等保2.0：金融行业网络设备身份鉴别结果记录描述分析 – 作者:知非知非知非

一、前言

2020年11月11日，中国人民银行发布了金融行业进行网络安全等级保护测评的两个核心标准，金融行业网络安全等级保护基本要求和金融行业网络安全等级保护测评指南，并在发布之日起立即开始实施。自此，金融行业正式拥有了本行业的等保2.0测评标准。本人能力有限，仅根据自己的工作经验以及测评指南的内容对本安全层面的测评项进行分析，如有不足，欢迎在评论区指正。

网络设备包括路由器，交换机等数通设备，同时也包括虚拟网络设备。

以下的内容我们按照等保2.0三级通用要求来说明和分析。

二、安全计算环境-身份鉴别-测评指标a

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，应实现身份鉴别信息防窃取和防重用。静态口令应在8位以上，由字母、数字、符号等混合组成并每半年更换口令，不允许新设定的口令与前次旧口令相同。应用系统用户口令应在满足口令复杂度要求的基础上定期更换。（F3）

注：这里可以看到测评指标的后半部分采用加粗的方式描述，而且结尾标明F3。这说明这部分内容是在金融（FINANCE）三级标准中针对通用标准要求中增强的部分。

测评实施包括以下内容：

1)应核查用户在登录时是否采用了身份鉴别措施。

2)应核查用户列表确认用户身份标识是否具有唯一性。

3)应核查用户配置信息是否不存在空口令用户。

4)应核查用户身份鉴别信息是否具有防窃取和防重用措施。

5)应核查除应用系统用户以外的用户静态口令是否满足 8 位以上，由字母、数字、符号混合组

成并每半年更换一次，新设定的口令不允许与前次旧口令相同。

6)应核查应用系统用户口令是否满足 8 位以上，由字母、数字、符号混合组成并定期更换。

单元判定：

如果 1）～6）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。但是对于网络设备仅需要满足 1） 2） 3） 5）这四项。

结果记录描述：

网络设备A采用了用户名和密码对登陆用户进行身份鉴别。（这里也有采用UKEY，CA进行认证，据实描述即可）。网络设备A的用户名具有唯一性。经过核查和验证，网络设备A不存在空口令用户。网络设备A的口令满足满足 8 位以上，由字母、数字、符号混合组成，并在半年内进行更换，且新设定的口令不与前次旧口令相同。

小技巧：结果记录最好按照我的写法进行描述，就是无换行符，这样方便完成后将内容同意粘贴到测评工具当中。

三、安全计算环境-身份鉴别-测评指标b

b）应具有登录失败处理功能，应配置并启用结束会话、限制登录间隔、限制非法登录次 数和当登录连接超时自动退出等相关措施。（F3）

测评实施包括以下内容：

1)应核查是否配置并启用了登录失败处理功能。

2)应核查是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如账

户锁定、限制登录间隔等。

3)应核查是否配置并启用了登录连接超时及自动退出功能。

单元判定：

如果 1）～3）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

说明：

我理解登录失败处理功能主要是为了应对暴力破解攻击以及非授权的访问。这个功能虽然简单，但是对于部署互联网或者外网边界的设备，在设置强口令以及完善的的登录失败处理功能情况下，可以极大概率避免黑客以该设备为突破口，进而入侵整个网络。

结果记录描述：

网络设备A启用了登录失败处理功能，并启用了限制非法登录功能。网络设备A登录错误5次后锁定10分钟或者5分钟后方可登录。网络设备A启用并配置登录连接超时及自动退出功能，超时时间为10分钟。

注意：锁定时间不宜设置太长，因为锁定时间太长，正常的访问也将受限。

四、安全计算环境-身份鉴别-测评指标c

c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

测评实施包括以下内容：

应核查是否采用加密等安全方式对系统进行远程管理，防止鉴别信息在网络传输过程

中被窃听。

单元判定:

如果以上测评实施内容为肯定，则符合本测评单元指标要求，否则不符合本测评单元

指标要求。

说明：

针对网络设备最常见两种远程管理方式为命令行和WEB形式，命令行最常见的管理方式为SSH和TELNET，WEB形式最常见的管理方式为HTTPS和HTTP，其中TELNET和HTTP两种方式鉴别信息在网络传输中明文传输，易被窃听！

结果记录描述：

网络设备A采用HTTPS和SSH进行远程管理,关闭了TELNET远程管理功能和HTTP管理功能，可以保证鉴别信息在网络传输过程的安全。

注意：如果网络设备仅可以通过CONSOLE口和MNG管理口进行本地管理，本条符合。

五、安全计算环境-身份鉴别-测评指标d

d）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份

鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

测评实施包括以下内容：

1)应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技

术对用户身份进行鉴别：

2)应核查其中一种鉴别技术是否使用密码技术来实现。

单元判定：

如果 1）和 2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

注意：采用用户名和密码进行身份鉴别，并不算其中一种鉴别技术是否使用密码技术来实现这条。

结果记录描述：

网络设备A仅可以通过运维审计系统进行管理，登录运维审计系统需要采用用户名，密码以及数字证书对用户身份进行鉴别。

来源：freebuf.com 2021-07-28 08:10:57 by: 知非知非知非