收藏
下载资源

网络设备安全基线技术规范

上传人:n**** 文档编号:37506686 上传时间:2018-04-17 格式:DOC 页数:124 大小:2.76MB
返回 下载 相关 举报
网络设备安全基线技术规范_第1页
第1页 / 共124页
网络设备安全基线技术规范_第2页
第2页 / 共124页
网络设备安全基线技术规范_第3页
第3页 / 共124页
网络设备安全基线技术规范_第4页
第4页 / 共124页
网络设备安全基线技术规范_第5页
第5页 / 共124页
点击查看更多>>
资源描述

《网络设备安全基线技术规范》由会员分享,可在线阅读,更多相关《网络设备安全基线技术规范(124页珍藏版)》请在金锄头文库上搜索。

1、1安全基线技术要求安全基线技术要求1.11.1网络设备网络设备1.1.11.1.1网络通用安全基线技术要求网络通用安全基线技术要求1.1.1.11.1.1.1 网络设备防护网络设备防护基线名称基线名称安全设备的用户进行身份鉴别。基线编号基线编号IB-WLSB-01-01基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求设备通过相关参数配置,通过与认证服务器(RADIUS 或 TACACS 服务器)联动的方式实现对用户的认证,满足账号、口令和授权的要求,对登录设备的用户进行身份鉴别。备注备注基线名称基线名称网络设备用户的标识唯一。基

2、线编号基线编号IB-WLSB-01-02基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求网络设备用户的标识应唯一;禁止多个人员共用一个账号。备注备注基线名称基线名称身份鉴别信息应具有复杂度要求并定期更换。基线编号基线编号IB-WLSB-01-03基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求应修改控制中心登录的默认账户和密码,密码长度应不小于 8,密码应由字母、数字、特殊符号中的至少 2 种组成。备注备注基线名称基线名称登录失败处理。基线编号基线编号IB-WLS

3、B-01-04基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘2基线要求基线要求应为设备配置用户连续认证失败次数上限,当用户连续认证失败次数超过上限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号重新认证。备注备注基线名称基线名称清除无关的账号。基线编号基线编号IB-WLSB-01-05基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求应删除与设备运行、维护等工作无关的账号。备注备注基线名称基线名称配置 console 口密码保护基线编号基线编号IB-WLSB-01-

4、06基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求对于具备 console 口的设备,应配置 console 口密码保护功能。备注备注基线名称基线名称按照用户分配账号基线编号基线编号IB-WLSB-01-07基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。备注备注基线名称基线名称配置使用 SSH基线编号基线编号IB-WLSB-01-08基线类型基线类型强制要求适用范围适用范围等保

5、一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求对于使用 IP 协议进行远程维护的设备,设备应配置使用 SSH 等加密协议。备注备注3基线名称基线名称对用户进行分级权限控制基线编号基线编号IB-WLSB-01-09基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求原则上应采用预定义级别的授权方法,实现对不同用户权限的控制。备注备注基线名称基线名称配置访问 IP 地址限制基线编号基线编号IB-WLSB-01-10基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基

6、线要求基线要求应对发起 SNMP 访问的源 IP 地址进行限制,并对设备接收端口进行限制。备注备注基线名称基线名称授权粒度控制基线编号基线编号IB-WLSB-01-11基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求原则上应采用对命令组或命令进行授权的方法,实现对用户权限细粒度的控制的能力。备注备注基线名称基线名称按最小权限方法分配帐号权限基线编号基线编号IB-WLSB-01-12基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求在设备权限配置能力内,根据用户的业务

7、需要,配置其所需的最小权限。备注备注基线名称基线名称配置定时账户自动登出基线编号基线编号IB-WLSB-01-13基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求对于具备字符交互界面的设备,应配置定时账户自动登出。4备注备注基线名称基线名称限制 NTP 通信地址范围基线编号基线编号IB-WLSB-01-14基线类型基线类型可选要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求通过 ACL 对 NTP 服务器与设备间的通信进行控制。备注备注基线名称基线名称启用 NTP 服务基线编号基线编

8、号IB-WLSB-01-15基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求应开启 NTP,保证设备日志记录时间的准确性。备注备注基线名称基线名称配置会话超时基线编号基线编号IB-WLSB-01-16基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求对于具备字符交互界面的设备,应配置定时账户自动登出。备注备注基线名称基线名称配置屏幕自动锁定基线编号基线编号IB-WLSB-01-17基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密)

9、 涉核心商秘基线要求基线要求对于具备图形界面(含 WEB 界面)的设备,应配置定时自动屏幕锁定。备注备注基线名称基线名称修改缺省 BANNER基线编号基线编号IB-WLSB-01-18基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求隐藏设备字符管理界面的 bannner 信息。5备注备注基线名称基线名称Community 字符串加密存放基线编号基线编号IB-WLSB-01-19基线类型基线类型可选要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求支持对 SNMP 协议 RO、RW 的

10、Community 字符串的加密存放。备注备注基线名称基线名称配置路由信息发布和接受策略基线编号基线编号IB-WLSB-01-20基线类型基线类型可选要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求采用动态路由协议时,使用 ip prefix-list 过滤缺省和私有路由、设置最大路由条目限制、严格限制 BGP PEER 的源地址等方法避免设备发布或接收不安全的路由信息。备注备注基线名称基线名称配置路由协议的认证和口令加密基线编号基线编号IB-WLSB-01-21基线类型基线类型可选要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密)

11、 涉核心商秘基线要求基线要求启用动态 IGP(RIPV2、OSPF、ISIS 等)或 EGP(BGP)协议时,启用路由协议认证功能,如 MD5 加密,确保与可信方进行路由协议交互。备注备注基线名称基线名称SNMP 配置-修改 SNMP 的默认 Community基线编号基线编号IB-WLSB-01-22基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求应修改 SNMP 协议 RO 和 RW 的默认 Community 字符串,并设置复杂的字符串作为 SNMP 的 Community。备注备注6基线名称基线名称SNMP 配置-禁用有

12、写权限的 SNMP Community基线编号基线编号IB-WLSB-01-23基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求应关闭未使用的 SNMP 协议,尽量不开启 SNMP 的 RW 权限。备注备注基线名称基线名称SNMP 配置-配置选用较高 SNMP 版本基线编号基线编号IB-WLSB-01-24基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求使用 SNMP V3 以上的版本对设备做远程管理。备注备注1.1.1.21.1.1.2 访问控制访问控制基线名称

13、基线名称避免从内网主机直接访问外网基线编号基线编号IB-WLSB-02-01基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求应用代理服务器,将从内网到外网的访问流量通过代理服务器。设备只开启代理服务器到外部网络的访问规则,避免在设备上配置从内网的主机直接到外网的访问规则。备注备注基线名称基线名称配置流量控制基线编号基线编号IB-WLSB-02-02基线类型基线类型可选要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求使用合理的 ACL 或其它分组过滤技术,对设备控制流量、管理流量及其它

14、由路由器引擎直接处理的流量(如 traceroute、ICMP 流量)进行控制,实现对路由器引擎的保护。备注备注7基线名称基线名称配置安全域的访问控制规则基线编号基线编号IB-WLSB-02-03基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求所有的安全域都具有相应的规则进行防护,对进出流量进行控制。备注备注基线名称基线名称VPN 用户按照访问权限进行分组基线编号基线编号IB-WLSB-02-04基线类型基线类型可选要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求对于 VPN 用户,

15、必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。备注备注基线名称基线名称过滤不相关流量-ACL基线编号基线编号IB-WLSB-02-05基线类型基线类型可选要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求对于具备 TCP/UDP 协议功能的设备,设备应根据业务需要,配置基于源 IP 地址、通信协议 TCP 或 UDP、目的 IP 地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。备注备注基线名称基线名称最小化服务基线编号基线编号IB-WLSB-02-06基线类型基线类型强制要求适用范围适用范围等保一、二

16、级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求禁用非必要的服务。备注备注1.1.1.31.1.1.3 安全审计安全审计基线名称基线名称开启日志功能8基线编号基线编号IB-WLSB-03-01基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求开启记录日志,记录访问登录、退出等信息。备注备注基线名称基线名称配置日志存储位置基线编号基线编号IB-WLSB-03-02基线类型基线类型强制要求适用范围适用范围等保一、二级 等保三级 涉普通商秘(工作秘密) 涉核心商秘基线要求基线要求将重要或指定级别的日志发送到日志服务器或其它位置,进行安全存

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 电子/通信 > 综合/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号