6.3 網絡通信設備安全技術要求

6.3.1 身份鑒別

6.3.1.1 基本要求

基本要求包括：

a) 應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并

b) 應具有登錄失敗處理功能，采取結束會話、限制非法登錄次數等措施；

c) 當進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽。

6.3.1.2 增強要求

應采用兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別。

6.3.2 訪問控制

6.3.2.1 基本要求

基本要求包括：

a) 應對登錄的用戶分配賬號和權限；

b) 應刪除默認賬號或修改默認賬號的默認口令；

c) 應及時刪除或停用多余的、過期的賬號，避免存在共享賬號；

d) 應授予管理用戶所需的最小權限，實現管理用戶的權限分離。

6.3.2.2 增強要求

應進行角色劃分，遵循職責分離原則，根據用戶的角色僅授予用戶所需的最小權限。

6.3.3 安全審計

6.3.3.1 基本要求

基本要求包括：

a) 應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；

b) 審計記錄應包括但不限于事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相

c) 應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。

6.3.3.2 增強要求

應能夠對時鐘同步頻率進行配置，按照設定的頻率進行系統時鐘同步。