網絡關鍵設備安全檢測方法交換機設備2022-03-09發布國家標準化管理委員會I前言 2規范性引用文件 13術語和定義 14縮略語 15測試環境 26安全檢測方法 46.1設備標識安全 46.2冗余、備份恢復與異常檢測 66.3漏洞與缺陷管理安全 96.4預裝軟件啟動及更新安全 6.5默認狀態安全 6.6抵御常見攻擊能力 6.7用戶身份標識與鑒別 6.8訪問控制安全 6.9日志審計安全 6.10通信安全 6.11數據安全 7安全保障要求評估方法 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。GB40050—2021《網絡關鍵設備安全通用要求》與GB/T41267—2022《網絡關鍵設備安全技術要求交換機設備》、GB/T41266—2022《網絡關鍵設備安全檢測方法交換機設備》共同構成支撐網絡關鍵設備的交換機設備安全標準體系。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。本文件由中華人民共和國工業和信息化部提出。本文件由全國通信標準化技術委員會(SAC/TC485)歸口。本文件起草單位：中國信息通信研究院、上海諾基亞貝爾股份有限公司、華為技術有限公司、中興通訊股份有限公司、新華三技術有限公司、北京通和實益電信科學技術研究所有限公司、啟明星辰信息技術集團股份有限公司、中國聯合網絡通信集團有限公司、北京奇虎科技有限公司、阿里云計算有限公司、烽火通信科技股份有限公司、中國通信標準化協會。1網絡關鍵設備安全檢測方法交換機設備本文件規定了列入網絡關鍵設備的交換機設備在標識安全、冗余、備份恢復與異常檢測、漏洞與缺陷管理、預裝軟件啟動及更新安全、默認狀態安全、抵御常見攻擊能力、用戶身份標識與鑒別安全、訪問控制安全、日志審計安全、通信安全、數據安全等方面的安全檢測方法，并規定了上述設備的安全保障要求評估方法。本文件適用于列入網絡關鍵設備目錄的交換機設備，也可為網絡運營者采購交換機設備時提供依據，還適用于指導交換機設備的研發、測試等工作。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術術語GB/T41268—2022網絡關鍵設備安全檢測方法路由器設備3GPPTS33.117通用安全保障要求(Catalogueofgeneralsecurityassurancerequirements)3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。利用內部交換機制來提供聯網設備之間連通性的設備。注：交換機中的交換機制通常在OSI參考模型的第2層或第3層實現。4縮略語下列縮略語適用于本文件。ACL:訪問控制列表(AccessControlList)API:應用程序接口(ApplicationProgrammingInterface)ARP:地址解析協議(AddressResolutionProtocol)BGP:邊界網關協議(BorderGatewayProtocol)BPDU:網橋協議數據單元(BridgeProtocolDataUnit)FTP:文件傳輸協議(FileTransferProtocol)HTTP:超文本傳輸協議(HyperTextTransferProtocol)HTTPS:安全套接字層超文本傳輸協議(HyperTextTransferProtocoloverSecureSocketLayer)2ICMP:互聯網控制報文協議(InternetControlMessageProtocol)IP:互聯網協議(InternetProtocol)MAC:媒體訪問控制(MediaAccessControl)ND:鄰居發現協議(NeighborDiscoveryProtocol)NETCONF:網絡配置協議(NetworkConfigurationProtocol)NTP:網絡時間協議(NetworkTimeProtocol)Oauth:開放授權(OpenAuthorization)OSPF:開放最短路徑優先協議(OpenShortestPathFirst)RestAPI:表現層狀態轉移應用程序接口(RepresentationalStateTransferApplicationProgrammingSNMP:簡單網絡管理協議(SimpleNetworkManagementProtocol)SSH:安全殼協議(SecureShell)TCP:傳輸控制協議(TransmissionControlProtocol)TFTP:簡單文件傳輸協議(TrivialFileTransferProtocol)TRILL:多鏈接透明互聯(TransparentInterconnectionofLotsofLinks)UDP:用戶數據報協議(UserDatagramProtocol)WEB:全球廣域網(WorldWideWeb)5測試環境測試環境如圖1～圖5所示。被測設備端口A被測設備端口B安全測試工具數據網絡安全測試工具測試儀管理終端圖1測試環境13圖2測試環境2圖3測試環境34被測設備1被測設備2被測設備3A-被測設備4圖4測試環境4數據網絡測試儀圖5測試環境5數據網絡測試儀一般連接到設備的業務接口，用于模擬發送數據包。安全測試工具一般連接到設備的業務接口或管理接口，用于進行漏洞掃描、端口掃描等安全測試。管理終端一般連接到設備的管理接口，用于對被測設備進行配置管理。6安全檢測方法6.1設備標識安全6.1.1硬件標識安全該檢測項包括如下內容：5a)安全要求：1)硬件整機應具備唯一性標識；卡等主要部件應具備唯一性標識；3)應標識每一個物理接口，并說明其功能，不得預留未向用戶聲明的物理接口。b)預置條件：廠商提供設備硬件接口配置說明材料。c)檢測方法：1)檢查硬件整機是否具備唯一性標識；2)檢查主控板卡、業務板卡、交換網板、風扇模塊、電源、存儲系統軟件的板卡或其他介質(硬盤、閃存卡等)等主要部件是否具備唯一性標識；3)檢查每一個物理接口及相關說明材料，檢查設備是否存在未標識的外部物理接口。d)預期結果：1)硬件整機具備唯一性標識；2)主控板卡、業務板卡、交換網板、風扇模塊、電源、存儲系統軟件的板卡或其他介質(硬盤、閃存卡等)等主要部件具備唯一性標識；3)每一個物理接口都有標識，并通過說明書或其他材料書面說明每一個物理接口的功能，設備不存在未標識的外部物理接口。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)如被測設備不具備可插拔的主控板卡、業務板卡、交換網板等部件，對這些部件的測試不適用。6.1.2軟件標識安全該檢測項包括如下內容：a)安全要求：應對預裝軟件、補丁包/升級包的不同版本進行唯一性標識。b)預置條件：廠商提供設備運行所需的預裝軟件/固件，以及可用的補丁包/升級包。c)檢測方法：1)檢查預裝軟件/固件是否具備唯一性標識；2)檢查補丁包/升級包是否具備唯一性標識。d)預期結果：1)預裝軟件/固件具備唯一性標識；2)補丁包/升級包具備唯一性標識。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)軟件唯一性標識可以是分配的唯一版本號、軟件摘要值等。6.1.3鑒別提示信息安全該檢測項包括如下內容：a)安全要求：用戶登錄通過鑒別前的提示信息應避免包含設備軟件版本、型號等敏感信息，例如可通過支持6關閉提示信息或者用戶自定義提示信息等方式實現。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供設備管理方式說明材料。c)檢測方法：1)根據設備管理方式說明材料，配置設備的管理方式及相應的管理賬號，嘗試登錄設備；2)通過不同的管理方式登錄設備，檢查用戶登錄通過鑒別前的提示信息是否包含設備軟件d)預期結果：用戶登錄通過鑒別前的提示信息未包含設備軟件版本、型號等敏感信息。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.2.1設備整機冗余和自動切換功能該檢測項包括如下內容：a)安全要求：交換機設備應提供整機主備自動切換功能，在設備運行狀態異常時，切換到冗余設備以降低安全風險。b)預置條件：1)按測試環境5搭建好測試環境；2)兩臺設備分別配置為主用設備與備用設備或負載分擔模式。c)檢測方法：1)測試儀表兩對端口之間發送背景流量；2)下線被測設備1;3)查看數據流量是否自動切換到被測設備2;4)重新上線被測設備1;5)被測設備1恢復正常運行后，查看數據流量狀態是否正常。d)預期結果：1)在檢測方法步驟3)中，被測設備2能自動啟用，流量能切換到被測設備2上；2)在檢測方法步驟5)中，被測設備1能正常運行，且數據流量狀態正常。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)主備模式和負載分擔模式支持一種即可；3)如被測設備不具備可插拔的主控板卡、業務板卡、交換網板等部件，設備應支持整機冗余和自動切換；4)設備整機冗余和關鍵部件冗余支持其中一項即可判定為符合要求。6.2.2關鍵部件冗余和自動切換功能該檢測項包括如下內容：a)安全要求：交換機設備應提供關鍵部件自動切換功能，在關鍵部件運行狀態異常時，切換到冗余部件以降7b)預置條件：1)按測試環境1搭建好測試環境；2)被測設備關鍵部件配置冗余；3)廠商提供支持冗余和自動切換的部件清單。c)檢測方法：1)數據網絡測試儀發出背景流量；2)按照廠商提供的清單，分別拔掉或關閉處于運行狀態的關鍵部件(比如主控板卡、交換網板、電源模塊和風扇模塊等),等待一段時間并觀察被測設備的工作狀態；3)查看數據流量是否有丟包，并記錄丟包數量。d)預期結果：1)被測設備可以自動啟用備用關鍵部件(比如備用主控板卡、備用交換網板、備用電源模塊、備用風扇等),工作正常。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)如被測設備具備相應的部件，支持冗余和自動切換的部件應至少包括主控板卡、交換網3)如被測設備不具備可插拔的主控板卡、業務板卡、交換網板等部件，對這些部件的測試不4)設備整機冗余和關鍵部件冗余支持其中一項即可判定為符合要求。該檢測項包括如下內容：a)安全要求：b)預置條件：1)按測試環境1搭建好測試環境；2)被測設備關鍵部件正常運行。c)檢測方法：1)配置被測設備正常工作，數據網絡測試儀發出背景流量；2)拔掉處于運行狀態的關鍵部件，如主控板卡、交換網板(無背景流量)、業務板卡(無背景流3)重新插上拔掉的關鍵部件，觀察被測設備的工作狀態。d)預期結果：檢測方法步驟2)和步驟3)中，流量不中斷，設備支持熱插拔，重新插入的關鍵部件在一段時間后恢復正常運行。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)如被測設備不具備可插拔的主控板卡、業務板卡、交換網板等部件，對這些部件的測試不該檢測項包括如下內容：8a)安全要求：支持對預裝軟件、配置文件的備份與恢復功能，使用恢復功能時支持對預裝軟件、配置文件的完整性檢查。b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)配置被測設備正常工作；2)分別備份預裝軟件、配置文件到被測設備之外的存儲介質上；3)清空或重置設備配置，保存并重啟；4)從存儲介質上恢復預裝軟件到被測設備并重啟，查看設備是否能夠以預裝軟件啟動，并恢復到正常工作狀態；5)從存儲介質上恢復配置文件到被測設備，查看設備配置是否恢復到備份前工作狀態；6)修改存儲介質上備份的預裝軟件和配置文件，并重復檢測方法步驟3)～步驟5)。d)預期結果：1)檢測方法步驟2)中，軟件和配置文件備份成功；2)檢測方法步驟4)中，恢復的軟件工作正常；3)檢測方法步驟5)中，設備配置與備份前一致；4)檢測方法步驟6)中，設備能夠檢測到軟件和配置已被修改，且不能成功恢復到備份前工作狀態。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.2.5故障隔離與告警功能該檢測項包括如下內容：a)安全要求：1)支持主控板卡、交換網板、業務板卡、電源、風扇等部分關鍵部件故障隔離功能；2)應支持異常狀態檢測，產生相關錯誤提示信息，支持故障的告警、定位等功能。b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)數據網絡測試儀發出背景流量；2)分別拔掉或關閉處于運行狀態的關鍵部件(比如主控板卡、交換網板、電源模塊和風扇模塊等),等待一段時間并觀察被測設備的工作狀態以及是否有故障告警、定位的信息。d)預期結果：1)被測試設備支持部分關鍵部件故障隔離功能，相互獨立的模塊或者部件之間任一模塊或部件出現故障，不影響其他模塊或部件的正常工作；2)被測設備支持識別異常狀態，產生相關錯誤提示信息，提供故障的告警、定位等功能。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)如被測設備不具備可插拔的主控板卡、業務板卡、交換網板等部件，對這些部件的測試不適用。6.2.6獨立管理接口功能該檢測項包括如下內容：9a)安全要求：應提供獨立的管理接口，實現設備管理和數據轉發的隔離。b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)檢查被測設備是否有獨立的管理接口，并確認管理接口是否能夠正常使用；2)從管理接口向業務接口發送測試數據；3)從業務接口向管理接口發送測試數據。d)預期結果：1)檢測方法步驟1)中，被測設備具備獨立的管理接口且可以正常使用；2)檢測方法步驟2)與步驟3)中，管理和業務接口相互隔離，測試數據轉發不成功。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.3漏洞與缺陷管理安全a)安全要求：不應存在已公布的漏洞，或具備補救措施防范漏洞安全風險。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供具有管理員權限的賬號，用于登錄設備操作系統；3)按照產品說明書進行初始配置，并啟用相關的協議和服務；4)掃描所使用的工具及其知識庫需使用最新版本。c)檢測方法典型的漏洞掃描方式包括系統漏洞掃描、WEB應用漏洞掃描等，掃描應覆蓋具有網絡通信功能的各類接口。1)系統漏洞掃描：利用系統漏洞掃描工具通過具有網絡通信功能的各類接口分別對被測設備系統進行掃描(包含登錄掃描和非登錄掃描兩種方式，優先使用登錄掃描方式),查看掃描結果；2)WEB應用漏洞掃描(設備不支持WEB功能時不適用):利用WEB應用漏洞掃描工具對支持WEB應用的網絡接口進行掃描(包含登錄掃描和非登錄掃描兩種方式，優先使用登錄掃描方式),查看掃描結果。3)對于以上掃描發現的安全漏洞，檢查是否具備補救措施。d)預期結果：分析掃描結果，沒有發現安全漏洞；或者根據掃描結果中，發現了安全漏洞，針對發現的漏洞具備相應的補救措施。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)常見的補救措施包括修復、規避等措施，如直接修復(打補丁等)、用第三方工具(如防火墻)阻斷、通過相關配置來規避風險(如關閉相關功能或者協議等)。該檢測項包括如下內容：a)安全要求：預裝軟件、補丁包/升級包不應存在惡意程序。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供具有管理員權限的賬號，用于登錄設備操作系統；3)廠商提供測試所需預裝軟件、補丁包/升級包；4)按照產品說明書進行初始配置，并啟用相關的協議和服務，準備開始掃描；5)掃描所使用的工具需使用最新版本。c)檢測方法：使用至少兩種惡意程序掃描工具對被測設備預裝軟件、補丁包/升級包進行掃描，查看是否存在惡意程序。d)預期結果：設備預裝軟件、補丁包/升級包不存在惡意程序。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.3.3設備功能和訪問接口聲明該檢測項包括如下內容：a)安全要求：不應存在未聲明的功能和訪問接口(含遠程調試接口)。b)預置條件：1)廠商提供設備所支持的功能和訪問接口清單；2)廠商提供管理員權限賬號；3)廠商說明不存在未聲明的功能和訪問接口。c)檢測方法：1)使用管理員權限賬號登錄設備，檢查設備所支持的功能是否與文檔一致；2)查看系統訪問接口(含遠程調試接口)是否與文檔一致。d)預期結果：1)設備支持的功能和訪問接口(含遠程調試接口)與文檔一致；2)不存在未聲明的功能和訪問接口(含遠程調試接口)。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.4預裝軟件啟動及更新安全6.4.1預裝軟件啟動完整性校驗功能該檢測項包括如下內容：a)安全要求：軟件啟動時可通過數字簽名技術驗證預裝軟件包的完整性。b)預置條件：1)測試環境1搭建好測試環境；2)廠商在設備中預先安裝軟件包和數字簽名。c)檢測方法：1)修改預裝軟件的數字簽名，重啟設備；2)破壞預裝軟件的完整性，重啟設備。d)預期結果：檢測方法步驟1)和檢測方法步驟2)中，設備無法使用修改后的預裝軟件正常啟動。e)判定原則：測試結果應與預期結果相符，否則不符合要求。該檢測項包括如下內容：a)安全要求：應支持設備預裝軟件更新功能，不應支持自動更新。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供被測設備預裝軟件；3)廠商提供用于更新的軟件包。c)檢測方法：1)檢查預裝軟件是否可進行更新；2)檢查預裝軟件是否可進行更新源(本地或遠程)設置；3)檢查預裝的軟件更新是否在人工操作下進行更新；4)查閱設備功能說明材料，檢查是否存在支持自動更新功能的說明。d)預期結果：1)預裝軟件可更新；2)可配置更新源(本地或遠程);3)設備僅可在人工操作下進行更新，設備功能說明材料中不存在支持自動更新的說明。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.4.3更新授權功能該檢測項包括如下內容：對于更新操作，應僅限于授權用戶可實施。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供被測設備分級的用戶賬號策略；3)廠商提供用戶手冊。c)檢測方法：1)檢查用戶手冊中是否記錄了對不同級別賬號配置及權限的描述；2)嘗試配置不同級別的賬號，至少配置一個無更新權限的賬號和一個具備更新權限的賬號；3)嘗試使用無更新權限的賬號執行設備更新操作，查看結果；4)嘗試使用具備更新權限的賬號執行設備更新操作，查看結果。d)預期結果：1)用戶手冊中記錄了描述不同級別賬號配置及權限說明；2)不同權限的賬號配置成功；3)無更新權限賬號不能執行設備更新操作；4)具備更新權限的賬號可以成功執行設備更新操作。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.4.4更新操作確認功能該檢測項包括如下內容：a)安全要求：對于存在導致設備重啟等影響設備運行安全的實施更新操作，應支持用戶選擇或確認是否進行更新。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供被測設備預裝軟件的待更新軟件包，對該軟件包的更新操作會導致設備重啟等影響設備運行安全的問題。c)檢測方法：執行更新操作，檢查更新過程中是否要求用戶進行選擇或確認。d)預期結果：執行更新操作時會要求用戶進行選擇或確認。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)用戶選擇或確認的方式包括：選擇更新或不更新；通過二次鑒別的方式進行確認；對授權用戶提示更新操作在特定時間段或特定操作之后才能生效，生效之前可撤銷。6.4.5軟件更新包完整性校驗功能該檢測項包括如下內容：a)安全要求：應支持軟件更新包完整性校驗。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供預裝軟件的更新包、說明材料及數字簽名；3)廠商提供簽名驗證的工具或指令。c)檢測方法：1)檢查廠商發布更新軟件包時是否同時發布更新軟件包和數字簽名；2)使用工具或指令驗證廠商提供的更新包，檢查是否通過簽名驗證；3)修改廠商提供的預裝軟件更新包，使用工具或指令驗證修改過的更新包，檢查是否可以通過簽名驗證。d)預期結果：1)更新包與數字簽名一同發布；2)使用廠商提供的簽名驗證工具或指令對更新包進行簽名驗證，若更新包與簽名不匹配，則驗證不通過，輸出錯誤信息，若匹配，則輸出驗證通過信息。e)判定原則：測試結果應與預期結果相符，否則不符合要求。該檢測項包括如下內容：a)安全要求：更新失敗時設備應能夠恢復到更新前的正常工作狀態。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供預裝軟件更新包及更新說明材料。1)查看并記錄被測設備當前版本；2)使用廠商提供的更新包對被測設備進行更新操作，在更新過程中模擬異常，使得更新過程3)重啟被測設備，查看被測設備運行狀態及軟件版本。d)預期結果：e)判定原則：測試結果應與預期結果相符，否則不符合要求。該檢測項包括如下內容：a)安全要求：對于采用網絡更新方式的，應支持非明文通道傳輸更新數據。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供的被測設備支持網絡更新方式。d)預期結果：1)設備可從網絡中獲取到所需要的更新包；e)判定原則：測試結果應與預期結果相符，否則不符合要求。該檢測項包括如下內容：a)安全要求：應有明確的信息告知用戶軟件更新過程的開始、結束以及更新的內容。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供的被測設備有預裝軟件更新的能力。c)檢測方法：1)檢查是否對此次更新的內容進行說明，可以通過文檔或軟件提示信息等方式進行說明；2)檢查更新過程中有無提示開始和結束的信息；3)檢查更新過程中有無步驟信息及更新進度信息顯示；4)檢查更新完成后有無更新成功或失敗信息，有無更新日志記錄。d)預期結果：1)具備更新的內容說明；2)具備更新開始提示信息和結束提示信息；3)更新過程中顯示更新步驟及更新進度信息；4)更新完成后，顯示更新成功或失敗信息，且日志中記錄了更新的相關情況。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.4.9更新源可用性該檢測項包括如下內容：a)安全要求：應具備穩定可用的渠道提供軟件更新源。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供設備預裝軟件更新包的更新源。c)檢測方法：1)檢查更新源是否可用，嘗試從更新源獲取更新包；2)對被測設備進行更新，檢查更新結果。d)預期結果：1)具備軟件包更新源，可獲得更新包；2)更新正常。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.5默認狀態安全6.5.1默認開放服務和端口該檢測項包括如下內容：a)安全要求：1)默認狀態下應僅開啟必要的服務和對應的端口，應明示所有默認開啟的服務、對應的端口及用途，應支持用戶關閉默認開啟的服務和對應的端口；2)使用Telnet、SNMPv1/SNMPv2c、HTTP等明文傳輸協議的網絡管理功能應默認關閉；3)對于存在較多版本的遠程管理協議，應默認關閉安全性較低的版本，例如設備支持SSHb)預置條件：1)按測試環境1搭建好測試環境；2)設備運行于默認狀態，默認狀態為設備出廠設置時的配置狀態；3)廠商提供所有默認開啟的服務、對應的端口及用途、管理員權限賬號的說明材料。c)檢測方法：1)使用掃描工具對設備進行全端口掃描，查看默認狀態開啟的服務和對應的端口，是否與廠商提供的說明材料內容一致、是否僅開啟必要的服務和對應的端口；2)配置設備，關閉默認開啟的端口和服務，使用掃描工具對設備再次進行掃描，查看掃描結果，檢查默認開啟的端口和服務是否被關閉；3)檢查設備的配置，查看Telnet、SNMPvl/SNMPv2c、HTTP等明文傳輸協議的網絡管理服務是否默認關閉；4)檢查設備支持的遠程管理協議，對于存在較多版本的遠程管理協議，是否默認關閉安全性較低的版本，例如設備支持SSH協議時，是否默認關閉SSHv1。d)預期結果：1)檢測方法步驟1)中，默認狀態下，設備僅開啟必要的服務和對應的端口，默認開啟的服務和端口與廠商提供的說明材料內容一致；2)檢測方法步驟2)中，用戶可以自行關閉默認開啟的服務和對應的端口；3)檢測方法步驟3)中，使用Telnet、SNMPv1/SNMPv2c、HTTP等明文傳輸協議的網絡管理功能默認關閉；4)檢測方法步驟4)中，存在較多版本的遠程管理協議，默認關閉安全性較低的版本。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.5.2開啟非默認開放服務和端口該檢測項包括如下內容：a)安全要求：非默認開放的端口和服務，應在用戶知曉且同意后才可啟用。b)預置條件：1)按測試環境1搭建好測試環境；2)設備運行于默認狀態，默認狀態為設備出廠設置時的配置狀態；3)廠商提供設備非默認開放端口和服務對應關系的說明材料；4)廠商提供說明材料，說明開啟非默認開放端口和服務的配置方式，以及如何讓用戶知曉和同意開啟非默認開放端口和服務。c)檢測方法：按照廠商提供的說明材料，配置設備，開啟非默認開放的端口和服務，確認是否經過用戶知曉且同意才可啟用。d)預期結果：非默認開放的端口和服務，應在用戶知曉且同意后才可啟用。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)用戶知曉且同意開啟非默認端口和服務的方式通常可包括用戶授權、二次確認等。6.6抵御常見攻擊能力6.6.1大流量攻擊防范能力該檢測項包括如下內容：a)安全要求：應具備抵御目的為交換機自身的大流量攻擊的能力，例如目的為交換機管理接口的ICMPv4/ICMPv6PingRequestFlood攻擊、TCPv4b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)按測試環境連接設備，配置各接口的IPv4/IPv6地址；2)測試儀表從端口A到端口B發送背景流量；3)從測試儀表端口C向被測設備自身IP地址(例如：環回地址、管理接口地址)以端口線速分別發送ICMPv4/ICMPv6PingRequestFlood攻擊、TCPv4/TCPv6SYNFlood等攻擊流量，攻擊流量和背景流量總和不超過設備轉發能力。d)預期結果：攻擊對背景流量無影響，且設備運行狀態(CPU、內存、告警等)正常。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.6.2地址解析欺騙攻擊防范能力該檢測項包括如下內容：a)安全要求：應支持防范ARP/ND欺騙攻擊功能，如通過MAC地址綁定等功能實現。b)預置條件：1)按測試環境1搭建好測試環境；2)配置被測設備的防范ARP/ND欺騙攻擊功能。c)檢測方法：1)按測試環境連接設備，配置各個接口的IPv4/IPv6地址；2)測試儀表接口A和接口B發送各自的ARP/鄰居公告消息；3)從測試儀接口B向測試儀接口A(IP_A/IPv6_A)發送數據流；4)測試儀接口C發送ARP/鄰居公告欺騙報文，即ARP-reply/NA包中聲稱IP_A/IPv6_A對應的MAC地址為MAC_C;5)從測試儀接口B向主機A(IP_A/IPv6_A)發送IP數據。d)預期結果：1)檢測方法步驟3)中，測試儀表端口A收到端口B發送的IP數據流；2)檢測方法步驟5)中，測試儀表端口A收到端口B發送的IP數據流，端口C收不到該數據流。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.6.3廣播風暴攻擊防范能力該檢測項包括如下內容：a)安全要求：應支持基于MAC地址的轉發功能，針對啟用MAC地址轉發的交換機端口，應支持開啟生成樹協議等功能，防范廣播風暴攻擊；支持關閉生成樹協議，或支持啟用RootGuard、BPDUGuard等功能，防范針對生成樹協議的攻擊。b)預置條件：按測試環境2、測試環境3、測試環境4搭建好測試環境。c)檢測方法：1)按測試環境2連接設備，配置生成樹協議，數據網絡測試儀發送流量；2)斷開所使用的鏈路；3)按測試環境3連接設備，配置生成樹協議，數據網絡測試儀發送流量；4)關閉所使用的被測設備1;5)按測試環境4連接設備，分別配置被測設備1～4的生成樹優先級為1、2、3、0,配置被測設備1的RootGuard功能，被測設備依次1、2、3加電，被測設備4加電；6)按照測試換機4連接設備，分別配置被測設備1～4的生成樹優先級為1、2、3、0,關閉被測設備3的BPDUGuard功能，交換機1、2、3、4加電；7)配置被測設備3的BPDUGuard功能，交換機1、2、3、4重新加電。d)預期結果：1)檢測方法步驟1)中，只有一條鏈路可用；2)檢測方法步驟2)中，另一條鏈路恢復使用；3)檢測方法步驟3)中，只有一條鏈路可用；4)檢測方法步驟4)中，被測設備2恢復使用；5)檢測方法步驟5)之后，被測設備1仍是Root交換機；6)檢測方法步驟6)之后，被測設備4是Root交換機；7)檢測方法步驟7)之后，被測設備1是Root交換機。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.6.4用戶憑證猜解攻擊防范能力該檢測項包括如下內容：a)安全要求：應支持連續的非法登錄嘗試次數限制或其他安全策略，以防范用戶憑證猜解攻擊。b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)配置被測設備最多非法登錄嘗試次數為N;2)針對不同管理方式(包括且不限于Telnet、SSH、SNMP等)分別使用不同的賬戶登錄被測設備，連續M(M>N)次輸入錯誤的鑒別信息，檢查設備的狀態。d)預期結果：1)檢測方法步驟1)中，配置成功，被測設備支持配置非法登錄嘗試次數；2)檢測方法步驟2)中，經過N次的鑒別失敗以后，被測設備應通過鎖定賬號、中斷連接、鎖定登錄界面或其他限制措施來防止用戶憑證猜解攻擊。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.6.5用戶會話連接限制功能該檢測項包括如下內容：a)安全要求：應支持限制用戶會話連接的數量，以防范資源消耗類拒絕服務攻擊。b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)配置被測設備用戶會話連接數量最大連接數為N;2)針對不同的管理方式(包括且不限于Telnet、SSH等)分別嘗試建立M(M>N)個會話連接，檢查被測設備會話連接建立情況。d)預期結果：1)檢測方法步驟1)中，配置成功，被測設備支持限制用戶會話連接的數量；2)檢測方法步驟2)中，建立N個會話連接以后，無法再建立新的會話連接。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.6.6WEB管理功能安全測試該檢測項包括如下內容：a)安全要求：在支持WEB管理功能時，應具備抵御常見WEB攻擊的能力，例如注入攻擊、重放攻擊、權限繞過攻擊、非法文件上傳等。b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)配置被測設備的WEB管理功能；2)在被測設備輸入框和參數鏈接處等潛在注入漏洞點嘗試進行測試，檢查是否存在漏洞；3)在被測設備輸入框和參數鏈接處等潛在跨站漏洞點嘗試進行測試，檢查是否存在漏洞；4)在被測設備參數交互點嘗試進行命令執行漏洞攻擊，檢查是否存在漏洞；5)登錄設備，抓取并保存登錄報文，退出登錄后重新發送保存的登錄報文，查看登錄情況；6)登錄設備，進行修改口令、下載配置文件等操作，抓取并保存操作報文，退出登錄后重新發送保存的操作報文，查看操作的可行性；7)非授權用戶嘗試執行修改其他用戶密碼、刪除日志等操作，檢查操作是否成功；8)在被測設備文件上傳點上傳惡意文件，查看是否上傳成功。d)預期結果：1)檢測方法步驟2)～步驟4)中，未發現漏洞；2)檢測方法步驟5)和步驟6)中，登錄失敗；3)檢測方法步驟7)中，操作失敗；4)檢測方法步驟8)中，惡意文件上傳失敗。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)支持本節要求的管理功能時需測試，不支持時無需測試，廠商應提供設備不支持本項管理功能的說明。該檢測項包括如下內容：a)安全要求：在支持SNMP管理功能時，應具備抵御常見攻擊的能力，例如權限繞過、信息泄露等。b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)配置被測設備的SNMP功能；2)對被測設備進行SNMP漏洞掃描；3)使用不具備權限的用戶嘗試讀取未授權訪問的節點信息(例如賬戶名、密碼等),驗證是否可利用讀取的信息進行非授權訪問和攻擊。d)預期結果：1)在檢測方法步驟2)中，未發現已知漏洞或具備有效措施防范漏洞安全風險；2)無法獲取敏感信息或無法利用獲取的信息實施非授權訪問和攻擊。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)支持本節要求的管理功能時需測試，不支持時無需測試，廠商應提供設備不支持本項管理功能的說明。6.6.8SSH管理功能安全測試該檢測項包括如下內容：a)安全要求：在支持SSH管理功能時，應具備抵御常見攻擊的能力，例如權限繞過、拒絕服務攻擊等。b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)配置被測設備的SSH功能；2)對被測設備進行SSH漏洞掃描；3)使用空用戶名、空口令、超長口令以及帶有特殊字符的用戶名口令，嘗試SSH登錄，查看登錄結果；4)使用低權限用戶嘗試未授權的操作；5)發送背景流量，然后使用測試儀表向設備(例如環回地址、管理接口地址)發起超量的SSH連接請求，觀察設備狀態與背景流量。d)預期結果：1)在檢測方法步驟2)中，未發現已知漏洞或具備有效措施防范漏洞安全風險；2)在檢測方法步驟3)中，登錄失敗；3)在檢測方法步驟4)中，操作失敗；4)被測設備上未成功建立超量的SSH連接，攻擊對背景流量無影響，設備運行狀態(CPU、e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)支持本節要求的管理功能時需測試，不支持時無需測試，廠商應提供設備不支持本項管理功能的說明。6.6.9Telnet管理功能安全測試該檢測項包括如下內容：a)安全要求：在支持Telnet管理功能時，應具備抵御常見攻擊的能力，例如權限繞過、拒絕服務攻擊等。b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)配置被測設備的Telnet功能；2)對被測設備進行Telnet漏洞掃描；3)使用空用戶名、空口令、超長口令以及帶有特殊字符的用戶名和口令，嘗試Telnet登錄，查看登錄結果；4)使用低權限用戶嘗試未授權的操作；5)發送背景流量，然后使用測試儀表向設備(例如環回地址、管理接口地址)發起超量的Telnet連接請求，觀察設備狀態與背景流量。d)預期結果：1)在檢測方法步驟2)中，未發現已知漏洞或具備有效措施防范漏洞安全風險；2)在檢測方法步驟3)中，登錄失敗；3)在檢測方法步驟4)中，操作失敗；4)被測設備上未成功建立超量的Telnet連接，攻擊對背景流量無影響，設備運行狀態e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)支持本節要求的管理功能時需測試，不支持時無需測試，廠商應提供設備不支持本項管理功能的說明。6.6.10RestAPI管理功能安全測試該檢測項包括如下內容：a)安全要求：在支持RestAPI管理功能時，應具備抵御常見攻擊的能力，例如API身份驗證繞過攻擊、HTTP身份繞過攻擊、Oauth繞過攻擊、拒絕服務攻擊等。b)預置條件：1)按測試環境1搭建好測試環境；2)配置啟用被測設備的RestAPI管理功能。c)檢測方法：1)對被測設備進行RestAPI漏洞掃描；2)檢查使用RestAPI功能是否需要驗證用戶的身份，比如提供用戶賬號的密碼；3)創建一個高權限用戶和低權限用戶；4)通過低權限用戶登錄，檢查低權限用戶可執行的命令和可訪問的資源；5)使用不攜帶認證參數的請求對設備API接口進行訪問；6)檢查設備是否支持HTTPS協議，并具備防暴力破解機制；7)如果設備支持Oauth認證，構造非法的測試參數向設備發起認證請求，檢查設備是否對重定向參數進行了校驗，是否返回敏感信息，如token等；8)輸入空用戶名、空口令、超長口令以及帶有特殊字符的用戶名口令，嘗試登錄設備，查看被測設備登錄情況；9)發送背景流量，然后使用測試儀表向設備環回地址和管理接口地址發起超量的RestAPI連接請求(包括正常請求與畸形的請求),觀察設備狀態與背景流量。d)預期結果：1)在檢測方法步驟1)中，未發現已知漏洞或具備有效措施防范漏洞安全風險；2)在檢測方法步驟4)中，未能獲取當前賬戶權限之外的資源；3)在檢測方法步驟5)中，未能進行訪問；4)在檢測方法步驟6)中，支持HTTPS協議，并具備防暴力破解機制；5)在檢測方法步驟7)中，設備對重定向參數進行了嚴格的校驗，未返回敏感信息；6)在檢測方法步驟8)中，不能登錄設備；7)在檢測方法步驟9)中，被測設備應對丟棄超量的連接請求，攻擊對背景流量無影響，且設e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)支持本節要求的管理功能時需測試，不支持時無需測試，廠商應提供設備不支持本項管理功能的說明。6.6.11NETCONF管理功能安全測試該檢測項包括如下內容：a)安全要求：在支持NETCONF管理功能時，應具備抵御常見攻擊的能力，例如權限繞過、拒絕服務攻擊等。b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)配置被測設備的NETCONF功能；2)對被測設備進行NETCONF漏洞掃描；3)使用空用戶名、空口令、超長口令以及帶有特殊字符的用戶名口令，嘗試NETCONF登4)使用低權限用戶嘗試未授權的操作；5)發送背景流量，然后使用測試儀表向設備環回地址和管理接口地址發起超量的NETCONF連接請求(包括正常請求與畸形的請求),觀察設備狀態與背景流量。d)預期結果：1)在檢測方法步驟2)中，未發現已知漏洞或具備有效措施防范漏洞安全風險；2)在檢測方法步驟3)中，登錄失敗；3)在檢測方法步驟4)中，操作失敗；4)被測設備應對丟棄超量的連接請求，攻擊對背景流量無影響，且設備運行狀態(CPU、內e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)支持本節要求的管理功能時需測試，不支持時無需測試，廠商應提供設備不支持本項管理功能的說明。6.6.12FTP管理功能安全測試該檢測項包括如下內容：a)安全要求：在支持FTP功能時，應具備抵御常見攻擊的能力，例如目錄遍歷、權限繞過等。b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)配置被測設備的FTP功能；2)對被測設備進行FTP漏洞掃描；3)使用匿名方式登錄FTP,查看登錄情況；4)使用空用戶名、空口令、超長口令以及帶有特殊字符的用戶名口令，嘗試FTP登錄，查看登錄結果；5)查看FTP用戶目錄權限配置，嘗試非授權訪問目錄；6)嘗試執行目錄遍歷攻擊。d)預期結果：1)檢測方法步驟2)中，未發現已知漏洞或具備有效措施防范漏洞安全風險；2)檢測方法步驟3)中，登錄失敗；3)檢測方法步驟4)中，登錄失敗，且設備無異常；4)檢測方法步驟5)中，用戶僅有該用戶目錄權限，無法訪問其他用戶的目錄；5)檢測方法步驟6)中，目錄遍歷攻擊失敗。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)支持本節要求的管理功能時需測試，不支持時無需測試，廠商應提供設備不支持本項管理功能的說明。6.6.13SFTP管理功能安全測試該檢測項包括如下內容：a)安全要求：在支持SFTP功能時，應具備抵御常見攻擊的能力，例如目錄遍歷、權限繞過等。b)預置條件：按測試環境1搭建好測試環境。c)檢測方法：1)配置被測設備的SFTP功能；2)對被測設備進行SFTP漏洞掃描；3)執行匿名方式登錄SFTP,查看登錄情況；4)輸入空用戶名、空口令、超長口令以及帶有特殊字符的用戶名口令，嘗試SFTP登錄，查看登錄情況；5)對SFTP進行權限檢測，查看用戶目錄權限配置；6)檢查設備是否支持用戶口令的非明文保存。d)預期結果：1)檢測方法步驟2)中，未發現已知漏洞或具備有效措施防范漏洞安全風險；2)檢測方法步驟3)中，登錄失敗；3)檢測方法步驟4)中，登錄失敗，且設備無異常；4)檢測方法步驟5)中，用戶僅有該用戶目錄權限；5)檢測方法步驟6)中，設備支持加密保存用戶口令。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)支持本節要求的管理功能時需測試，不支持時無需測試，廠商應提供設備不支持本項管理功能的說明。6.7用戶身份標識與鑒別6.7.1身份鑒別信息聲明該檢測項包括如下內容：a)安全要求：應不存在未向用戶公開的身份鑒別信息。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供所有存在的身份鑒別信息，即默認用戶名和口令；3)廠商提供所有的管理方式(登錄所采用的通信協議)信息；4)廠商提供不存在未向用戶公開的身份鑒別信息的聲明。c)檢測方法：1)用管理員權限的賬號登錄；2)檢查系統默認賬號與文檔是否一致；3)檢查所有賬號的權限是否和廠商提供的文檔一致；4)檢查廠商提供的所有用戶名和口令是否能成功登錄。d)預期結果：系統默認賬號與文檔一致。賬號的權限和廠商提供的文檔一致。廠商提供的所有用戶名和口令能成功登錄。廠商提供不存在未向用戶公開的身份鑒別信息的聲明。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.7.2身份標識和鑒別功能該檢測項包括如下內容：a)安全要求：應對用戶進行身份標識和鑒別，用戶身份標識應具有唯一性。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供被測設備的管理賬號和口令。c)檢測方法：1)使用管理賬號和正確口令以及錯誤口令分別登錄設備，檢查是否登錄成功；2)登錄被測設備，創建新的賬號和口令，并使用新賬號和口令以及新賬號和空口令嘗試登錄設備，檢查是否登錄成功；3)嘗試創建與檢測方法步驟3)中具有相同用戶身份標識的賬號，檢查是否能夠成功創建。d)預期結果：1)檢測方法步驟1),正確的口令登錄成功，錯誤的口令登錄失敗；2)檢測方法步驟2),使用新賬號和口令登錄成果，使用新賬號和空口令登錄失敗；3)檢測方法步驟3),創建失敗。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.7.3口令安全——默認口令、口令生存周期該檢測項包括如下內容：a)安全要求：使用口令鑒別方式時，應支持首次管理設備時強制修改默認口令或設置口令，或支持隨機初始口令，支持設置口令生存周期。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供口令鑒別方式相關的說明文檔，包括不限于默認設備管理方式、默認口令、口令生存周期等內容；3)被測設備處于出廠默認配置狀態。c)檢測方法：1)若被測設備存在默認口令，則使用默認賬號登錄被測設備，檢查被測設備是否強制修改默認口令，或使用隨機的初始口令；若被測設備不存在默認口令，則檢查是否強制設置口令。2)檢查被測設備是否支持設置口令生存周期。d)預期結果：首次管理關鍵設備時，系統提示強制修改默認口令或者設置口令，或支持隨機的初始口令，支持設置口令生存周期。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.7.4口令安全——口令復雜度、口令顯示該檢測項包括如下內容：a)安全要求：1)使用口令鑒別方式時，支持口令復雜度檢查功能，開啟口令復雜度檢查功能時，應支持檢查口令長度應不少于8位，且至少包含2種不同類型字符；2)使用口令鑒別方式時，不應明文回顯用戶輸入的口令信息。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供口令鑒別方式相關的說明文檔，包括不限于口令復雜度、口令保護、設備管理方式等內容。c)檢測方法：1)開啟口令復雜度檢查功能時，配置或確認口令復雜度要求；2)按照廠商提供的設備管理方式信息，創建不同管理方式的新賬號，配置符合口令復雜度要求的賬號，并使用新創建的賬號以不同的管理方式登錄設備，檢查在登錄過程中是否明文回顯輸入的口令信息以及是否能夠成功登錄；3)按照廠商提供的設備管理方式信息，創建不同管理方式的新賬號，配置不符合口令復雜度要求的賬號，檢查配置結果。d)預期結果：1)檢測方法步驟1)中，支持口令復雜度要求長度不少于8位，且至少包含2種不同類型字2)檢測方法步驟2)中，創建新賬號成功，以各種管理方式登錄過程中沒有明文回顯輸入的3)檢測方法步驟3)中，創建失敗，無法創建口令不滿足復雜度要求的賬號。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.7.5會話空閑時間過長防范功能該檢測項包括如下內容：a)安全要求：應支持登錄用戶空閑超時鎖定或自動退出等安全策略，以防范用戶登錄后會話空閑時間過長導致的安全風險。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供會話空閑超時控制策略、相關的配置以及設備管理方式說明。c)檢測方法：1)配置或確認會話空閑時長；2)按照廠商提供的設備管理方式信息，以不同的管理方式登錄被測設備，檢查登錄后空閑時間達到設定值或默認值時是否會鎖定或者自動退出。d)預期結果：1)配置成功，或者已存在默認的會話空閑時長，并記錄會話空閑時長值；2)登錄后空閑時間達到設定值或默認值時會鎖定或者自動退出。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.7.6鑒別失敗處理功能該檢測項包括如下內容：a)安全要求：鑒別失敗時，應返回最少且無差別信息。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供所有默認賬號信息以及設備管理方式說明。c)檢測方法：1)按照廠商提供的設備管理方式信息，以不同的管理方式，使用正確的賬號(包括默認賬號或新建賬號)及錯誤的口令登錄，檢查返回結果；2)按照廠商提供的設備管理方式信息，以不同的管理方式，使用錯誤的賬號(包括默認賬號或新建賬號)登錄，檢查返回結果。d)預期結果：檢測方法步驟1)和步驟2)返回的結果無差別，且沒有其他鑒別失敗原因提示。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.7.7身份鑒別信息安全保護功能該檢測項包括如下內容：a)安全要求：應對用戶身份鑒別信息進行安全保護，保障用戶鑒別信息存儲的保密性，以及傳輸過程中的保密性和完整性。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供所有身份鑒別信息安全存儲、安全傳輸操作說明。c)檢測方法：1)按照廠商提供的說明材料生成用戶身份鑒別信息，查看是否以加密方式存儲；2)按照廠商提供的說明材料生成并傳輸用戶身份鑒別信息，通過抓包或其他有效的方式查看是否具備保密性和完整性保護能力。d)預期結果：1)用戶身份鑒別信息能以加密方式存儲；2)具備保障用戶身份鑒別信息保密性和完整性能力。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.8訪問控制安全6.8.1用戶權限管理功能該檢測項包括如下內容：a)安全要求：1)應提供用戶分級分權控制機制；2)對涉及設備安全的重要功能如補丁管理、固件管理、日志審計、時間同步、端口鏡像、流采樣等，應僅授權的高等級權限用戶可使用。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供所有默認賬號信息以及設備管理方式說明。c)檢測方法：1)分別添加不同級別的兩個用戶userl、user2;2)為user1配置低等級權限，僅具有修改自己的口令，狀態查詢等權限，不支持配置系統信息，不支持涉及設備安全的重要功能如補丁管理、固件管理、日志審計、時間同步、端口鏡3)為user2配置高等級權限，具有涉及設備安全的重要功能如補丁管理、固件管理、日志審4)分別使用userl、user2登錄設備，對設備進行修改自己的口令、狀態查詢、補丁管理、固件d)預期結果：1)檢測方法步驟1)中成功添加兩個用戶；2)檢測方法步驟4)中，userl僅可修改自己的口令、進行狀態查詢等基本操作，不支持配置系統信息，不支持涉及設備安全的重要功能如補丁管理、固件管理、日志審計、時間同步、端口鏡像、流采樣等配置或操作；user2支持涉及設備安全的重要功能如補丁管理、固件e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.8.2訪問控制列表功能該檢測項包括如下內容：a)安全要求：應支持基于源IPv4/IPv6地址、目的IPv4/IPv6地址、源端口、目的端口、協議類型等的訪問控制列表功能，支持基于源MAC地址的訪問控制列表功能。b)預置條件，1)按測試環境1搭建好測試環境；2)廠商提供的設備登錄管理方式登錄設備；3)廠商提供關于訪問控制功能的相關配置說明。c)檢測方法：1)配置被測設備，在管理接口上分別配置并啟用用戶自定義ACL,ACL可基于源IPv4/2)配置被測設備，在業務接口上分別配置并啟用用戶自定義ACL,ACL可基于源IPv4/3)根據配置的ACL,利用數據網絡測試儀，發送命中和未命中ACL的數據流，查看ACL是否生效。d)預期結果：基于源IPv4/IPv6地址、目的IPv4/IPv6地址、源端口、目的端口、協議類型、源MAC地址的訪問控制列表功能生效，命中ACL的數據流會被設備過濾，未命中的不會被過濾。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.8.3會話過濾功能該檢測項包括如下內容：a)安全要求：應支持對用戶管理會話進行過濾，限制非授權用戶訪問和配置設備，例如通過訪問控制列表功能限制可對設備進行管理(包括Telnet、SSH、SNMP、WEB等管理方式)的用戶IPv4/IPv6地址。b)預置條件：1)按測試環境1搭建好測試環境；2)設備支持訪問控制列表功能(ACL);3)具有管理員權限用戶，用于ACL配置；4)使用系統默認用戶或新增用戶進行測試。c)檢測方法：1)使用管理員權限用戶登錄設備；2)在設備接口上綁定ACL規則，ACL規則配置為允許用戶訪問設備，此規則檢查用戶的IP地址(IPv4/IPv6)和會話使用的協議(包括Telnet、SSH、SNMP、WEB等管理方式);3)使用符合規則的IP地址和協議類型，檢查用戶是否能成功登錄并管理設備；4)在設備接口配置綁定ACL規則，ACL規則配置為不允許用戶訪問設備，此規則檢查用戶的IP地址(IPv4/IPv6)和會話使用的協議(包括Telnet、SSH、SNMP、WEB等管理方式);5)使用符合規則的IP地址和協議訪問并配置設備，檢查用戶是否被拒絕登錄設備。d)預期結果：1)ACL規則為允許訪問時，使用符合規則的IP地址和協議類型，用戶能成功登錄并管理2)ACL規則為不允許訪問時，使用符合規則的IP地址和協議類型，用戶被拒絕登錄設備。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.9日志審計安全該檢測項包括如下內容：a)安全要求：1)應提供日志記錄功能，對用戶關鍵操作，如增/刪賬戶、修改鑒別信息、修改關鍵配置、用戶登錄/注銷、用戶權限修改、重啟/關閉設備、軟件更新等行為進行記錄；對重要安全事件進行記錄，對影響設備運行安全的事件進行告警提示；2)日志審計記錄中應記錄必要的日志要素，至少包括事件發生日期和時間、主體(如登錄賬號等)、事件描述(如類型、操作結果等)、源IP地址(采用遠程管理方式時)等，為查閱和分析提供足夠的信息；3)不應在日志中明文或弱加密記錄敏感數據，如用戶口令、SNMP團體名、WEB會話ID以及私鑰等。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供包括管理員等所有賬號信息；3)廠商提供日志記錄功能的相關說明，包括記錄的事件類型、要素等。c)檢測方法：1)使用管理員權限賬號通過遠程管理方式登錄被測設備，進行增加賬戶、刪除賬戶、修改鑒別信息、修改用戶權限等操作；2)使用系統默認或新增賬號登錄登出設備，查看日志，日志應記錄相應操作；3)使用管理員賬號進行設備配置、重啟，關閉，軟件更新，修改IP地址等操作；4)使用管理員權限賬號登錄，進行關于配置用戶口令、SNMP團體名、WEB登錄或配置私鑰等敏感數據操作；5)查看日志，應該記錄以上操作行為；6)檢查日志審計記錄中是否包含必要的日志要素，至少包括事件發生日期和時間、主體(如登錄賬號等)、事件描述(如類型、操作結果等)、源IP地址(采用遠程管理方式時)等；7)查看日志的記錄內容中是否包含明文或弱加密記錄敏感數據等。d)預期結果：1)針對設備的配置、系統安全相關操作等事件均被記錄在日志中；2)日志記錄格式符合文檔要求，日志審計記錄中包含必要的日志要素，例如事件發生日期和時間、主體(如登錄賬號等)、事件描述(如類型、操作結果等)、源IP地址(采用遠程管理方式時)等；3)日志中不存在明文或弱加密(如MD5、BASE64、ASCII碼轉換等)記錄敏感數據，如用戶e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.9.2日志信息本地存儲安全該檢測項包括如下內容：a)安全要求：應提供日志信息本地存儲功能，當日志記錄存儲達到極限時，應采取覆蓋告警、循環覆蓋舊的記錄等措施。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供包括管理員等所有賬號信息；3)廠商提供日志記錄的最大值或日志文件存儲最大值說明。c)檢測方法：1)使用管理員賬號登錄；2)查看日志文件；3)反復進行相關操作，例如登錄和登出，直到日志記錄存儲達到極限，例如日志記錄條目數達到最大值或日志文件存儲達到最大值；4)再進行一次設備相關操作，檢查最新一次操作是否已經記錄，最早的一次記錄是否已經被覆蓋；5)檢查是否支持日志覆蓋告警上報。d)預期結果：日志記錄存儲達到極限時，系統支持覆蓋告警上報或采用循環覆蓋舊的記錄等措施。e)判定原則：測試結果應與預期結果相符，否則不符合要求。該檢測項包括如下內容：a)安全要求：應支持日志信息輸出功能。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供包括管理員等所有賬號信息；3)廠商提供日志輸出功能的說明，包括輸出形式、方式、配置方法等。c)檢測方法：1)使用管理員賬號登錄被測設備；2)配置被測設備，將日志傳輸到遠端服務器；3)查看遠端服務器是否有相關日志信息。d)預期結果：1)檢測方法步驟2)中，支持日志輸出功能；2)檢測方法步驟3)中，遠端服務器存在相關日志信息。e)判定原則：測試結果應與預期結果相符，否則不符合要求。6.9.4日志信息斷電保護功能該檢測項包括如下內容：應提供安全功能，保證設備異常斷電恢復后，已記錄的日志不丟失。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供包括管理員等所有賬號信息。c)檢測方法：1)使用管理員賬號登錄；2)檢查日志信息；3)設備斷電然后重啟；4)使用管理員賬號重新登錄；5)檢查斷電重啟之前的日志信息是否丟失。d)預期結果：斷電重啟以后日志信息沒有丟失。e)判定原則：測試結果應與預期結果相符，否則不符合要求。該檢測項包括如下內容：a)安全要求：應具備對日志在本地存儲和輸出過程進行保護的安全功能，防止日志內容被未經授權的查看、輸出或刪除。b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供具備對日志不同操作權限的賬號，并說明不同權限賬號所具備的日志操作權限。c)檢測方法：1)使用授權賬號登錄，檢查該用戶是否可以查看/輸出/刪除本地日志文件；2)使用非授權賬號登錄，檢查該用戶是否可以查看/輸出/刪除日志記錄和日志文件。d)預期結果：只有獲得授權的用戶才能對日志內容進行查看、輸出或刪除。e)判定原則：測試結果應與預期結果相符，否則不符合要求。該檢測項包括如下內容：a)安全要求：1)應支持與管理系統(管理用戶)建立安全的通信信道/路徑，保障通信數據的保密性、完5)應支持使用至少一種非明文數據傳輸協議對設備進行管理，如HTTPS、SSHv2、b)預置條件：1)按測試環境1搭建好測試環境；2)廠商提供設備支持的安全協議說明材料。c)檢測方法：1)嘗試開啟HTTPS、SSHv2、SNMPv3等使用非明文數據傳輸協議的管理功能；2)當設備支持WEB管理時，嘗試開啟HTTPS管理功能；6)對設備進行文件傳輸(上傳、下載)操作，查看是否支持安全的傳輸協議，例如HTTPS,d)預期結果1)檢測方法步驟1)中，設備應支持使用至少一種非明文數據傳輸協議對設備進行管理，如2)檢測方法步驟2)中，設備支持WEB管理時，應支持HTTPS;4)檢測方法步驟4)中，設備支持SNMP6)檢測方法步驟6中，設備支持HTTPS,SFTP等安全的傳輸協議進行文件傳輸。e)判定原則：測試結果應與預期結果相符，否則不符合要求。該檢測項包括如下內容：子檢測項1:a)安全要求：基礎通信協議(如IPv4/IPv6、TCP、UDP、ICMPv4/ICMPv6等)應滿足通信協議健壯性要求，防范異常報文攻擊。b)預置條件：廠商提供有關IPv4/IPv6、TCP、UDP、ICMPv4/ICMPv6等基礎通信協議健壯性測試材料。檢查有關IPv4/IPv6、TCP、UDP、ICMPv4/ICMPv6等基礎通信協議健壯性測試材料。d)預期結果：檢測方法中，廠商提供的基礎通信協議健壯性測試證明材料，保障信息可信。e)判定原則：1)測試結果應與預期結果相符，否則不符合要求；2)測試材料應由獨立于設備提供方和設備使用方的第三方機構出具，測試材料中的測試過3)廠商應提供被測對象一致性說明材料，如被測設備與提供的測試材料中被測對象的軟件僅有少量差異(例如：小版本號不同、補丁版本號不同等)時，廠商補充提供差異部分的測子檢測項2:a)安全要求：應用層協議(如SNMPvl/SNMPv2c/SNMPv3、SSHv1/SNMPv2、HTTP/HTTPS、FTP、TFTP、NTP、Openflow等)應滿足通信協議健壯性要求，防范異常報文攻擊。b)預置條件：廠商提供有關SNMPvl/SNMPv2c/SNMPv3、SSHvl/SSHv2、HTNTP、NETCONF、Openflow等應用層協議健壯性測試材料。c)檢測方法：NTP、NETCONF、Openflow等應用層協議健壯性測試材料。設備不支持的應用層協議無需提供相應的測試材料。d)預期結果：檢測方法中，廠商提供的應用層協議健壯性測試證明材料，保障