setauthenticationpasswordciper******
2)radiusschemeradius1
primaryauthentication10.1.1.1primaryaccounting10.1.1.2
b)登录地址限制；
检查：输入命令displaycurrent-configuration
序号
测评指标
测评项
检查方法
预期结果
3
网络设备防护(G3)
a)登录用户身份鉴别；
检查：输入命令displaycurrent-configuration
1)查看配置文件，是否存在类似如下登录口令设置：
user-interfacevty04userprivilegelevel3
setauthenticationpasswordciper******
f)具有登录失败处理功能；
检查：输入命令displaycurrent-configuration
检查配置文件中是否存在类似如下配置项：
user-interfacevty04idle-timeout50
存在类似如下配置：
user-interfacevty04idle-timeout50
序号
测评指标
测评项
使用了异地备份功能。
c)冗余的网络拓扑结构；
检查：查看网络拓扑结构，看是否采用了冗余技术来避免关键节点存在单点故障。
拓扑结构冗余。
d)提供硬件冗余。
检查：查看主要交换机是否有硬件冗余。
设备硬件冗余。
local-useruser1level1
local-useruser2level3
4
备份和恢复(A3)
a)提供本地数据备份与恢复；
访谈：访谈设备配置文件备份策略。检查：是否定期备份配置文件和设备软件。
定期备份配置文件和设备软件。
b)提供异地数据备份功能；
访谈：现场访谈并查看用户是否采用了异地备份。
访谈：询问网络管理员使用口令的组成、长度和更改周期等。检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：
passwordcipherWE!$@JG]OQ=^Q`MAF4<1!!
口令组成满足复杂性和长度要求并定期更新；密码密文显示，举例如下：
passwordcipherWE!$@JG]OQ=^Q`MAF4<1!!
2)如果设备启用了AAA认证，查看配置文件中是否存在类似如下配置项：
radiusschemeradius1
primaryauthentication10.1.1.1primaryaccounting10.1.1.2
存在类似如下配置：
1)user-interfacevty04userprivilegelevel3
信way S3500）
杭州辰龙检测技术有限公司
2013.12
序号
测评指标
测评项
检查方法
预期结果
1
安全审计
(G3)
a)对网络设备进行日志记录；
检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：logging-hostx.x.x.x
level1
local-useruser2
passwordcipherO`WE!$@JG]OQ=^Q`MAF4<1!!
level3
d)两种或两种以上身份鉴别技术；
访谈：访谈采用了何种鉴别技术实现双因子鉴别，并在网络管理员的配合下验证双因子鉴别的有效性。
两种认证方式同时作用鉴别身份。
e)身份鉴别信息复杂；
查看配置文件里是否存在类似如下配置项：
user-interfacevty04acl2000inbound
存在类似如下配置：
user-interfacevty04acl2000inbound
c)用户标识唯一；
检查：输入命令displaycurrent-configuration
检查配置文件是否存在类似如下配置项：
aclnametestbasic
rule1denysourcex.x.x.xpacket-filterip-grouptest
存在类似如下配置：
aclnametestbasic
rule1denysourcex.x.x.xpacket-filterip-grouptest
c)限制网络最大流量数；
访谈：询问网络管理员，根据网络现状是否需要限制网络最大流量。
有专用的带宽管理设备来实现网络流量的控制或有相关QOS
配置
d)重要网段防止地址欺骗；
检查：输入命令displaycurrent-configuration
检查配置文件中是否存在类似如下配置项：
arpstatic10.0.0.10000.e268.9980
存在类似如下配置：
arpstatic10.0.0.10000.e268.9980
aclnametestbasic
rule1denysourcex.x.x.x
存在类似如下配置：
aclnametestbasic
rule1denysourcex.x.x.x
b)提供访问控制能力；
检查：输入命令displaycurrent-configuration
检查配置文件中是否存在类似如下配置项：
检查方法
预期结果
g)安全的远程管理方法；
访谈：询问是否采用安全的远程管理方法。检查：输入命令displaycurrent-configuration查看配置文件中是否存在类似如下配置项:
user-interfacevty04protocolinboundssh
使用SSH或SSL等安全的远程管理方法，存在类似如下配置：
存在类似如下配置：
logging-hostx.x.x.x
b)审计记录内容
检查：查看是否启用了审计功能
生成日志记录的报表。
c)分析记录数据，生成审计报表；
访谈：访谈并查看如何实现审计记录数据的分析和报表生成。
启用了日志功能。
c)保护审计记录。
访谈：访谈是否避免了审计日志的未授权修改、删除和破坏。检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：
logging-hostx.x.x.x
有专门的日志服务器存放日志，对这台服务器的访问需经过授权。
2
访问控制
(G3)
a)启用访问控制功能；
检查：检查网络拓扑结构和相关交换机配置，查看是否在交换机上启用了访问控制功能。
输入命令displaycurrent-configuration
检查配置文件中是否存在以下类似配置项：
user-interfacevty04protocolinboundssh
h)特权用户权限分离。
检查：输入命令displaycurrent-configuration
检查配置文件中是否存在类似如下配置项：
local-useruser1level1
local-useruser2level3
存在多个不同权限用户，做到权限分离，如下配置：
local-useruser1
passwordcipherO`WE!$@JG]OQ=^Q`MAF4<1!!
level1
local-useruser2
passwordcipherO`WE!$@JG]OQ=^Q`MAF4<1!!
level3
存在类似如下配置：
local-useruser1
passwordcipherO`WE!$@JG]OQ=^Q`MAF4<1!!