1、书 书 书犐 犆犛 犆犆犛犔 ? ? ? ? ? ? ? ? ? ? ?犌犅犜 ?犛 犲 犮 狌 狉 犻 狋 狔狋 犲 狊 狋 犻 狀 犵犿犲 狋 犺 狅 犱 狊犳 狅 狉犮 狉 犻 狋 犻 犮 犪 犾狀 犲 狋 狑狅 狉 犽犱 犲 狏 犻 犮 犲 狊犛狑 犻 狋 犮 犺 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?书 书 书目次前言范围规范性引用文件术语和定义缩略语测试环境安全检测方法 设备标识安全 冗余、备份恢复与异常检测 漏洞与缺陷管理安全 预装软件启动及更新安全 默认状态安全 抵御常见攻击能力 用户身份标识与鉴别 访问控制安全 日志审计安全 通信安
2、全 数据安全 安全保障要求评估方法 参考文献 犌犅犜 前言本文件按照 标准化工作导则第部分:标准化文件的结构和起草规则的规定起草。 网络关键设备安全通用要求与 网络关键设备安全技术要求交换机设备 、 网络关键设备安全检测方法交换机设备共同构成支撑网络关键设备的交换机设备安全标准体系。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由中华人民共和国工业和信息化部提出。本文件由全国通信标准化技术委员会( )归口。本文件起草单位:中国信息通信研究院、上海诺基亚贝尔股份有限公司、华为技术有限公司、中兴通讯股份有限公司、新华三技术有限公司、北京通和实益电信科学技术研究
3、所有限公司、启明星辰信息技术集团股份有限公司、中国联合网络通信集团有限公司、北京奇虎科技有限公司、阿里云计算有限公司、烽火通信科技股份有限公司、中国通信标准化协会。本文件主要起草人:张治兵、周开波、沈蕾、程小平、赵建风、万晓兰、王卫东、孙薇、郭新海、张屹、薄菁、邱林海、叶郁柏、周继华、吴荣春、卜玉玲、刘欣东、袁玉东、许雯、马铮、张亚薇、姚一楠、杨广贺、柳扬、邓科、席永青。犌犅犜 网络关键设备安全检测方法交换机设备范围本文件规定了列入网络关键设备的交换机设备在标识安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控
4、制安全、日志审计安全、通信安全、数据安全等方面的安全检测方法,并规定了上述设备的安全保障要求评估方法。本文件适用于列入网络关键设备目录的交换机设备,也可为网络运营者采购交换机设备时提供依据,还适用于指导交换机设备的研发、测试等工作。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 信息安全技术术语 网络关键设备安全检测方法路由器设备 通用安全保障要求( )术语和定义 界定的以及下列术语和定义适用于本文件。 交换机狊 狑 犻 狋 犮 犺利用内部交换
5、机制来提供联网设备之间连通性的设备。注:交换机中的交换机制通常在 参考模型的第层或第层实现。缩略语下列缩略语适用于本文件。:访问控制列表( ) :应用程序接口( ):地址解析协议( ):边界网关协议( ):网桥协议数据单元( ):文件传输协议( ):超文本传输协议( ):安全套接字层超文本传输协议( )犌犅犜 :互联网控制报文协议( ) :互联网协议( ):媒体访问控制( ):邻居发现协议( ):网络配置协议( ):网络时间协议( ) :开放授权( ):开放最短路径优先协议( ) :表现层状态转移应用程序接口( ):简单网络管理协议( ):安全壳协议( ):传输控制协议( ):简单文件传输协议
6、( ) :多链接透明互联( ):用户数据报协议( ):全球广域网( )测试环境测试环境如图图所示。图测试环境犌犅犜 图测试环境图测试环境犌犅犜 图测试环境图测试环境数据网络测试仪一般连接到设备的业务接口,用于模拟发送数据包。安全测试工具一般连接到设备的业务接口或管理接口,用于进行漏洞扫描、端口扫描等安全测试。管理终端一般连接到设备的管理接口,用于对被测设备进行配置管理。安全检测方法 设备标识安全 硬件标识安全该检测项包括如下内容:犌犅犜 )安全要求:)硬件整机应具备唯一性标识;)设备的主控板卡、业务板卡、交换网板、风扇模块、电源、存储系统软件的板卡、硬盘或闪存卡等主要部件应具备唯一性标识;)应
7、标识每一个物理接口,并说明其功能,不得预留未向用户声明的物理接口。)预置条件:厂商提供设备硬件接口配置说明材料。)检测方法:)检查硬件整机是否具备唯一性标识;)检查主控板卡、业务板卡、交换网板、风扇模块、电源、存储系统软件的板卡或其他介质(硬盘、闪存卡等)等主要部件是否具备唯一性标识;)检查每一个物理接口及相关说明材料,检查设备是否存在未标识的外部物理接口。)预期结果:)硬件整机具备唯一性标识;)主控板卡、业务板卡、交换网板、风扇模块、电源、存储系统软件的板卡或其他介质(硬盘、闪存卡等)等主要部件具备唯一性标识;)每一个物理接口都有标识,并通过说明书或其他材料书面说明每一个物理接口的功能,设备
8、不存在未标识的外部物理接口。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不适用。 软件标识安全该检测项包括如下内容:)安全要求:应对预装软件、补丁包升级包的不同版本进行唯一性标识。)预置条件:厂商提供设备运行所需的预装软件固件,以及可用的补丁包升级包。)检测方法:)检查预装软件固件是否具备唯一性标识;)检查补丁包升级包是否具备唯一性标识。)预期结果:)预装软件固件具备唯一性标识;)补丁包升级包具备唯一性标识。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)软件唯一性标识可以是分配的唯一版本号、软
9、件摘要值等。 鉴别提示信息安全该检测项包括如下内容:)安全要求:用户登录通过鉴别前的提示信息应避免包含设备软件版本、型号等敏感信息,例如可通过支持犌犅犜 关闭提示信息或者用户自定义提示信息等方式实现。)预置条件:)按测试环境搭建好测试环境;)厂商提供设备管理方式说明材料。)检测方法:)根据设备管理方式说明材料,配置设备的管理方式及相应的管理账号,尝试登录设备;)通过不同的管理方式登录设备,检查用户登录通过鉴别前的提示信息是否包含设备软件版本、型号等敏感信息。)预期结果:用户登录通过鉴别前的提示信息未包含设备软件版本、型号等敏感信息。)判定原则:测试结果应与预期结果相符,否则不符合要求。 冗余、
10、备份恢复与异常检测 设备整机冗余和自动切换功能该检测项包括如下内容:)安全要求:交换机设备应提供整机主备自动切换功能,在设备运行状态异常时,切换到冗余设备以降低安全风险。)预置条件:)按测试环境搭建好测试环境;)两台设备分别配置为主用设备与备用设备或负载分担模式。)检测方法:)测试仪表两对端口之间发送背景流量;)下线被测设备;)查看数据流量是否自动切换到被测设备;)重新上线被测设备;)被测设备恢复正常运行后,查看数据流量状态是否正常。)预期结果:)在检测方法步骤)中,被测设备能自动启用,流量能切换到被测设备上;)在检测方法步骤)中,被测设备能正常运行,且数据流量状态正常。)判定原则:)测试结果
11、应与预期结果相符,否则不符合要求;)主备模式和负载分担模式支持一种即可;)如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件,设备应支持整机冗余和自动切换;)设备整机冗余和关键部件冗余支持其中一项即可判定为符合要求。 关键部件冗余和自动切换功能该检测项包括如下内容:)安全要求:交换机设备应提供关键部件自动切换功能,在关键部件运行状态异常时,切换到冗余部件以降犌犅犜 低安全风险。)预置条件:)按测试环境搭建好测试环境;)被测设备关键部件配置冗余;)厂商提供支持冗余和自动切换的部件清单。)检测方法:)数据网络测试仪发出背景流量;)按照厂商提供的清单,分别拔掉或关闭处于运行状态的关键部件(比
12、如主控板卡、交换网板、电源模块和风扇模块等) ,等待一段时间并观察被测设备的工作状态;)查看数据流量是否有丢包,并记录丢包数量。)预期结果:)被测设备可以自动启用备用关键部件(比如备用主控板卡、备用交换网板、备用电源模块、备用风扇等) ,工作正常。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)如被测设备具备相应的部件,支持冗余和自动切换的部件应至少包括主控板卡、交换网板、电源模块和风扇模块;)如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不适用;)设备整机冗余和关键部件冗余支持其中一项即可判定为符合要求。 热插拔功能该检测项包括如下内容:)安全要求:部
13、分关键部件,如主控板卡、交换网板、业务板卡、电源、风扇等应支持热插拔功能。)预置条件:)按测试环境搭建好测试环境;)被测设备关键部件正常运行。)检测方法:)配置被测设备正常工作,数据网络测试仪发出背景流量;)拔掉处于运行状态的关键部件,如主控板卡、交换网板(无背景流量) 、业务板卡(无背景流量) 、电源、风扇,观察被测设备的工作状态;)重新插上拔掉的关键部件,观察被测设备的工作状态。)预期结果:检测方法步骤)和步骤)中,流量不中断,设备支持热插拔,重新插入的关键部件在一段时间后恢复正常运行。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)如被测设备不具备可插拔的主控板卡、业务板卡、交
14、换网板等部件,对这些部件的测试不适用。 备份与恢复功能该检测项包括如下内容:犌犅犜 )安全要求:支持对预装软件、配置文件的备份与恢复功能,使用恢复功能时支持对预装软件、配置文件的完整性检查。)预置条件:按测试环境搭建好测试环境。)检测方法:)配置被测设备正常工作;)分别备份预装软件、配置文件到被测设备之外的存储介质上;)清空或重置设备配置,保存并重启;)从存储介质上恢复预装软件到被测设备并重启,查看设备是否能够以预装软件启动,并恢复到正常工作状态;)从存储介质上恢复配置文件到被测设备,查看设备配置是否恢复到备份前工作状态;)修改存储介质上备份的预装软件和配置文件,并重复检测方法步骤)步骤) 。
15、)预期结果:)检测方法步骤)中,软件和配置文件备份成功;)检测方法步骤)中,恢复的软件工作正常;)检测方法步骤)中,设备配置与备份前一致;)检测方法步骤)中,设备能够检测到软件和配置已被修改,且不能成功恢复到备份前工作状态。)判定原则:测试结果应与预期结果相符,否则不符合要求。 故障隔离与告警功能该检测项包括如下内容:)安全要求:)支持主控板卡、交换网板、业务板卡、电源、风扇等部分关键部件故障隔离功能;)应支持异常状态检测,产生相关错误提示信息,支持故障的告警、定位等功能。)预置条件:按测试环境搭建好测试环境。)检测方法:)数据网络测试仪发出背景流量;)分别拔掉或关闭处于运行状态的关键部件(比
16、如主控板卡、交换网板、电源模块和风扇模块等) ,等待一段时间并观察被测设备的工作状态以及是否有故障告警、定位的信息。)预期结果:)被测试设备支持部分关键部件故障隔离功能,相互独立的模块或者部件之间任一模块或部件出现故障,不影响其他模块或部件的正常工作;)被测设备支持识别异常状态,产生相关错误提示信息,提供故障的告警、定位等功能。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不适用。 独立管理接口功能该检测项包括如下内容:犌犅犜 )安全要求:应提供独立的管理接口,实现设备管理和数据转发的隔离。)预置条件:按测
17、试环境搭建好测试环境。)检测方法:)检查被测设备是否有独立的管理接口,并确认管理接口是否能够正常使用;)从管理接口向业务接口发送测试数据;)从业务接口向管理接口发送测试数据。)预期结果:)检测方法步骤)中,被测设备具备独立的管理接口且可以正常使用;)检测方法步骤)与步骤)中,管理和业务接口相互隔离,测试数据转发不成功。)判定原则:测试结果应与预期结果相符,否则不符合要求。 漏洞与缺陷管理安全 漏洞扫描)安全要求:不应存在已公布的漏洞,或具备补救措施防范漏洞安全风险。)预置条件:)按测试环境搭建好测试环境;)厂商提供具有管理员权限的账号,用于登录设备操作系统;)按照产品说明书进行初始配置,并启用
18、相关的协议和服务;)扫描所使用的工具及其知识库需使用最新版本。)检测方法典型的漏洞扫描方式包括系统漏洞扫描、应用漏洞扫描等,扫描应覆盖具有网络通信功能的各类接口。)系统漏洞扫描:利用系统漏洞扫描工具通过具有网络通信功能的各类接口分别对被测设备系统进行扫描(包含登录扫描和非登录扫描两种方式,优先使用登录扫描方式) ,查看扫描结果;)应用漏洞扫描(设备不支持功能时不适用) :利用应用漏洞扫描工具对支持应用的网络接口进行扫描(包含登录扫描和非登录扫描两种方式,优先使用登录扫描方式) ,查看扫描结果。)对于以上扫描发现的安全漏洞,检查是否具备补救措施。)预期结果:分析扫描结果,没有发现安全漏洞;或者根
19、据扫描结果中,发现了安全漏洞,针对发现的漏洞具备相应的补救措施。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)常见的补救措施包括修复、规避等措施,如直接修复(打补丁等) 、用第三方工具(如防火墙)阻断、通过相关配置来规避风险(如关闭相关功能或者协议等) 。 恶意程序扫描该检测项包括如下内容:犌犅犜 )安全要求:预装软件、补丁包升级包不应存在恶意程序。)预置条件:)按测试环境搭建好测试环境;)厂商提供具有管理员权限的账号,用于登录设备操作系统;)厂商提供测试所需预装软件、补丁包升级包;)按照产品说明书进行初始配置,并启用相关的协议和服务,准备开始扫描;)扫描所使用的工具需使用最新版本
20、。)检测方法:使用至少两种恶意程序扫描工具对被测设备预装软件、补丁包升级包进行扫描,查看是否存在恶意程序。)预期结果:设备预装软件、补丁包升级包不存在恶意程序。)判定原则:测试结果应与预期结果相符,否则不符合要求。 设备功能和访问接口声明该检测项包括如下内容:)安全要求:不应存在未声明的功能和访问接口(含远程调试接口) 。)预置条件:)厂商提供设备所支持的功能和访问接口清单;)厂商提供管理员权限账号;)厂商说明不存在未声明的功能和访问接口。)检测方法:)使用管理员权限账号登录设备,检查设备所支持的功能是否与文档一致;)查看系统访问接口(含远程调试接口)是否与文档一致。)预期结果:)设备支持的功
21、能和访问接口(含远程调试接口)与文档一致;)不存在未声明的功能和访问接口(含远程调试接口) 。)判定原则:测试结果应与预期结果相符,否则不符合要求。 预装软件启动及更新安全 预装软件启动完整性校验功能该检测项包括如下内容:)安全要求:软件启动时可通过数字签名技术验证预装软件包的完整性。)预置条件:)测试环境搭建好测试环境;)厂商在设备中预先安装软件包和数字签名。)检测方法: 犌犅犜 )修改预装软件的数字签名,重启设备;)破坏预装软件的完整性,重启设备。)预期结果:检测方法步骤)和检测方法步骤)中,设备无法使用修改后的预装软件正常启动。)判定原则:测试结果应与预期结果相符,否则不符合要求。 更新
22、功能该检测项包括如下内容:)安全要求:应支持设备预装软件更新功能,不应支持自动更新。)预置条件:)按测试环境搭建好测试环境;)厂商提供被测设备预装软件;)厂商提供用于更新的软件包。)检测方法:)检查预装软件是否可进行更新;)检查预装软件是否可进行更新源(本地或远程)设置;)检查预装的软件更新是否在人工操作下进行更新;)查阅设备功能说明材料,检查是否存在支持自动更新功能的说明。)预期结果:)预装软件可更新;)可配置更新源(本地或远程) ;)设备仅可在人工操作下进行更新,设备功能说明材料中不存在支持自动更新的说明。)判定原则:测试结果应与预期结果相符,否则不符合要求。 更新授权功能该检测项包括如下
23、内容:)安全要求:对于更新操作,应仅限于授权用户可实施。)预置条件:)按测试环境搭建好测试环境;)厂商提供被测设备分级的用户账号策略;)厂商提供用户手册。)检测方法:)检查用户手册中是否记录了对不同级别账号配置及权限的描述;)尝试配置不同级别的账号,至少配置一个无更新权限的账号和一个具备更新权限的账号;)尝试使用无更新权限的账号执行设备更新操作,查看结果;)尝试使用具备更新权限的账号执行设备更新操作,查看结果。)预期结果:)用户手册中记录了描述不同级别账号配置及权限说明;)不同权限的账号配置成功; 犌犅犜 )无更新权限账号不能执行设备更新操作;)具备更新权限的账号可以成功执行设备更新操作。)判
24、定原则:测试结果应与预期结果相符,否则不符合要求。 更新操作确认功能该检测项包括如下内容:)安全要求:对于存在导致设备重启等影响设备运行安全的实施更新操作,应支持用户选择或确认是否进行更新。)预置条件:)按测试环境搭建好测试环境;)厂商提供被测设备预装软件的待更新软件包,对该软件包的更新操作会导致设备重启等影响设备运行安全的问题。)检测方法:执行更新操作,检查更新过程中是否要求用户进行选择或确认。)预期结果:执行更新操作时会要求用户进行选择或确认。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)用户选择或确认的方式包括:选择更新或不更新;通过二次鉴别的方式进行确认;对授权用户提示更新
25、操作在特定时间段或特定操作之后才能生效,生效之前可撤销。 软件更新包完整性校验功能该检测项包括如下内容:)安全要求:应支持软件更新包完整性校验。)预置条件:)按测试环境搭建好测试环境;)厂商提供预装软件的更新包、说明材料及数字签名;)厂商提供签名验证的工具或指令。)检测方法:)检查厂商发布更新软件包时是否同时发布更新软件包和数字签名;)使用工具或指令验证厂商提供的更新包,检查是否通过签名验证;)修改厂商提供的预装软件更新包,使用工具或指令验证修改过的更新包,检查是否可以通过签名验证。)预期结果:)更新包与数字签名一同发布;)使用厂商提供的签名验证工具或指令对更新包进行签名验证,若更新包与签名不
26、匹配,则验证不通过,输出错误信息,若匹配,则输出验证通过信息。)判定原则:测试结果应与预期结果相符,否则不符合要求。 犌犅犜 更新失败恢复功能该检测项包括如下内容:)安全要求:更新失败时设备应能够恢复到更新前的正常工作状态。)预置条件:)按测试环境搭建好测试环境;)厂商提供预装软件更新包及更新说明材料。)检测方法:)查看并记录被测设备当前版本;)使用厂商提供的更新包对被测设备进行更新操作,在更新过程中模拟异常,使得更新过程失败;)重启被测设备,查看被测设备运行状态及软件版本。)预期结果:重启后,被测设备运行正常,软件版本为更新前的版本。)判定原则:测试结果应与预期结果相符,否则不符合要求。 网
27、络更新安全通道功能该检测项包括如下内容:)安全要求:对于采用网络更新方式的,应支持非明文通道传输更新数据。)预置条件:)按测试环境搭建好测试环境;)厂商提供的被测设备支持网络更新方式。)检测方法:)配置被测设备,开启网络更新方式,并尝试从网络获得更新包;)在网络更新过程中,抓取数据包,查看是否为非明文数据。)预期结果:)设备可从网络中获取到所需要的更新包;)网络传输通道支持加密传输,数据包被加密,非明文传输。)判定原则:测试结果应与预期结果相符,否则不符合要求。 更新过程告知功能该检测项包括如下内容:)安全要求:应有明确的信息告知用户软件更新过程的开始、结束以及更新的内容。)预置条件:)按测试
28、环境搭建好测试环境;)厂商提供的被测设备有预装软件更新的能力。)检测方法:)检查是否对此次更新的内容进行说明,可以通过文档或软件提示信息等方式进行说明; 犌犅犜 )检查更新过程中有无提示开始和结束的信息;)检查更新过程中有无步骤信息及更新进度信息显示;)检查更新完成后有无更新成功或失败信息,有无更新日志记录。)预期结果:)具备更新的内容说明;)具备更新开始提示信息和结束提示信息;)更新过程中显示更新步骤及更新进度信息;)更新完成后,显示更新成功或失败信息,且日志中记录了更新的相关情况。)判定原则:测试结果应与预期结果相符,否则不符合要求。 更新源可用性该检测项包括如下内容:)安全要求:应具备稳
29、定可用的渠道提供软件更新源。)预置条件:)按测试环境搭建好测试环境;)厂商提供设备预装软件更新包的更新源。)检测方法:)检查更新源是否可用,尝试从更新源获取更新包;)对被测设备进行更新,检查更新结果。)预期结果:)具备软件包更新源,可获得更新包;)更新正常。)判定原则:测试结果应与预期结果相符,否则不符合要求。 默认状态安全 默认开放服务和端口该检测项包括如下内容:)安全要求:)默认状态下应仅开启必要的服务和对应的端口,应明示所有默认开启的服务、对应的端口及用途,应支持用户关闭默认开启的服务和对应的端口;)使用 、 、等明文传输协议的网络管理功能应默认关闭;)对于存在较多版本的远程管理协议,应
30、默认关闭安全性较低的版本,例如设备支持协议时,应默认关闭 。)预置条件:)按测试环境搭建好测试环境;)设备运行于默认状态,默认状态为设备出厂设置时的配置状态;)厂商提供所有默认开启的服务、对应的端口及用途、管理员权限账号的说明材料。)检测方法:)使用扫描工具对设备进行全端口扫描,查看默认状态开启的服务和对应的端口,是否与厂 犌犅犜 商提供的说明材料内容一致、是否仅开启必要的服务和对应的端口;)配置设备,关闭默认开启的端口和服务,使用扫描工具对设备再次进行扫描,查看扫描结果,检查默认开启的端口和服务是否被关闭;)检查设备的配置,查看 、 、等明文传输协议的网络管理服务是否默认关闭;)检查设备支持
31、的远程管理协议,对于存在较多版本的远程管理协议,是否默认关闭安全性较低的版本,例如设备支持协议时,是否默认关闭 。)预期结果:)检测方法步骤)中,默认状态下,设备仅开启必要的服务和对应的端口,默认开启的服务和端口与厂商提供的说明材料内容一致;)检测方法步骤)中,用户可以自行关闭默认开启的服务和对应的端口;)检测方法步骤)中,使用 、 、等明文传输协议的网络管理功能默认关闭;)检测方法步骤)中,存在较多版本的远程管理协议,默认关闭安全性较低的版本。)判定原则:测试结果应与预期结果相符,否则不符合要求。 开启非默认开放服务和端口该检测项包括如下内容:)安全要求:非默认开放的端口和服务,应在用户知晓
32、且同意后才可启用。)预置条件:)按测试环境搭建好测试环境;)设备运行于默认状态,默认状态为设备出厂设置时的配置状态;)厂商提供设备非默认开放端口和服务对应关系的说明材料;)厂商提供说明材料,说明开启非默认开放端口和服务的配置方式,以及如何让用户知晓和同意开启非默认开放端口和服务。)检测方法:按照厂商提供的说明材料,配置设备,开启非默认开放的端口和服务,确认是否经过用户知晓且同意才可启用。)预期结果:非默认开放的端口和服务,应在用户知晓且同意后才可启用。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)用户知晓且同意开启非默认端口和服务的方式通常可包括用户授权、二次确认等。 抵御常见攻击
33、能力 大流量攻击防范能力该检测项包括如下内容:)安全要求:应具备抵御目的为交换机自身的大流量攻击的能力,例如目的为交换机管理接口的 攻击、 攻击等。 犌犅犜 )预置条件:按测试环境搭建好测试环境。)检测方法:)按测试环境连接设备,配置各接口的 地址;)测试仪表从端口到端口发送背景流量;)从测试仪表端口向被测设备自身 地址(例如:环回地址、管理接口地址)以端口线速分别发送 攻击、 等攻击流量,攻击流量和背景流量总和不超过设备转发能力。)预期结果:攻击对背景流量无影响,且设备运行状态(、内存、告警等)正常。)判定原则:测试结果应与预期结果相符,否则不符合要求。 地址解析欺骗攻击防范能力该检测项包括
34、如下内容:)安全要求:应支持防范欺骗攻击功能,如通过地址绑定等功能实现。)预置条件:)按测试环境搭建好测试环境;)配置被测设备的防范欺骗攻击功能。)检测方法:)按测试环境连接设备,配置各个接口的 地址;)测试仪表接口和接口发送各自的邻居公告消息;)从测试仪接口向测试仪接口( )发送数据流;)测试仪接口发送邻居公告欺骗报文,即 包中声称 对应的地址为;)从测试仪接口向主机( )发送 数据。)预期结果:)检测方法步骤)中,测试仪表端口收到端口发送的 数据流;)检测方法步骤)中,测试仪表端口收到端口发送的 数据流,端口收不到该数据流。)判定原则:测试结果应与预期结果相符,否则不符合要求。 广播风暴攻
35、击防范能力该检测项包括如下内容:)安全要求:应支持基于地址的转发功能,针对启用地址转发的交换机端口,应支持开启生成树协议等功能,防范广播风暴攻击;支持关闭生成树协议,或支持启用 、 等功能,防范针对生成树协议的攻击。)预置条件:按测试环境、测试环境、测试环境搭建好测试环境。)检测方法: 犌犅犜 )按测试环境连接设备,配置生成树协议,数据网络测试仪发送流量;)断开所使用的链路;)按测试环境连接设备,配置生成树协议,数据网络测试仪发送流量;)关闭所使用的被测设备;)按测试环境连接设备,分别配置被测设备的生成树优先级为、,配置被测设备的 功能,被测设备依次、加电,被测设备加电;)按照测试换机连接设备
36、,分别配置被测设备的生成树优先级为、,关闭被测设备的 功能,交换机、加电;)配置被测设备的 功能,交换机、重新加电。)预期结果:)检测方法步骤)中,只有一条链路可用;)检测方法步骤)中,另一条链路恢复使用;)检测方法步骤)中,只有一条链路可用;)检测方法步骤)中,被测设备恢复使用;)检测方法步骤)之后,被测设备仍是 交换机;)检测方法步骤)之后,被测设备是 交换机;)检测方法步骤)之后,被测设备是 交换机。)判定原则:测试结果应与预期结果相符,否则不符合要求。 用户凭证猜解攻击防范能力该检测项包括如下内容:)安全要求:应支持连续的非法登录尝试次数限制或其他安全策略,以防范用户凭证猜解攻击。)预
37、置条件:按测试环境搭建好测试环境。)检测方法:)配置被测设备最多非法登录尝试次数为犖;)针对不同管理方式(包括且不限于 、等)分别使用不同的账户登录被测设备,连续犕(犕犖)次输入错误的鉴别信息,检查设备的状态。)预期结果:)检测方法步骤)中,配置成功,被测设备支持配置非法登录尝试次数;)检测方法步骤)中,经过犖次的鉴别失败以后,被测设备应通过锁定账号、中断连接、锁定登录界面或其他限制措施来防止用户凭证猜解攻击。)判定原则:测试结果应与预期结果相符,否则不符合要求。 用户会话连接限制功能该检测项包括如下内容:)安全要求:应支持限制用户会话连接的数量,以防范资源消耗类拒绝服务攻击。)预置条件:按测
38、试环境搭建好测试环境。 犌犅犜 )检测方法:)配置被测设备用户会话连接数量最大连接数为犖;)针对不同的管理方式(包括且不限于 、等)分别尝试建立犕(犕犖)个会话连接,检查被测设备会话连接建立情况。)预期结果:)检测方法步骤)中,配置成功,被测设备支持限制用户会话连接的数量;)检测方法步骤)中,建立犖个会话连接以后,无法再建立新的会话连接。)判定原则:测试结果应与预期结果相符,否则不符合要求。 犠犈犅管理功能安全测试该检测项包括如下内容:)安全要求:在支持管理功能时,应具备抵御常见攻击的能力,例如注入攻击、重放攻击、权限绕过攻击、非法文件上传等。)预置条件:按测试环境搭建好测试环境。)检测方法:
39、)配置被测设备的管理功能;)在被测设备输入框和参数链接处等潜在注入漏洞点尝试进行测试,检查是否存在漏洞;)在被测设备输入框和参数链接处等潜在跨站漏洞点尝试进行测试,检查是否存在漏洞;)在被测设备参数交互点尝试进行命令执行漏洞攻击,检查是否存在漏洞;)登录设备,抓取并保存登录报文,退出登录后重新发送保存的登录报文,查看登录情况;)登录设备,进行修改口令、下载配置文件等操作,抓取并保存操作报文,退出登录后重新发送保存的操作报文,查看操作的可行性;)非授权用户尝试执行修改其他用户密码、删除日志等操作,检查操作是否成功;)在被测设备文件上传点上传恶意文件,查看是否上传成功。)预期结果:)检测方法步骤)
40、步骤)中,未发现漏洞;)检测方法步骤)和步骤)中,登录失败;)检测方法步骤)中,操作失败;)检测方法步骤)中,恶意文件上传失败。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)支持本节要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理功能的说明。 犛犖犕犘管理功能安全测试该检测项包括如下内容:)安全要求:在支持管理功能时,应具备抵御常见攻击的能力,例如权限绕过、信息泄露等。)预置条件:按测试环境搭建好测试环境。 犌犅犜 )检测方法:)配置被测设备的功能;)对被测设备进行漏洞扫描;)使用不具备权限的用户尝试读取未授权访问的节点信息(例如账户名、密码等) ,验证是否可
41、利用读取的信息进行非授权访问和攻击。)预期结果:)在检测方法步骤)中,未发现已知漏洞或具备有效措施防范漏洞安全风险;)无法获取敏感信息或无法利用获取的信息实施非授权访问和攻击。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)支持本节要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理功能的说明。 犛 犛犎管理功能安全测试该检测项包括如下内容:)安全要求:在支持管理功能时,应具备抵御常见攻击的能力,例如权限绕过、拒绝服务攻击等。)预置条件:按测试环境搭建好测试环境。)检测方法:)配置被测设备的功能;)对被测设备进行漏洞扫描;)使用空用户名、空口令、超长口令以及带有特殊
42、字符的用户名口令,尝试登录,查看登录结果;)使用低权限用户尝试未授权的操作;)发送背景流量,然后使用测试仪表向设备(例如环回地址、管理接口地址)发起超量的连接请求,观察设备状态与背景流量。)预期结果:)在检测方法步骤)中,未发现已知漏洞或具备有效措施防范漏洞安全风险;)在检测方法步骤)中,登录失败;)在检测方法步骤)中,操作失败;)被测设备上未成功建立超量的连接,攻击对背景流量无影响,设备运行状态(、内存、告警等)正常。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)支持本节要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理功能的说明。 犜 犲 犾 狀 犲 狋管理
43、功能安全测试该检测项包括如下内容:)安全要求:在支持 管理功能时,应具备抵御常见攻击的能力,例如权限绕过、拒绝服务攻击等。)预置条件: 犌犅犜 按测试环境搭建好测试环境。)检测方法:)配置被测设备的 功能;)对被测设备进行 漏洞扫描;)使用空用户名、空口令、超长口令以及带有特殊字符的用户名和口令,尝试 登录,查看登录结果;)使用低权限用户尝试未授权的操作;)发送背景流量,然后使用测试仪表向设备(例如环回地址、管理接口地址)发起超量的 连接请求,观察设备状态与背景流量。)预期结果:)在检测方法步骤)中,未发现已知漏洞或具备有效措施防范漏洞安全风险;)在检测方法步骤)中,登录失败;)在检测方法步骤
44、)中,操作失败;)被测设备上未成功建立超量的 连接,攻击对背景流量无影响,设备运行状态(、内存、告警等)正常。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)支持本节要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理功能的说明。 犚犲 狊 狋 犃犘 犐管理功能安全测试该检测项包括如下内容:)安全要求:在支持 管理功能时,应具备抵御常见攻击的能力,例如 身份验证绕过攻击、身份绕过攻击、 绕过攻击、拒绝服务攻击等。)预置条件:)按测试环境搭建好测试环境;)配置启用被测设备的 管理功能。)检测方法:)对被测设备进行 漏洞扫描;)检查使用 功能是否需要验证用户的身份,比如
45、提供用户账号的密码;)创建一个高权限用户和低权限用户;)通过低权限用户登录,检查低权限用户可执行的命令和可访问的资源;)使用不携带认证参数的请求对设备 接口进行访问;)检查设备是否支持协议,并具备防暴力破解机制;)如果设备支持 认证,构造非法的测试参数向设备发起认证请求,检查设备是否对重定向参数进行了校验,是否返回敏感信息,如 等;)输入空用户名、空口令、超长口令以及带有特殊字符的用户名口令,尝试登录设备,查看被测设备登录情况;)发送背景流量,然后使用测试仪表向设备环回地址和管理接口地址发起超量的 连接请求(包括正常请求与畸形的请求) ,观察设备状态与背景流量。)预期结果:)在检测方法步骤)中
46、,未发现已知漏洞或具备有效措施防范漏洞安全风险; 犌犅犜 )在检测方法步骤)中,未能获取当前账户权限之外的资源;)在检测方法步骤)中,未能进行访问;)在检测方法步骤)中,支持协议,并具备防暴力破解机制;)在检测方法步骤)中,设备对重定向参数进行了严格的校验,未返回敏感信息;)在检测方法步骤)中,不能登录设备;)在检测方法步骤)中,被测设备应对丢弃超量的连接请求,攻击对背景流量无影响,且设备运行状态(、内存、告警等)正常。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)支持本节要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理功能的说明。 犖犈犜犆犗犖犉管理功能安全
47、测试该检测项包括如下内容:)安全要求:在支持管理功能时,应具备抵御常见攻击的能力,例如权限绕过、拒绝服务攻击等。)预置条件:按测试环境搭建好测试环境。)检测方法:)配置被测设备的功能;)对被测设备进行漏洞扫描;)使用空用户名、空口令、超长口令以及带有特殊字符的用户名口令,尝试登录,查看登录结果;)使用低权限用户尝试未授权的操作;)发送背景流量,然后使用测试仪表向设备环回地址和管理接口地址发起超量的连接请求(包括正常请求与畸形的请求) ,观察设备状态与背景流量。)预期结果:)在检测方法步骤)中,未发现已知漏洞或具备有效措施防范漏洞安全风险;)在检测方法步骤)中,登录失败;)在检测方法步骤)中,操
48、作失败;)被测设备应对丢弃超量的连接请求,攻击对背景流量无影响,且设备运行状态(、内存、告警等)正常。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)支持本节要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理功能的说明。 犉犜犘管理功能安全测试该检测项包括如下内容:)安全要求:在支持功能时,应具备抵御常见攻击的能力,例如目录遍历、权限绕过等。)预置条件: 犌犅犜 按测试环境搭建好测试环境。)检测方法:)配置被测设备的功能;)对被测设备进行漏洞扫描;)使用匿名方式登录,查看登录情况;)使用空用户名、空口令、超长口令以及带有特殊字符的用户名口令,尝试登录,查看登录结果
49、;)查看用户目录权限配置,尝试非授权访问目录;)尝试执行目录遍历攻击。)预期结果:)检测方法步骤)中,未发现已知漏洞或具备有效措施防范漏洞安全风险;)检测方法步骤)中,登录失败;)检测方法步骤)中,登录失败,且设备无异常;)检测方法步骤)中,用户仅有该用户目录权限,无法访问其他用户的目录;)检测方法步骤)中,目录遍历攻击失败。)判定原则:)测试结果应与预期结果相符,否则不符合要求;)支持本节要求的管理功能时需测试,不支持时无需测试,厂商应提供设备不支持本项管理功能的说明。 犛 犉犜犘管理功能安全测试该检测项包括如下内容:)安全要求:在支持功能时,应具备抵御常见攻击的能力,例如目录遍历、权限绕过
50、等。)预置条件:按测试环境搭建好测试环境。)检测方法:)配置被测设备的功能;)对被测设备进行漏洞扫描;)执行匿名方式登录,查看登录情况;)输入空用户名、空口令、超长口令以及带有特殊字符的用户名口令,尝试登录,查看登录情况;)对进行权限检测,查看用户目录权限配置;)检查设备是否支持用户口令的非明文保存。)预期结果:)检测方法步骤)中,未发现已知漏洞或具备有效措施防范漏洞安全风险;)检测方法步骤)中,登录失败;)检测方法步骤)中,登录失败,且设备无异常;)检测方法步骤)中,用户仅有该用户目录权限;)检测方法步骤)中,设备支持加密保存用户口令。)判定原则:)测试结果应与预期结果相符,否则不符合要求;
浙ICP备2021020529号-1 | 浙B2-20240490 
