码迷,mamicode.com
首页 > 其他好文 > 详细

网络设备安全需求规格

时间:2017-04-27 10:31:14      阅读:361      评论:0      收藏:0      [点我收藏+]

标签:lan   数据加密   访问   ssl3.0   加密算法   nbsp   can   数字   ann   

 

Web系统漏洞:提供使用Web安全扫描工具(如AppScan、WebInspect、Acunetix Web Vulnerability Scanner)扫描的报告,扫描报告中不得出现高风险级别的漏洞。

 

禁止绕过系统安全机制的功能: 

2、禁止不可管理的认证/访问方式:包括用户不可管理的帐号,人机接口以及可远程访问的机机接口的硬编码口令,不经认证直接访问系统的接口等。

 

软件完整性:对于涉及软件包分发的物料应提供完整性校验机制(如:数字签名或者哈希值),并提供文档说明验证方法。 

注:CRC不能用于完整性校验

 

协议安全:

1、系统的管理平面和近端维护终端(如LMT)、网管维护终端间,支持使用合适的安全协议如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/SNMPv3等)进行通信。

2、对于不安全协议(如FTP、Telnet),支持关闭,建议缺省关闭。产品资料中应建议用户使用安全协议,如需使用不安全协议,应提示风险。

 

禁止使用私有算法实现加解密。包括但不限于:

2. 使用非密码算法用于加密目的,如用编码的方式(如Base64编码)实现数据加密的目的的伪加密实现。

 

推荐使用的加密算法为 对称加密AES-256和非对称加密SHA-256。

 

ref(hw):网络设备安全需求规格书

 

 

网络设备安全需求规格

标签:lan   数据加密   访问   ssl3.0   加密算法   nbsp   can   数字   ann   

原文地址:http://www.cnblogs.com/liuzc/p/6772446.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!