一、前言
随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多年的等保测评经验,为大家解读等保测评2.0的相关内容。
二、测评项
a)应对登录的用户分配账户和权限;
b)应重命名或删除默认账户,修改默认账户的默认口令;
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
三、测评项a
a)应对登录的用户分配账户和权限;
输入display current-configuration(可简写为dis cu)命令,如下图所示:
华为
华三
查看有哪些用户,如图所示华为路由器只有一个admin用户,肯定不符合要求,华三路由器有ABC、audadmin、secadmin和super四个用户,询问管理员这四个用户的用途和权限划分。
补充知识或注意事项:
1、level-0: 可执行命令ping、tracert、ssh2、telne和super,且管理员可以为其配置权限。
2、level-1: 具有leve-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除display historv-command al之外),以及管理员可以为其配置权限。
3、level-2 ~level-8和level-10 ~level-14: 无缺省权限,需要管理员为其配置权限。
4、level-9: 可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操display history-command all命令RBAC的命令(Debug命令除外)、文件管理、设备管理以及本地用户特性。对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码。
5、level-15: 具有与network-admin角色相同的权限。
四、测评项b
b)应重命名或删除默认账户,修改默认账户的默认口令;
还是查看以上两张图片,华为路由器admin账户是默认的账户,我没有查到修改方法,应该不可以修改,但是可以修改密码,使用默认密码登录查看是否成功;
华三路由器默认用户也是admin,已经修改名称,使用默认密码登录查看是否成功。
五. 测评项c
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
输入命令display local-user,查看用户信息,如下图所示:
华为
State参数为A,表示active,账户为可用状态。
华三
华三路由器的配置类似,也是State参数为Active表示用户为可用状态。
是否存在共享账户,只能询问管理员,一般都会给与否定的回答,但是如果是类似华为路由器只有一个admin用户,大概率是共享的。
六. 测评项d
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
根据以上查询到的信息,华为路由器只存在一个admin用户,拥有所有权限,肯定不符合管理用户权限分离的要求;
华三路由器设置了不同的用户,且给与了不同用户不同的权限,实现了管理用户的权限分离,至于是否是最小权限,可以根据划分规则登录不同账户验证。
七. 测评项e、f、g
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
此三项不适用,条款主要针对主机和数据库的测评,网络设备主要用户为运维管理人员,无其他用户。
结束语
以上就是等保测评2.0解读——路由器访问控制的所有内容,希望对大家有所帮助。
原文始发于微信公众号(安全帮):一项一项教你测等保2.0——路由器访问控制
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论