首页 > 代码库 > 网络设备安全需求规格
网络设备安全需求规格
Web系统漏洞:提供使用Web安全扫描工具(如AppScan、WebInspect、Acunetix Web Vulnerability Scanner)扫描的报告,扫描报告中不得出现高风险级别的漏洞。
禁止绕过系统安全机制的功能:
2、禁止不可管理的认证/访问方式:包括用户不可管理的帐号,人机接口以及可远程访问的机机接口的硬编码口令,不经认证直接访问系统的接口等。
软件完整性:对于涉及软件包分发的物料应提供完整性校验机制(如:数字签名或者哈希值),并提供文档说明验证方法。
注:CRC不能用于完整性校验。
协议安全:
1、系统的管理平面和近端维护终端(如LMT)、网管维护终端间,支持使用合适的安全协议(如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/SNMPv3等)进行通信。
2、对于不安全协议(如FTP、Telnet),支持关闭,建议缺省关闭。产品资料中应建议用户使用安全协议,如需使用不安全协议,应提示风险。
禁止使用私有算法实现加解密。包括但不限于:
2. 使用非密码算法用于加密目的,如用编码的方式(如Base64编码)实现数据加密的目的的伪加密实现。
推荐使用的加密算法为 对称加密AES-256和非对称加密SHA-256。
ref(hw):网络设备安全需求规格书
网络设备安全需求规格
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。