網絡關鍵設備安全檢測實施指南
張治兵 劉欣東
相關主題
商品描述
本書基於網絡關鍵設備通用的安全檢測技術,對路由器、交換機、服務器、可編程邏輯控制器( PLC )設備等網絡關鍵設備的安全檢測方法進行了詳細介紹。主要內容包括安全檢測環境、冗餘、備份恢復與異常檢測、漏洞和惡意程序防範、預裝軟件啟動及更新安全、用戶身份標識與鑒別、訪問控制安全、日誌審計安全、通信安全、數據安全等安全功能的檢測實施指南,以及檢測涉及的儀器儀表、工具軟件等。
本書可為網絡關鍵設備安全檢測機構提供參考,也可作為設備研發、測試等工作的參考書籍。
作者簡介
张治兵,中国信息通信研究院泰尔系统实验室副总工程师,高级工程师。中国信息通信研究院网络安全领域副主席,中国通信标准化协会网络关键设备标准工作组组长,电信终端产业协会(TAF)网络设备技术与安全工作组组长。GB 40050-2021《网络关键设备安全通用要求》起草组专家,牵头编制了多项网络关键设备安全标准。
刘欣东,中国信息通信研究院泰尔系统实验室网络技术部项目经理。长期从事网络安全标准和测试研究工作,在网络设备安全领域具有多年研究经验。牵头编制了多项网络关键设备安全标准。
目錄大綱
第 1章 網絡關鍵設備安全概述 1
第 1節 網絡關鍵設備概念 1
第 2節 網絡關鍵設備安全風險 3
第3節 網絡設備安全法律法規 9
第 2章 網絡關鍵設備安全相關標準 13
第 1節 國家標準 13
第 2節 團體標準 15
第3章 路由器安全功能檢測 17
第 1節 測試環境 17
第 2節 硬件標識安全 18
第3節 軟件標識安全 20
第4節 鑒別提示信息安全 21
第5節 設備冗餘和自動切換功能 22
第6節 熱插拔功能 28
第7節 備份與恢復功能 29
第8節 故障隔離與告警功能 32
第9節 獨立管理接口功能 33
第 10節 漏洞掃描 34
第 11節 惡意程序掃描 36
第 12節 設備功能和訪問接口聲明 37
第 13節 預裝軟件啟動完整性校驗功能 38
第 14節 更新功能 39
第 15節 更新授權功能 40
第 16節 更新操作安全功能 41
第 17節 軟件更新包完整性校驗功能 42
第 18節 更新失敗恢復功能 43
第 19節 網絡更新安全通道功能 43
第 20節 更新過程告知功能 44
第 21節 更新源可用性 45
第 22節 默認開放服務和埠 46
第 23節 開啟非默認開放服務和埠 48
第 24節 大流量攻擊防範能力 49
第 25節 地址解析欺騙攻擊防範能力 50
第 26節 用戶憑證猜解攻擊防範能力 51
第 27節 用戶會話連接限制功能 54
第 28節 Web管理功能安全測試 55
第 29節 SNMP管理功能安全測試 56
第30節 SSH管理功能安全測試 57
第31節 Telnet管理功能安全測試 58
第32節 NETCONF管理功能安全測試 59
第33節 FTP管理功能安全測試 60
第34節 SFTP管理功能安全測試 61
第35節 DHCP管理功能安全測試 62
第36節 身份標識和鑒別功能 63
第37節 口令安全 - 默認口令、口令生存周期 64
第38節 口令安全 - 口令復雜度、口令顯示 65
第39節 會話空閑時間過長防範功能 66
第40節 鑒別失敗處理功能 67
第41節 身份鑒別信息安全保護功能 68
第42節 用戶權限管理功能 69
第43節 訪問控制列表功能 70
第44節 會話過濾功能 71
第45節 日誌記錄和要素 72
第46節 日誌信息本地存儲安全 74
第47節 日誌信息輸出功能 75
第48節 日誌信息斷電保護功能 76
第49節 日誌信息安全保護 77
第50節 管理協議安全 78
第51節 協議健壯性安全 80
第52節 NTP安全 82
第53節 路由通信協議認證功能 84
第54節 協議聲明 85
第55節 重放攻擊防範能力 86
第56節 敏感數據保護功能 87
第57節 數據刪除功能 89
第4章 交換機安全功能檢測 91
第 1節 測試環境 91
第 2節 硬件標識安全 93
第3節 軟件標識安全 94
第4節 鑒別提示信息安全 94
第5節 設備冗餘和自動切換功能 95
第6節 熱插拔功能 97
第7節 備份與恢復功能 98
第8節 故障隔離與告警功能 99
第9節 獨立管理接口功能 100
第 10節 漏洞掃描 101
第 11節 惡意程序掃描 102
第 12節 設備功能和訪問接口聲明 103
第 13節 預裝軟件啟動完整性校驗功能 104
第 14節 更新功能 105
第 15節 更新授權功能 107
第 16節 更新操作安全功能 108
第 17節 軟件更新包完整性校驗功能 110
第 18節 更新失敗恢復功能 111
第 19節 網絡更新安全通道功能 112
第 20節 更新過程告知功能 113
第 21節 更新源可用性 114
第 22節 默認開放服務和埠 115
第 23節 開啟非默認開放服務和埠 117
第 24節 大流量攻擊防範能力 117
第 25節 地址解析欺騙攻擊防範能力 118
第 26節 廣播風暴攻擊防範能力 119
第 27節 用戶憑證猜解攻擊防範能力 121
第 28節 用戶會話連接限制功能 121
第 29節 Web管理功能安全測試 122
第30節 SNMP管理功能安全測試 123
第31節 SSH管理功能安全測試 124
第32節 Telnet管理功能安全測試 125
第33節 RestAPI管理功能安全測試 126
第34節 NETCONF管理功能安全測試 128
第35節 FTP管理功能安全測試 129
第36節 SFTP管理功能安全測試 130
第37節 身份標識和鑒別功能 131
第38節 口令安全 - 默認口令、口令生存周期 133
第39節 口令安全 - 口令復雜度、口令顯示 135
第40節 會話空閑時間過長防範功能 137
第41節 鑒別失敗處理功能 138
第42節 身份鑒別信息安全保護功能 139
第43節 用戶權限管理功能 140
第44節 訪問控制列表功能 142
第45節 會話過濾功能 144
第46節 日誌記錄和要素 145
第47節 日誌信息本地存儲安全 148
第48節 日誌信息輸出功能 149
第49節 日誌信息斷電保護功能 150
第50節 日誌信息安全保護 151
第51節 管理協議安全 153
第52節 協議健壯性安全 154
第53節 NTP安全 156
第54節 路由通信協議認證功能 157
第55節 TRILL協議認證功能 158
第56節 協議聲明 159
第57節 重放攻擊防範能力 159
第58節 敏感數據保護功能 160
第59節 數據刪除功能 161
第5章 服務器安全功能檢測 163
第 1節 硬件標識安全 163
第 2節 軟件標識安全 164
第3節 設備冗餘和自動切換功能 165
第4節 備份與恢復功能 169
第5節 異常狀態識別與提示功能 173
第6節 漏洞掃描 174
第7節 惡意程序掃描 175
第8節 設備功能和訪問接口聲明 176
第9節 預裝軟件啟動完整性校驗功能 177
第 10節 更新功能 178
第 11節 更新操作安全功能 180
第 12節 軟件更新防篡改功能 181
第 13節 更新過程告知功能 182
第 14節 身份標識和鑒別功能 183
第 15節 口令安全 - 默認口令、口令生存周期 185
第 16節 口令安全 - 口令復雜度、口令顯示 187
第 17節 用戶鑒別信息猜解攻擊防範功能 189
第 18節 會話空閑時間過長防範功能 190
第 19節 身份鑒別信息安全保護功能 191
第 20節 默認開放服務和埠 194
第 21節 開啟非默認開放服務和埠 195
第 22節 受控資源訪問控制功能 196
第 23節 用戶權限管理功能 198
第 24節 日誌記錄和要素 201
第 25節 日誌信息本地存儲安全 203
第 26節 日誌信息輸出功能 206
第 27節 日誌信息安全保護 208
第 28節 管理協議安全 210
第 29節 協議健壯性安全 212
第30節 時間同步功能 213
第31節 協議聲明 215
第32節 重放攻擊防範能力 215
第33節 敏感數據保護功能 216
第34節 數據刪除功能 219
第6章 可編程邏輯控制器(PLC)設備安全功能檢測 222
第 1節 硬件標識安全 222
第 2節 軟件標識安全 223
第3節 設備冗餘和自動切換功能 224
第4節 備份與恢復功能 227
第5節 異常狀態識別與提示功能 229
第6節 漏洞掃描 230
第7節 惡意程序掃描 231
第8節 設備功能和訪問接口聲明 232
第9節 預裝軟件啟動完整性校驗功能 233
第 10節 更新功能 234
第 11節 更新操作安全功能 235
第 12節 軟件更新防篡改功能 237
第 13節 更新過程告知功能 238
第 14節 身份標識和鑒別功能 240
第 15節 口令安全 - 默認口令、口令生存周期 241
第 16節 口令安全 - 口令復雜度、口令顯示 242
第 17節 用戶鑒別信息猜解攻擊防範功能 244
第 18節 會話空閑時間過長防範功能 246
第 19節 身份鑒別信息安全保護功能 247
第 20節 默認開放服務和埠 249
第 21節 開啟非默認開放服務和埠 250
第 22節 受控資源訪問控制功能 251
第 23節 用戶權限管理功能 253
第 24節 日誌記錄和要素 256
第 25節 日誌信息本地存儲安全 258
第 26節 日誌信息輸出功能 260
第 27節 日誌信息安全保護 262
第 28節 管理協議安全 264
第 29節 協議健壯性安全 265
第30節 時間同步功能 267
第31節 協議聲明 269
第32節 重放攻擊防範能力 270
第33節 敏感數據保護功能 272
第34節 數據刪除功能 273
第7章 安全保障測評 276
第 1節 設計和開發環節風險識別 276
第 2節 設備安全設計和開發操作規程 277
第3節 配置管理及變更 277
第4節 惡意程序防範 278
第5節 設備安全測試 279
第6節 安全缺陷與漏洞的修復和補救 280
第7節 生產和交付環節風險識別 281
第8節 完整性檢測 282
第9節 指導性文檔 283
第 10節 默認埠號與網絡服務映射關系 284
第 11節 私有協議 285
第 12節 設備交付前的安全漏洞補救措施 286
第 13節 運行和維護環節風險識別 287
第 14節 安全事件的應急響應 288
第 15節 設備交付後的安全漏洞補救措施 289
第 16節 遠程維護 290
第 17節 補丁包/升級包的完整性、來源真實性驗證 291
第 18節 銷毀處理 292
第 19節 安全維護要求 293
第 20節 生命周期終止要求 294
第8章 典型檢測工具介紹 296
第 1節 數據網絡測試儀 - SPT-C1 296
第 2節 漏洞測試工具 - NESSUS 299
第3節 健壯性測試工具 - Defensics 301
第4節 埠掃描測試工具 - NMAP 305
附 錄 308
第 1節 GB40050-2021《網絡關鍵設備安全通用要求》主要技術內容 308
第 2節 GB41267-2022《網絡關鍵設備安全技術要求交換機設備》主要技術內容 315
第3節 GB41269-2022《網絡關鍵設備安全技術要求路由器設備主要技術內容 322
參考文獻 329