当客户需要通过等级保护测评时,可参考如下表格内容对设备进行配置检查,以协助客户通过等级保护测评。
注意:
1、如下的配置检查,为涉及到产品本身的配置检查项,其他检查项仍需要根据等级保护测评要求进行;
2、红色字体标注的控制项为一票否决项,即该项不满足,则测评无法通过;
| 技术领域 | 控制项 | 控制点 | 解释说明举例 | 支持情况与检查内容 | 配置方法与不支持原因说明 |
| 安全通信网络 | 网络架构 | 保证网络设备的业务处理能力满足业务高峰期需要。 | 设备性能需要提供冗余,以保证业务的可用性。 | 巡检工作中,需巡检设备关键参数(CPU、内存、存储及带宽)的冗余情况,建议保证使用率<最大性能的70%。 | 系统资源(包括CPU、内存)最大使用率不可超过70%,查看方式:系统参数--系统--系统监控 |
| 安全区域边界 | 边界防护 | 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信 | 设备是否shutdown了无用端口; | 版本不支持。 | OAS是旁路审计产品,目前产品不支持,默认是端口即开启状态。 |
| 安全区域边界 | 访问控制 | 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信 | 设备是否启用了访问控制规则,且默认拒绝所有未允许的通信流量 | 版本不支持。 | OAS是旁路审计产品,目前产品不支持 |
| 安全区域边界 | 访问控制 | 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出 | 指定ACL策略时,等级保护三级要求限定到端口级、等保二级要求设定至网段级别 | 场景不涉及。 | OAS是旁路审计产品,目前产品不支持。 |
| 安全区域边界 | 访问控制 | 应对进出网络的数据流实现校验应用协议和应用内容的访问控制 | 应用层安全设备是否启用了协议识别、并对协议中的内容进行放行、阻断等操作 | 场景不涉及。 | OAS是旁路审计产品,目前产品不支持 |
| 安全区域边界 | 入侵防范 | 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为 | 对于流经设备的网络攻击流量进行检测并处置 | 版本不支持。 | OAS是旁路审计产品,目前产品不支持 |
| 安全计算环境 | 身份鉴别 | 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 | 要求设备不允许有重复的用户名、不允许存在空口令 | 1)检查设备所有账号的用户名是否重复; 2)检查设备所有账号是否有存在空口令、常见弱口令的情况 |
设备默认必须设置面复杂度,大小写,数字和英文 |
| 安全计算环境 | 身份鉴别 | 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时时自动退出等相关措施 | 要求配置登录失败处理功能。如: 1)一定时间内连续输入错误密码5次锁定账号; 2)登录后无操作5分钟,则退出系统或锁定会话。 |
OAS默认密码规则:密码输入错误3次后锁定60秒。 |
可修改锁定时间,设置方法:基础配置--口令策略 |
| 安全计算环境 | 访问控制 | 应对登录的用户分配账号和权限 | 要求系统中至少包含三个权限的账号,分别是用户管理员、配置管理员、审计管理员。 | 设备默认只有超级管理员用户,且不能删除。可以通过管理员账户新建用户管理员、配置管理员、审计管理员 | 新建权限账号配置方法:组织结构--角色(需新建一个账号) |
| 安全计算环境 | 访问控制 | 应重命名或删除默认账户、修改默认账号口令 | 要求修改或禁用默认账号的用户名,并修改默认账号 | 1)检查是否还存在默认账户; 2)检查默认账户的密码是否为初始密码。 |
对于设备默认账户修改默认密码,密码修改,系统强制在第一次登录时修改,或参考如下章节配置: 首页--自维护; |
| 安全计算环境 | 安全审计 | 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 | 日志记录需完整,包括流量日志、事件日志、设备操作日志等。 | OAS本地支持管理日志和行为日志 | 设备默认记录系统日志和配置管理日志;查看方法:审计报表 |
| 安全管理中心 | 系统管理 | 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计 | 要求设备的所有管理行为,均通过特定的通道及界面进行操作。 | 检查是否配置了管理主机,并且仅允许管理主机进行管理。 | 对设备账户设置管理员登录主机限制,配置方法参考如下章节: 安全策略--用户访问 |
| 安全管理中心 | 系统管理 | 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理 | 要求使用安全的方式对安全设备进行管理 | 默认支持https、ssh。 | 管理方式不支持修改 |
| 安全管理中心 | 集中管控 | 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; | 要求日志留存时间>180天 | 内置1T硬盘,如果没有极端情况,可以满足180天的日志存储需求 | 1、设备出厂内置1T硬件,可针对场景日志存储大小评估是否可以满足180天; 2、如果本地硬盘不满足,可通过配置syslog服务器,配置方法: admin账户登陆 系统参数--SYSLOG配置 |
| 安全管理中心 | 集中管控 | 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理 | 要求保证对病毒库、规则库等进行自动更新或定期更新 | 不涉及 | 本产品无升级更新服务 |