测试结果应与预期结果相符,否则不符合要求
6.3漏洞与缺陷管理安全
亥检测项包括如下内容: 安全要求: 不应存在已公布的漏洞,或具备补救措施防范漏洞安全风险。 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供具有管理员权限的账号,用于登录设备操作系统; 3)按照产品说明书进行初始配置,并启用相关的协议和服务; 4)扫描所使用的工具及其知识库需使用最新版本。 检测方法: 典型的漏洞扫描方式包括系统漏洞扫描、WEB应用漏洞扫描等,扫描应覆盖具有网络通信功 能的各类接口。 1)系统漏洞扫描: 利用系统漏洞扫描工具通过具有网络通信功能的各类接口分别对被测设备系统进行扫描 (包含登录扫描和非登录扫描两种方式,优先使用登录扫描方式),查看扫描结果; 2) WEB应用漏洞扫描(设备不支持WEB功能时不适用): 利用WEB应用漏洞扫描工具对支持WEB应用的网络接口进行扫描(包含登录扫描和非 登录扫描两种方式,优先使用登录扫描方式),查看扫描结果; 3)对于以上扫描发现的安全漏洞,检查是否具备补救措施, 预期结果: 分析扫描结果,没有发现安全漏洞;或者根据扫描结果中,发现了安全漏洞,针对发现的漏洞具 备相应的补救措施。 判定原则: 1)测试结果应与预期结果相符,否则不符合要求: 2)常见的补救措施包括修复、规避等措施,如直接修复(打补丁等)、用第三方工具(如防火 墙)阻断、通过相关配置来规避风险(如关闭相关功能或者协议等)
6.3.2恶意程序扫描
该检测项包括如下内容: a)安全要求: 预装软件、补丁包/升级包不应存在恶意程序 b)预置条件: 1)按测试环境1搭建好测试环境:
GB/T412682022
2)厂商提供具有管理员权限的账号,用于登录设备操作系统; 3)厂商提供测试所需预装软件、补丁包/升级包; 4 按照产品说明书进行初始配置,并启用相关的协议和服务,准备开始扫描; 5)扫描所使用的工具需使用最新版本 检测方法: 使用至少两种恶意程序扫描工具对被测设备预装软件、补丁包/升级包进行扫描,查看是否存 在恶意程序。 预期结果: 设备预装软件、补丁包/升级包不存在恶意程序。 判定原则: 测试结果应与预期结果相符,否则不符合要求
2)厂商提供具有管理员权限的账号,用于登录设备操作系统; 3)厂商提供测试所需预装软件、补丁包/升级包; 4)按照产品说明书进行初始配置,并启用相关的协议和服务,准备开始扫描; 5)扫描所使用的工具需使用最新版本 检测方法: 使用至少两种恶意程序扫描工具对被测设备预装软件、补丁包/升级包进行扫描,查看是否存 在恶意程序。 预期结果: 设备预装软件、补丁包/升级包不存在恶意程序。 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.3.3设备功能和访问接口声明
该检测项包括如下内容: a)安全要求: 不应存在未声明的功能和访问接口(含远程调试接口)。 b) 预置条件: 1)厂商提供设备所支持的功能和访问接口清单; 2)厂商提供管理员权限账号; 3)厂商说明不存在未声明的功能和访问接口。 c 检测方法: 1) 使用管理员权限账号登录设备,检查设备所支持的功能是否与文档一致; 2)查看系统访问接口(含远程调试接口)是否与文档一致。 d)预期结果: 1)设备支持的功能和访问接口(含远程调试接口)与文档一致; 2)不存在未声明的功能和访问接口(含远程调试接口)。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4预装软件启动及更新安全
6.4.1预装软件启动完整性校验功能
该检测项包括如下内容: a)安全要求: 软件启动时可通过数字签名技术验证预装软件包的完整性。 b) 预置条件: 1)测试环境1搭建好测试环境; 2)厂商在设备中预先安装软件包和数字签名。 c)检测方法: 1)1 修改预装软件的数字签名,重启设备; 2) 破坏预装软件的完整性,重启设备。 d)预期结果:
GB/T 412682022
检测方法步骤1)和检测方法步骤 e)判定原则: 测试结果应与预期结果相符否则不符合要求
吸检设 安全要求: 应支持设备预装软件更新功能,不应支持自动更新 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供被测设备预装软件; 3)厂商提供用于更新的软件包, C 检测方法: 检查预装软件是否可进行更新; 2 检查预装软件是否可进行更新源(本地或远程)设置: 3 检查预装的软件更新是否在人工操作下进行更新; 查阅设备功能说明材料,检查是否存在支持自动更新功能的说明。 d)预期结果: 1) 预装软件可更新; 2) 可配置更新源(本地或远程); 3)设备仅可在人工操作下进行更新,设备功能说明材料中不存在支持自动更新的说明。 e)判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4.3更新授权功能
该检测项包括如下内容: a)安全要求: 对于更新操作,应仅限于授权用户可实施。 b)预置条件: 1)按测试环境1搭建好测试环境 2)厂商提供被测设备分级的用户账号策略; 3)厂商提供用户手册。 C) 检测方法: 1)检查用户手册中是否记录了对不同级别账号配置及权限的描述; 尝试配置不同级别的账号,至少配置一个无更新权限的账号和一个具备更新权限的账号 3 尝试使用无更新权限的账号执行设备更新操作,查看结果; 4) 尝试使用具备更新权限的账号执行设备更新操作,查看结果。 预期结果: 用户手册中记录了描述不同级别账号配置及权限说明; 2 不同权限的账号配置成功; 无更新权限账号不能执行设备更新操作:
4)具备更新权限的账号可以成功执行设备更新操作 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4.4更新操作确认功能
GB/T412682022
该检测项包括如下内容: a)安全要求: 对于存在导致设备重启等影响设备运行安全的实施更新操作,应支持用户选择或确认是否进 行更新。 b)预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供被测设备预装软件的待更新软件包,对该软件包的更新操作会导致设备重启等 影响设备运行安全的问题 检测方法: 执行更新操作,检查更新过程中是否要求用户进行选择或确认。 d 预期结果: 执行更新操作时会要求用户进行选择或确认。 判定原则: 1) 测试结果应与预期结果相符,否则不符合要求; 用户选择或确认的方式包括:选择更新或不更新;通过二次鉴别的方式进行确认;对授权 用户提示更新操作在特定时间段或特定操作之后才能生效,生效之前可撤销
6.4.5软件更新包完整性校验功能
该检测项包括如下内容: 安全要求: 应支持软件更新包完整性校验。 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供预装软件的更新包、说明材料及数字签名; 3)厂商提供签名验证的工具或指令。 检测方法: 1) 检查厂商发布更新软件包时是否同时发布更新软件包和数字签名; 2) 使用工具或指令验证厂商提供的更新包,检查是否通过签名验证; 3) 修改厂商提供的预装软件更新包,使用工具或指令验证修改过的更新包,检查是否可以通 过签名验证。 1 预期结果: 更新包与数字签名一同发布; 2) 使用厂商提供的签名验证工具或指令对更新包进行签名验证,若更新包与签名不匹配,则 验证不通过,输出错误信息,若匹配,则输出验证通过信息。 判定原则: 测试结果应与预期结果相符,否则不符合要求
GB/T 412682022
6.4.6更新失败恢复功解
该检测项包括如下内容: a)安全要求: 更新失败时设备应能够恢复到更新前的正常工作状态。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供预装软件更新包及更新说明材料。 C 检测方法: 1)查看并记录被测设备当前版本; 2) 使用厂商提供的更新包对被测设备进行更新操作,在更新过程中模拟异常,使得更新过程 失败; 3)重启被测设备,查看被测设备运行状态及软件版本。 d)预期结果: 重启后,被测设备运行正常,软件版本为更新前的版本。 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
该检测项包括如下内容: a)安全要求: 更新失败时设备应能够恢复到更新前的正常工作状态。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供预装软件更新包及更新说明材料。 C 检测方法: 1)查看并记录被测设备当前版本; 2) 使用厂商提供的更新包对被测设备进行更新操作,在更新过程中模拟异常,使得更新过程 失败; 3)重启被测设备,查看被测设备运行状态及软件版本。 d) 预期结果: 重启后,被测设备运行正常,软件版本为更新前的版本。 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4.7网络更新安全通道功能
该检测项包括如下内容: a)安全要求: 对于采用网络更新方式的,应支持非明文通道传输更新数据, b) 预置条件: 1)按测试环境1搭建好测试环境 2)厂商提供的被测设备支持网络更新方式 检测方法: 1)配置被测设备,开启网络更新方式,并尝试从网络获得更新包; 2)在网络更新过程中,抓取数据包,查看是否为非明文数据。 d 预期结果: 1)设备可从网络中获取到所需要的更新包; 2)网络传输通道支持加密传输,数据包被加密,非明文传输。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4.8更新过程告知功能
该检测项包括如下内容: a) 安全要求: 应有明确的信息告知用户软件更新过程的开始、结束以及更新的内容 b)预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供的被测设备有预装软件更新的能力
GB/T412682022
c)检测方法: 1) 检查是否对此次更新的内容进行说明,可以通过文档或软件提示信息等方式 2 检查更新过程中有无提示开始和结束的信息; 检查更新过程中有无步骤信息及更新进度信息显示; 4 检查更新完成后有无更新成功或失败信息,有无更新日志记录。 d 预期结果: 具备更新的内容说明; 2) 具备更新开始提示信息和结束提示信息; 3) 更新过程中显示更新步骤及更新进度信息; 更新完成后,显示更新成功或失败信息,且目志中记录了更新的相关情况。 e) 判定原则: 测试结果应与预期结果相符.否则不符合要求
6.4.9更新源可用性
该检测项包括如下内容: a) 安全要求: 应具备稳定可用的渠道提供软件更新源。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供设备预装软件更新包的更新源 检测方法: 1)检查更新源是否可用,尝试从更新源获取更新包; 2)对被测设备进行更新,检查更新结果。 d)预期结果: 1)具备软件包更新源,可获得更新包; 2)更新正常。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.5.1默认开放服务和端口
GB/T 412682022
6.5.2开启非默认开放端口和服务
该检测项包括如下内容: a)安全要求: 非默认开放的端口和服务,应在用户知晓且同意后才可启用 b 预置条件: 1)按测试环境1搭建好测试环境; 2)设备运行于默认状态,默认状态为设备出厂设置时的配置状态; 3)厂商提供设备非默认开放端口和服务对应关系的说明材料; 4)厂商提供说明材料,说明开启非默认开放端口和服务的配置方式,以及如何让用户知晓和 同意开启非默认开放端口和服务。 C)检测方法: 按照厂商提供的说明材料,配置设备,开启非默认开放的端口和服务,确认是否经过用户知晓 且同意才可启用。 d) 预期结果: 非默认开放的端口和服务,应在用户知晓且同意后才可启用, e 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2)用户知晓且同意开启非默认开放端口和服务的方式通常可包括用户授权、二次确认等,
6.6抵御常见攻击能力
6.6.1大流量攻击防范能
该检测项包括如下内容:
GB/T412682022
a)安全要求: 应具备抵御目的为路由器自身的大流量攻击的能力,例如目的为路由器管理接口的ICMPv4 ICMPv6PingRequestFlood攻击、TCPv4/TCPv6SYNFlood攻击等。 b) 预置条件: 按测试环境1搭建好测试环境。 c)检测方法: 1)按测试环境连接设备,配置各接口的IPv4/IPv6地址; 2)测试仪表从端口A到端口B发送背景流量; 3 从测试仪表端口C向被测设备自身IP地址(例如:环回地址、管理接口地址)以端口线速 分别发送ICMPv4/ICMPv6PingRequestFlood攻击、TCPv4/TCPv6SYNFlood等攻击 流量,攻击流量和背景流量总和不超过设备转发能力。 d)预期结果: 攻击对背景流量无影响,且设备运行状态(CPU、内存、告警等)正常。 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
安全要求: 应具备抵御目的为路由器自身的大流量攻击的能力,例如目的为路由器管理接口的ICMPv4/ ICMPv6PingRequestFlood攻击、TCPv4/TCPv6SYNFlood攻击等。 b 预置条件: 按测试环境1搭建好测试环境。 检测方法: 1)按测试环境连接设备,配置各接口的IPv4/IPv6地址; 2)测试仪表从端口A到端口B发送背景流量; 3 从测试仪表端口C向被测设备自身IP地址(例如:环回地址、管理接口地址)以端口线速 分别发送ICMPv4/ICMPv6PingRequestFlood攻击、TCPv4/TCPv6SYNFlood等攻击 流量,攻击流量和背景流量总和不超过设备转发能力。 )预期结果: 攻击对背景流量无影响,且设备运行状态(CPU、内存、告警等)正常。 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.6.2地址解析欺骗攻击防范能力
.6.3用户凭证猜解攻击防范能力
该检测项包括如下内容: 安全要求: 应支持连续的非法登录尝试次数限制或其他安全策略,以防范用户凭证猜解攻击
GB/T 412682022
6.6.4用户会话连接限制功能
6.6.5WEB管理功能安全测试
GB/T412682022
5)登录设备,抓取并保存登录报文,退出登录后重新发送保存的登录报文,查看登录情况; 6 登录设备,进行修改口令、下载配置文件等操作,抓取并保存操作报文,退出登录后重新发 送保存的操作报文,查看操作的可行性; 7) 非授权用户尝试执行修改其他用户密码、删除日志等操作,检查操作是否成功; 8) 在被测设备文件上传点上传恶意文件,查看是否上传成功 d) 预期结果: 1) 检测方法步骤2)~步骤4)中,未发现漏洞; 检测方法步骤5)和步骤6)中,登录失败; 3) 检测方法步骤7)中,操作失败; 4) 检测方法步骤8)中,恶意文件上传失败 判定原则: 1 测试结果应与预期结果相符,否则不符合要求; 2)支持本条要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理 功能的说明
5)登录设备,抓取并保存登录报文,退出登录后重新发送保存的登录报文,查看登录情况; 6 登录设备,进行修改口令、下载配置文件等操作,抓取并保存操作报文,退出登录后重新发 送保存的操作报文,查看操作的可行性; 7) 非授权用户尝试执行修改其他用户密码、删除日志等操作,检查操作是否成功; 8) 在被测设备文件上传点上传恶意文件,查看是否上传成功 d) 预期结果: 1) 检测方法步骤2)~步骤4)中,未发现漏洞; 检测方法步骤5)和步骤6)中,登录失败; 3) 检测方法步骤7)中,操作失败; 4 检测方法步骤8)中,恶意文件上传失败, 判定原则: 1 测试结果应与预期结果相符,否则不符合要求; 2)支持本条要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理 功能的说明
6.6.6SNMP管理功能安全测试
该检测项包括如下内容: a)安全要求: 在支持SNMP管理功能时,应具备抵御常见攻击的能力,例如权限绕过、信息泄露等。 预置条件: 按测试环境1搭建好测试环境 c) 检测方法: 1)配置被测设备的SNMP功能; 2) 对被测设备进行SNMP漏洞扫描; 3) 使用不具备权限的用户尝试读取未授权访问的节点信息(例如账户名、密码等),验证是否 可利用读取的信息进行非授权访问和攻击。 d 预期结果: 1)在检测方法步骤2)中,未发现已知漏洞或具备有效措施防范漏洞安全风险; 2)无法获取敏感信息或无法利用获取的信息实施非授权访问和攻击。 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2) 支持本条要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理 功能的说明。
6.6.7SSH管理功能安全测试
该检测项包括如下内容: a)安全要求: 在支持SSH管理功能时,应具备抵御常见攻击的能力,例如权限绕过、拒绝服务攻击等 b 预置条件: 按测试环境1搭建好测试环境。 )检测方法:
GB/T 412682022
1)配置被测设备的SSH功能; 2)对被测设备进行SSH漏洞扫描; 3) 使用空用户名、空口令、超长口令以及带有特殊字符的用户名口令,尝试SSH登录,查看 登录结果; 4) 使用低权限用户尝试未授权的操作; 5)发送背景流量,然后使用测试仪表向设备(例如环回地址、管理接口地址)发起超量的 SSH连接请求,观察设备状态与背景流量。 d)预期结果: 在检测方法步骤2)中,未发现已知漏洞或具备有效措施防范漏洞安全风险; 2 在检测方法步骤3)中,登录失败; 在检测方法步骤4)中,操作失败; 被测设备上未成功建立超量的SSH连接,攻击对背景流量无影响,设备运行状态(CPU 内存、告警等)正常。 e) 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2)支持本条要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理 功能的说明
6.6.9NETCONF管理功能安全测试
GB/T412682022
该检测项包括如下内容: a)安全要求: 在支持NETCONF管理功能时,应具备抵御常见攻击的能力,例如权限绕过、拒绝服务攻 击等。 b) 预置条件: 按测试环境1搭建好测试环境 检测方法: 1)配置被测设备的NETCONF功能; 2)对被测设备进行NETCONF漏洞扫描; 3) 使用空用户名、空口令、超长口令以及带有特殊字符的用户名口令,尝试NETCONF登 录,查看登录结果; 4 使用低权限用户尝试未授权的操作; 5) 发送背景流量,然后使用测试仪表向设备环回地址和管理接口地址发起超量的 NETCONF连接请求(包括正常请求与畸形的请求),观察设备状态与背景流量。 d)预期结果: 1)在检测方法步骤2)中,未发现已知漏洞或具备有效措施防范漏洞安全风险; 2) 在检测方法步骤3)中,登录失败; 3)在检测方法步骤4)中,操作失败; 4) 被测设备应对丢弃超量的连接请求,攻击对背景流量无影响,且设备运行状态(CPU、内 存、告警等)正常。 e)判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2 支持本条要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理 功能的说明
6.6.10FTP管理功能安全测试
该检测项包括如下内容: 安全要求: 在支持FTP功能时,应具备抵御常见攻击的能力,例如目录遍历、权限绕过等 b) 预置条件: 按测试环境1搭建好测试环境 C 检测方法: 1) 配置被测设备的FTP功能; 2) 对被测设备进行FTP漏洞扫描; 3) 使用匿名方式登录FTP,查看登录情况; 4) 使用空用户名、空口令、超长口令以及带有特殊字符的用户名口令,尝试FTP登录,查看 登录结果; 5) 查看FTP用户目录权限配置,尝试非授权访问目录:
GB/T 412682022
6)尝试执行目录遍历攻击。 预期结果: 1) 检测方法步骤2)中,未发现已知漏洞或具备有效措施防范漏洞安全风险; 2) 检测方法步骤3)中,登录失败; 检测方法步骤4)中,登录失败,且设备无异常; 4 检测方法步骤5)中,用户仅有该用户目录权限,无法访问其他用户的目录; 5) 检测方法步骤6)中,目录遍历攻击失败 e) 判定原则: 1 测试结果应与预期结果相符,否则不符合要求; 2 支持本条要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理 功能的说明
6.6.11SFTP管理功能安全测试
该检测项包括如下内容: a)安全要求: 在支持SFTP功能时,应具备抵御常见攻击的能力,例如目录遍历、权限绕过等。 b)预置条件: 按测试环境1搭建好测试环境 检测方法: 1) 配置被测设备的SFTP功能 对被测设备进行SFTP漏洞扫描: 3) 执行匿名方式登录SFTP,查看登录情况; 4) 输入空用户名、空口令、超长口令以及带有特殊字符的用户名口令,尝试SFTP登录,查看 登录情况; 对SFTP进行权限检测,查看用户目录权限配置; 6 检查设备是否支持用户口令的非明文保存。 d 预期结果: 检测方法步骤2)中,未发现已知漏洞或具备有效措施防范漏洞安全风险; 2) 检测方法步骤3)中,登录失败; 3) 检测方法步骤4)中,登录失败,且设备无异常; 4) 检测方法步骤5)中,用户仅有该用户目录权限; 检测方法步骤6)中,设备支持加密保存用户口令。 e) 判定原则: 1 测试结果应与预期结果相符,否则不符合要求; 2)支持本条要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理 功能的说明
6.6.12DHCP管理功能安全测试
该检测项包括如下内容: a)安全要求: 在支持DHCP功能时,应具备防范DHCP拒绝服务攻击等能力
b)预置条件: 按测试环境1搭建好测试环境。 检测方法: 1)配置被测设备的DHCP功能: 2)对被测设备进行DHCP漏洞扫描; 3) 发送背景流量,然后使用测试仪表向设备环回地址和管理接口地址发起超量的DHCP连 接请求(包括正常请求与畸形的请求),观察设备状态与背景流量。 d)预期结果: 1) 检测方法步骤2)中,未发现已知漏洞或具备有效措施防范漏洞安全风险; 2 检测方法步骤3)中,被测设备应对丢弃超量的连接请求,攻击对背景流量无影响,且设备 运行状态(CPU、内存、告警等)正常。 e)判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2) 支持本条要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理 功能的说明
6.7用户身份标识与鉴别
6.7.1身份鉴别信息声明
该检测项包括如下内容: a)安全要求: 应不存在未向用户公开的身份鉴别信息。 b 预置条件: 1) 按测试环境1搭建好测试环境; 厂商提供所有存在的身份鉴别信息,即默认用户名和口令; 3) 厂商提供所有的管理方式(登录所采用的通信协议)信息; 4)厂商提供不存在未向用户公开的身份鉴别信息的声明。 C 检测方法: 用管理员权限的账号登录; 2) 检查系统默认账号与文档是否一致; 检查所有账号的权限是否和厂商提供的文档一致; 4 检查厂商提供的所有用户名和口令是否能成功登录。 预期结果: 系统默认账号与文档一致。账号的权限和厂商提供的文档一致。厂商提供的所有用户名和口 令能成功登录。厂商提供不存在未向用户公开的身份鉴别信息的声明。 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
7.2身份标识和鉴别功能
该检测项包括如下内容: a)安全要求: 应对用户进行身份标识和鉴别,用户身份标识应具有唯一性。
b)预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供被测设备的管理账号和口令。 c)检测方法: 1)使用管理账号和正确口令以及错误口令分别登录设备,检查是否登录成功; 2)登录被测设备,创建新的账号和口令,并使用新账号和口令以及新账号和空口令尝试登录 设备,检查是否登录成功: 3)尝试创建与检测方法步骤3)中具有相同用户身份标识的账号,检查是否能够成功创建。 d) 预期结果: 1)检测方法步骤1),正确的口令登录成功,错误的口令登录失败; 2)检测方法步骤2),使用新账号和口令登录成果,使用新账号和空口令登录失败; 3)检测方法步骤3),创建失败。 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.7.3口令安全—默认口令、口令生存周期
该检测项包括如下内容: a)安全要求: 使用口令鉴别方式时,应支持首次管理设备时强制修改默认口令或设置口令,或支持随机初始 口令,支持设置口令生存周期。 b)预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供口令鉴别方式相关的说明文档,包括不限于默认设备管理方式、默认口令、口令 生存周期等内容; 3)被测设备处于出厂默认配置状态。 C)检测方法: 1)若被测设备存在默认口令,则使用默认账号登录被测设备,检查被测设备是否强制修改默 认口令,或使用随机的初始口令;若被测设备不存在默认口令,则检查是否强制设置口令; 2)检查被测设备是否支持设置口令生存周期。 d)预期结果: 首次管理关键设备时,系统提示强制修改默认口令或者设置口令,或支持随机的初始口令,支 持设置口令生存周期。 e)判定原则: 测试结果应与预期结果相符,否则不符合要求,
该检测项包括如下内容: a)安全要求: 1 使用口令鉴别方式时,支持口令复杂度检查功能,开启口令复杂度检查功能时,应支持检 查口令长度应不少于8位,且至少包含2种不同类型字符; 2)使用口令鉴别方式时,不应明文回显用户输人的口令信息
GB/T412682022
预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供口令鉴别方式相关的说明文档,包括不限于口令复杂度、口令保护、设备管理方 式等内容。 检测方法: 1)开启口令复杂度检查功能时,配置或确认口令复杂度要求; 2)按照厂商提供的设备管理方式信息,创建不同管理方式的新账号,配置符合口令复杂度要 求的账号,并使用新创建的账号以不同的管理方式登录设备,检查在登录过程中是否明文 回显输人的口令信息以及是否能够成功登录; 3)按照厂商提供的设备管理方式信息,创建不同管理方式的新账号,配置不符合口令复杂度 要求的账号,检查配置结果。 预期结果: 1)检测方法步骤1)中,支持口令复杂度要求长度不少于8位,且至少包含2种不同类型字 符,常见的字符类型包括数字、大小写字母、特殊字符等; 2)检测方法步骤2)中,创建新账号成功,以各种管理方式登录过程中没有明文回显输入的 口令信息,且登录成功; 3)检测方法步骤3)中,创建失败,无法创建口令不满足复杂度要求的账号。 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.7.5会话空闲时间过长防范功能
该检测项包括如下内容: a 安全要求: 应支持登录用户空闲超时锁定或自动退出等安全策略,以防范用户登录后会话空闲时间过长 导致的安全风险。 b 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供会话空闲超时控制策略、相关的配置以及设备管理方式说明。 ) 检测方法: 1)配置或确认会话空闲时长; 2) 按照厂商提供的设备管理方式信息,以不同的管理方式登录被测设备,检查登录后空闲时 间达到设定值或默认值时是否会锁定或者自动退出。 d)预期结果: 1)配置成功,或者已存在默认的会话空闲时长,并记录会话空闲时长值; 2)登录后空闲时间达到设定值或默认值时会锁定或者自动退出。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.7.6鉴别失败处理功能
鉴别失败时,应返回最少且无差别信息 b 预置条件: 1)按测试环境1搭建好测试环境: 2)厂商提供所有默认账号信息以及设备管理方式说明。 c)检测方法: 1)按照厂商提供的设备管理方式信息,以不同的管理方式,使用正确的账号(包括默认账号 或新建账号)及错误的口令登录,检查返回结果; 2)按照厂商提供的设备管理方式信息,以不同的管理方式,使用错误的账号(包括默认账号 或新建账号)登录,检查返回结果。 d)预期结果: 检测方法步骤1)和步骤2)返回的结果无差别,且没有其他鉴别失败原因提示。 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.7.7身份鉴别信息安全保护功能
该检测项包括如下内容: a)安全要求: 应对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储的保密性,以及传输过程中的保 密性和完整性。 b)预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供所有身份鉴别信息安全存储、安全传输操作说明。 C) 检测方法: 1)按照厂商提供的说明材料生成用户身份鉴别信息,查看是否以加密方式存储; 2)按照厂商提供的说明材料生成并传输用户身份鉴别信息,通过抓包或其他有效的方式查 看是否具备保密性和完整性保护能力。 d)预期结果: 1)用户身份鉴别信息能以加密方式存储; 2)具备保障用户身份鉴别信息保密性和完整性能力。 e)判定原则: 测试结果应与预期结果相符,否则不符合要求
6.8.1用户权限管理功能
该检测项包括如下内容: a)安全要求: 1)应提供用户分级分权控制机制; 2)对涉及设备安全的重要功能如补丁管理、固件管理、日志审计、时间同步、端口镜像、流采 样等,应仅授权的高等级权限用户可使用。 b)预置条件: 1)按测试环境1搭建好测试环境:
GB/T412682022
2)厂商提供所有默认账号信息以及设备管理方式说明。 检测方法: 1) 分别添加不同级别的两个用户user1、user2 2 为user1配置低等级权限,仅具有修改自已的口令,状态查询等权限,不支持配置系统信 息,不支持涉及设备安全的重要功能如补丁管理、固件管理、日志审计、时间同步、端口镜 像、流采样等权限; 3)为user2配置高等级权限,具有涉及设备安全的重要功能如补丁管理、固件管理、日志审 计、时间同步、端口镜像、流采样等权限; 4) 分别使用userl、user2登录设备,对设备进行修改自已的口令、状态查询、补丁管理、固件 管理、日志审计、时间同步、端口镜像、流采样等配置或操作。 预期结果: 1) 检测方法步骤1)中成功添加两个用户; 2) 检测方法步骤4)中,user1仅可修改自已的口令、进行状态查询等基本操作,不支持配置 系统信息,不支持涉及设备安全的重要功能如补丁管理、固件管理、日志审计、时间同步 端口镜像、流采样等配置或操作;user2支持涉及设备安全的重要功能如补丁管理、固件 管理、日志审计、时间同步、端口镜像、流采样等配置或操作。 e)判定原则: 伽试结黑应与面练果租否加奔合要
.8.2访问控制列表功能
该检测项包括如下内容: a 安全要求: 应支持基于源IPv4/IPv6地址、目的IPv4/IPv6地址、源端口、目的端口、协议类型等的访问控 制列表功能,支持基于源MAC地址的访问控制列表功能。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供的设备登录管理方式登录设备; 3)厂商提供关于访问控制功能的相关配置说明。 c) 检测方法: 1) 配置被测设备,在管理接口上分别配置并启用用户自定义ACL,ACL可基于源IPv4, IPv6地址、源端口、协议类型、源MAC地址等进行过滤; 2 配置被测设备,在业务接口上分别配置并启用用户自定义ACL,ACL可基于源IPv4/ IPv6地址、目的IPv4/IPv6地址、源端口、目的端口、协议类型、源MAC地址等进行过滤; 3) 根据配置的ACL,利用数据网络测试仪,发送命中和未命中ACL的数据流,查看ACL是 否生效。 d 预期结果: 基于源IPv4/IPv6地址、目的IPv4/IPv6地址、源端口、目的端口、协议类型、源MAC地址的 访问控制列表功能生效,命中ACL的数据流会被设备过滤,未命中的不会被过滤, e) 判定原则: 测试结果应与预期结果相符.否则不符合要求
排水标准规范范本GB/T 412682022
6.8.3会话过滤功能
6.9.1且志记录和要素
该检测项包括如下内容: a)安全要求: 1)应提供日志记录功能,对用户关键操作,如增/删账户、修改鉴别信息、修改关键配置、用户 登录/注销、用户权限修改、重启/关闭设备、软件更新等行为进行记录;对重要安全事件进 行记录,对影响设备运行安全的事件进行告警提示 2) 日志审计记录中应记录必要的日志要素,至少包括事件发生日期和时间、主体(如登录账 号等)、事件描述(如类型、操作结果等)、源IP地址(采用远程管理方式时)等,为查阅和分 析提供足够的信息; 不应在日志中明文或弱加密记录敏感数据,如用户口令、SNMP团体名、WEB会话ID以 及私钥等。 霸照务件
GB/T412682022
1)按测试环境1搭建好测试环境; 2)厂商提供包括管理员等所有账号信息; 3)厂商提供日志记录功能的相关说明,包括记录的事件类型、要素等。 检测方法: 1)使用管理员权限账号通过远程管理方式登录被测设备,进行增加、删除账户、修改鉴别信 息、修改用户权限等操作; 2) 使用系统默认或新增账号登录登出设备,查看目志,目志应记录相应操作; 3 使用管理员账号进行设备配置、重启,关闭,软件更新,修改IP地址等操作; 使用管理员权限账号登录,进行关于配置用户口令、SNMP团体名、WEB登录或配置私 钥等敏感数据操作; 5) 查看日志,应该记录以上操作行为; 6) 检查日志审计记录中是否包含必要的日志要素,至少包括事件发生日期和时间、主体(如 登录账号等)、事件描述(如类型、操作结果等)、源IP地址(采用远程管理方式时)等; 7) 查看目志的记录内容中是否包含明文或弱加密记录敏感数据等。 d) 预期结果: 1)针对设备的配置、系统安全相关操作等事件均被记录在日志中; 2) 日志记录格式符合文档要求,日志审计记录中包含必要的日志要素,例如事件发生日期和 时间、主体(如登录账号等)、事件描述(如类型、操作结果等)、源IP地址(采用远程管理方 式时)等; 3) 日志中不存在明文或弱加密(如MD5、BASE64、ASCII码转换等)记录敏感数据,如用户 口令、SNMP团体名、WEB会话ID以及私钥等。 e)判定原则: 测试结果应与预期结果相符,否则不符合要求
验货标准6.9.2日志信息本地存储安全
该检测项包括如下内容: a)安全要求: 应提供日志信息本地存储功能,当日志记录存储达到极限时,应采取覆盖告警、循环覆盖旧的 记录等措施。 b) 预置条件: 1)按测试环境1搭建好测试环境; 厂商提供包括管理员等所有账号信息; 3)厂商提供日志记录的最大值或日志文件存储最大值说明。 C 检测方法: 使用管理员账号登录; 2 查看日志文件; 3 反复进行相关操作,例如登录和登出,直到志记录存储达到极限,例如日志记录条目数 达到最大值或日志文件存储达到最大值 4) 再进行一次设备相关操作,检查最新一次操作是否已经记录,最早的一次记录是否已经被覆盖; 5) 检查是否支持日志覆盖告警上报。 d)预期结果:
GB/T 412682022
....- 检测试验 安全标准 检测标准 设备标准
- 相关专题: