Web系统漏洞:提供使用Web安全扫描工具(如AppScan、WebInspect、Acunetix Web Vulnerability Scanner)扫描的报告,扫描报告中不得出现高风险级别的漏洞。
禁止绕过系统安全机制的功能:
2、禁止不可管理的认证/访问方式:包括用户不可管理的帐号,人机接口以及可远程访问的机机接口的硬编码口令,不经认证直接访问系统的接口等。
软件完整性:对于涉及软件包分发的物料应提供完整性校验机制(如:数字签名或者哈希值),并提供文档说明验证方法。
注:CRC不能用于完整性校验。
协议安全:
1、系统的管理平面和近端维护终端(如LMT)、网管维护终端间,支持使用合适的安全协议(如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/SNMPv3等)进行通信。
2、对于不安全协议(如FTP、Telnet),支持关闭,建议缺省关闭。产品资料中应建议用户使用安全协议,如需使用不安全协议,应提示风险。
禁止使用私有算法实现加解密。包括但不限于:
2. 使用非密码算法用于加密目的,如用编码的方式(如Base64编码)实现数据加密的目的的伪加密实现。
推荐使用的加密算法为 对称加密AES-256和非对称加密SHA-256。
ref(hw):网络设备安全需求规格书