网络设备安全需求规格

Posted 2020-09-14 cleverlzc

 

Web系统漏洞：提供使用Web安全扫描工具（如AppScan、WebInspect、Acunetix Web Vulnerability Scanner）扫描的报告，扫描报告中不得出现高风险级别的漏洞。

 

禁止绕过系统安全机制的功能： 

2、禁止不可管理的认证/访问方式：包括用户不可管理的帐号，人机接口以及可远程访问的机机接口的硬编码口令，不经认证直接访问系统的接口等。

 

软件完整性：对于涉及软件包分发的物料应提供完整性校验机制（如：数字签名或者哈希值），并提供文档说明验证方法。 

注：CRC不能用于完整性校验。

 

协议安全：

1、系统的管理平面和近端维护终端（如LMT）、网管维护终端间，支持使用合适的安全协议（如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/SNMPv3等）进行通信。

2、对于不安全协议（如FTP、Telnet），支持关闭，建议缺省关闭。产品资料中应建议用户使用安全协议，如需使用不安全协议，应提示风险。

 

禁止使用私有算法实现加解密。包括但不限于：

2. 使用非密码算法用于加密目的，如用编码的方式（如Base64编码）实现数据加密的目的的伪加密实现。

 

推荐使用的加密算法为 对称加密AES-256和非对称加密SHA-256。

 

ref(hw):网络设备安全需求规格书