控制点及安全要求要求解读

身份鉴别

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

一般来说，用户登录路由器的方式包话:利用控制台端口(Console)通过串口进行本地登录连接。利用辅助端口(AUX)通过Modem进行远程拨号连接登录或者利用虚拟终端（VTY）通过TCP/IP网络进行TelnetT登录等。无论是哪一种登录方式，都需要对用户身份进行鉴别，口令是路由器用来防止非受权访问的常用手段，是路由器本身安全的一部分，因此需要加强对路由器口令的管理,包括口令的设置和存储，最好的口令存储方法是保存在TACACS+或RADIUS认证服务器上。管理员应当依据需要为路由器相应的端口加上身份签别最基本的安全控制。

  路由器不允许配置用户名相同的用户，同时要防止多人共用一个账户，实行分账户管理，每名管理员设置一个单独的账户，避免出现问题后不能及时进行追查。

  为避免身份鉴别信息被冒用，可以通过采用今牌、认证服务器等措施，加强身份鉴别信息的保护。如果仅仅基于口令的身份鉴别，应当保证口令复杂度和定期更改的要求。

  使用“service password-encryption"命令对存储在配置文件中的所有口令和类似数据进行加密，避免通过读取配置文件而获取口令的明文

 b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

可以通过配置结束会话、限制管理员的最大登录失败次数、网络连接超时自动退出等多种措施实现登录失败处理功能。例如，可以利用“exec-timeout"命令.配置VTY的超时。避免一个空闲的任务一直占用VTY，从而避免恶意的攻击或远端系统的意外崩溃导致的资源独占。设置管理员最大登录失败次数，一旦该管理员的登录失败次数超过设定数值，系统将对其进行登录锁定，从而防止非法用户通过暴力破解的方式登录到路由器

 c)当进行远程管理时，应采取必要措施、防止鉴别信息在网络传输过程中被窃听

当对网络设备进行远程管理时，为避免口令传输过程中别窃取，不应当使用明文传送的Telnet服务，而应当采用SSH、ITTPS等加密协议等方式进行交互式管理

 d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

采用双因子鉴别是防止欺骗的有效方法，双因子鉴别不仅要求访问者知道一些鉴别信息，还需要访问者拥有鉴别特征，例如采用令牌、智能卡等

访问控制

a)应对登录的用户分配账户和权限

为了确保交换机的安全，需要对登录的用户分配账户，并合理配置账户权限。例如，相关管理人员具有与职位相对应的账户和权限

 b)应重命名或删除默认账户，修改默认账户的默认口令

对于路由器的默认账户，由于他们的某些权限与实际要求可能存在差异，从而造成安全隐患，因此这些默认账户应被禁用，并且应不存在默认账户admin及默认口令

 c)应及时删除或停用多余的、过期的账户，避免共享账户的存在

路由器中如果存在多余的、过期的账户，可能会被攻击者利用其进行非法操作的风险，因此应及时清理路由器中的账户，删除或停用多余的账户

 d)应授予管理用户所需的最小权限，实现管理用户的权限分离

根据管理用户的角色对权限进行细致的划分，有利于各岗位细致协调工作，同时仅授予管理用户所需的最小权限，避免出现权限的漏洞使得一些高级用户拥有过大的权限。例如，进行角色划分，分为网络管理员、安全管理员、系统管理员三个角色，并设置对应的权限

 d)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则

访问控制策略由授权主体进行配置，它规定了主体可以对客体进行的操作，访问控制粒度要求主体为用户级或进程级，客体为文件、数据库表级

 e)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级

访问控制策略由授权主体进行配置，它规定了主体可以对客体进行的操作、访问控制粒度要求主体为用户级或进程级，客体为文件、数据库表统，

 f)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问

敏感标记是强制访问控制的依据，主客体都有,它存在的形式无所谓，可能是整形的数字，也可能是字母，总之它表示主客体的安全级别。敏感标记由安全管理员进行设置，通过对重要信息资源设置敏感标记，决定主体以何种权限对客体进行操作，实现强制访问控制。

安全审计

a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录，需要启用系统日志功能。系统日志中的每个信息都被分配了一个严重级别，并伴随一些指示性问题或事件的描述信息。

  交换机的系统日志信息通常输出至各种管理端口、内部缓存或者日志服务器,在缺省情况下，控制台端口上的日志功能处于启用状态

 b)审计记录应包括事件的日期和时间，用户、事件类型，事件是否成功及其他与审计相关的信息对于交换机设备，日志审计内容需要记录时间、类型、用户、事件类型、事件是否成功等相关信息

 c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等审计记录能修帮助管理人员及时发现系统运行状况和网络攻击行为，因此需要对审计记录实施技术上和管理上的保护，历正未授权修改、删除和破坏

  保护好审计进程，当安全事件发生时能够及时记录事件发生的详细内容,非审计员的其他账户不能中断审计进程

 d)应对审计进程进行保护，防止未经授权的中断 

入侵防范

a)应遵循最小安装的原则仅安装需要的组件和应用程序

遵循最小安装原则，仅安装需要的组件和应用程序，能够极大的降低遭受攻击的可能性。及时更新系统补丁，避免遭受由于系统漏洞带来的风险

 b)应关闭不需要的系统服务、默认共享和高危端口

关闭不需要的系统服务、默认共享和高危端口，可以有效降低系统遭受攻击的可能性

 c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

为了保证安全，需要对通过VTY访问网络设备的登录地址进行限制，避免未授权的访问，可以利用ip access-class 限制访问VTY的IP地址范围。同时，由于VTYs的数目有一定的限制，当所有的VTYs用完，就不能再建立远程的网络连接了。这就有可能被利用进行Dos (拒绝服务攻击)

 d)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求

本条款要求应用系统应对数据的有效性进行验证，主要验证那些通过人机接口(如程序的界面)输入或通过通信接口输入的数据格式或长度是否符合系统设定要求，防止个别用户输入畸形数据而导致系统出错(如SQL 注入攻击等) ,人而影响系统的正常使用甚至危害系统的安全

 e) 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞

核查漏扫修补报告，管理员定期进行漏洞扫描。发现漏洞在经过充分测试评估后及时修补漏洞

 h)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警

要维护系统安全，必须进行主动监视，一般是在网络边界、 核心等重要节点处部署IDS. IPS等系统，或在防火墙、UTM房用入侵检测功能，以检查息是否发生了入侵和攻击

恶意代码防范

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断

无论是Windows主机还是Linux主机，都面临木马、蠕虫等病毒的破坏。因此一般的主机为防范病毒，均会安装反病毒软件，或者采用可信验证机制对系统程序、应用程序等进行可信执行验证

可信验证

可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心

设备应作为通信设备或边界设备对待