返回
网络设备安全需求规格书

网络设备安全需求规格书

ID:36510646

大小:55.74 KB

页数:4页

时间:2019-05-11

网络设备安全需求规格书_第1页
网络设备安全需求规格书_第2页
网络设备安全需求规格书_第3页
网络设备安全需求规格书_第4页
资源描述:

《网络设备安全需求规格书》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络设备安全需求规格书序号项目子项目需求规格1管理通道安全管理面与用户面隔离a)如果设备仅支持带外管理的系统,系统必须保证管理面与用户面隔离,确保在用户面使用端口扫描工具(如nmap)无法扫描到管理平面的地址及端口。b)对于支持带内管理模式且有独立管理面IP的设备,设备应提供有效的办法(如ACL、VLAN等机制)来保证带内管理面与用户面的隔离。2操作系统安全操作系统生命周期不得使用已经停止维护的操作系统版本。操作系统加固1、系统经业界主流漏洞扫描工具扫描(如Nessus),扫描报告中不得出现高风险级别的漏洞。2、系统提供安全配置/加固指南和安全维护手册等文档。物料对操作系统安全补丁的兼容性测试

2、需要制定周期性安全预警、安全补丁发布计划,安全补丁要提供兼容性测试报告。建议每季度发布一次补丁。3Web系统安全登录认证防暴力破解登录认证模块提供防暴力破解机制:验证码或者多次连续尝试登录失败后锁定帐号或IP会话管理对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权。登录口令保护向服务器端传递用户名和口令(含应用层用户名/口令)时,需采用安全协议(如HTTPS、HTTPdigest)或加密用户名/口令后再传输。认证管理对用户的最终认证处理过程必须放到服务端进行。输入校验系统外部输入需在服务端进行最终校验。输出编码对于

3、不可信的数据,输出到客户端前必须先进行HTML编码,防止脚本注入攻击。Web系统漏洞提供使用Web安全扫描工具(如AppScan、WebInspect、AcunetixWebVulnerabilityScanner)扫描的报告,扫描报告中不得出现高风险级别的漏洞。4产品开发、发布和安禁止绕过系统安全机制的功能1、禁止隐秘访问方式:包括隐藏账号、隐藏口令、隐藏模式命令/参数、隐藏组合键访问方式;隐藏的协议/端口/服务;隐藏的生产命令/端口、调测命令/端口;不记录日志的非查询操作等2、禁止不可管理的认证/访问方式:包括用户不可管理的帐号,人机接口以及可远程访问的机机接口的硬编码口令,不经认证直接访

4、问系统的接口等。装安全3、除上述隐秘、不可管理的认证/访问方式外,不得含有其它任何形式的后门、木马等恶意代码或未知功能。禁止存在未文档化的命令/参数、端口等1、不得存在客户资料中没有公开的协议端口/服务;2、不得存在未文档化的命令、参数等(包括但不限于产品的生产、调测、维护用途)软件完整性对于涉及软件包分发的物料应提供完整性校验机制(如:数字签名或者哈希值),并提供文档说明验证方法。注:CRC不能用于完整性校验。5协议与接口通信矩阵1、提供清单列举物料所有功能/特性所使用到的端口;2、如存在动态侦听端口,侦听范围必须限定在确定的必要的范围内;3、未在通信矩阵中描述的端口应关闭协议安全1、系统的

5、管理平面和近端维护终端(如LMT)、网管维护终端间,支持使用合适的安全协议(如SSHv2/TLS1.0/SSL3.0/IPSec/SFTP/SNMPv3等)进行通信。2、对于不安全协议(如FTP、Telnet),支持关闭,建议缺省关闭。产品资料中应建议用户使用安全协议,如需使用不安全协议,应提示风险。端口接入认证能对系统进行管理的逻辑端口/协议,应提供接入认证机制,标准定义无认证机制的除外。协议健壮性对与终端用户有交互或者与非信任网络互联的容易受攻击的协议,使用CodenomiconDefensics工具或认可的具有同等能力的工具进行畸形报文攻击测试,测试结果不得出现致命或严重级别的问题。这些

6、协议和版本包括但不限于(请去掉产品无关的协议、补充相关的协议):BGP,Diameter,DNS,DVRMP,EAP,FTP,GRE,GTP,H.225,H.248,H.323,HTTP,ICMP,IMAP,IPSec,IPv4,IPv6,IS-IS,ISAKMP/IKE,LDAP,MGCP,MPLS/LDP,NTP,OSPF,PIM,POP3,RADIUS,RIP,RSVP,RTP,RTSP,SIGCOMP,SIP,SNMP,SMTP,SSH,SSL/TLS,TACACS,TR-069,XML/SOAP,WAP.物理接口接入认证在设备面板上可见的能对系统进行管理的物理接口,应提供接入认证机制

7、。6敏感数据与加密加密算法清单提供使用的所有加密算法清单,说明加密算法的应用场景。私有密码算法禁止使用私有算法实现加解密,包括但不限于:1.自行定义的通过变形/字符移位/替换等方式执行的数据转换算法。2.使用非密码算法用于加密目的,如用编码的方式(如Base64编码)实现数据加密的目的的伪加密实现。不安全密码算法禁止使用当前已知的不安全的密码算法(如DES、RC2);不建议使用存在安全风险的密码算

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。