一、前言

随着社会的进步和科技的发展，新技术、新业务下的产品与服务不断创新与升级，云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用，使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求，并且以“勒索病毒”为代表的新型攻击席卷全球，使传统安全防护手段已经难以有效保护网络空间安全，网络安全保护体系需要全面升级，以便配合《网络安全法》的实施，下面结合我多年的等保测评经验，为大家解读等保测评2.0的相关内容。

二、测评项

a）应对登录的用户分配账户和权限；

b)应重命名或删除默认账户，修改默认账户的默认口令；

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；

d)应授予管理用户所需的最小权限，实现管理用户的权限分离；

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

三、测评项a

a）应对登录的用户分配账户和权限；

输入display current-configuration（可简写为dis cu)命令，如下图所示：

华为

华三

查看有哪些用户，如图所示华为路由器只有一个admin用户，肯定不符合要求，华三路由器有ABC、audadmin、secadmin和super四个用户，询问管理员这四个用户的用途和权限划分。

补充知识或注意事项：

1、level-0: 可执行命令ping、tracert、ssh2、telne和super，且管理员可以为其配置权限。

2、level-1: 具有leve-0用户角色的权限，并且可执行系统所有功能和资源的相关display命令(除display historv-command al之外)，以及管理员可以为其配置权限。

3、level-2 ~level-8和level-10 ~level-14: 无缺省权限，需要管理员为其配置权限。

4、level-9: 可操作系统中绝大多数的功能和所有的资源，且管理员可以为其配置权限，但不能操display history-command all命令RBAC的命令(Debug命令除外)、文件管理、设备管理以及本地用户特性。对于本地用户，若用户登录系统并被授予该角色，可以修改自己的密码。

5、level-15: 具有与network-admin角色相同的权限。

四、测评项b

b)应重命名或删除默认账户，修改默认账户的默认口令；

还是查看以上两张图片，华为路由器admin账户是默认的账户，我没有查到修改方法，应该不可以修改，但是可以修改密码，使用默认密码登录查看是否成功；

华三路由器默认用户也是admin，已经修改名称，使用默认密码登录查看是否成功。

五. 测评项c

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；

输入命令display local-user，查看用户信息，如下图所示：

华为

State参数为A，表示active，账户为可用状态。

华三

华三路由器的配置类似，也是State参数为Active表示用户为可用状态。

是否存在共享账户，只能询问管理员，一般都会给与否定的回答，但是如果是类似华为路由器只有一个admin用户，大概率是共享的。

六. 测评项d

d)应授予管理用户所需的最小权限，实现管理用户的权限分离；

根据以上查询到的信息，华为路由器只存在一个admin用户，拥有所有权限，肯定不符合管理用户权限分离的要求；

华三路由器设置了不同的用户，且给与了不同用户不同的权限，实现了管理用户的权限分离，至于是否是最小权限，可以根据划分规则登录不同账户验证。

七. 测评项e、f、g

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

此三项不适用，条款主要针对主机和数据库的测评，网络设备主要用户为运维管理人员，无其他用户。

结束语

以上就是等保测评2.0解读——路由器访问控制的所有内容，希望对大家有所帮助。

原文始发于微信公众号（安全帮）：一项一项教你测等保2.0——路由器访问控制