华为交换机安全基线Word文件下载.docx
《华为交换机安全基线Word文件下载.docx》由会员分享,可在线阅读,更多相关《华为交换机安全基线Word文件下载.docx(15页珍藏版)》请在冰豆网上搜索。
2、安全基线编号:
SBL-HUAWEI-02-01-01
3、安全基线说明:
应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa]local-useradminpasswordcipheradmin123
[Huawei-aaa]local-useradminprivilegelevel15
[Huawei-aaa]local-useradminservice-typessh
[Huawei-aaa]local-useruserpasswordcipheruser123
[Huawei-aaa]local-useruserprivilegelevel4
[Huawei-aaa]local-useruserservice-typessh
5、安全判定条件:
(1)配置文件中,存在不同的账号分配
(2)网络管理员确认用户与账号分配关系明确
6、检测操作:
使用命令discur命令查看:
…
#
aaa
authentication-schemedefault
authorization-schemedefault
accounting-schemedefault
domaindefault
domaindefault_admin
local-useradminpasswordcipher"
=LP!
6$^-IYNZPO3JBXBHA!
!
local-useradminprivilegelevel15
local-useradminservice-typessh
local-useruserpasswordcipher"
6$^-IYNZP
local-useruserprivilegelevel4
local-useruserservice-typessh
对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。
2.1.2删除无关的帐号*
删除无关的账号
SBL-HUAWEI-02-01-02
应删除与设备运行、维护等工作无关的账号。
[Huawei-aaa]undolocal-useruser
(1)配置文件存在多个账号
(2)网络管理员确认账号与设备运行、维护等工作无关
使用discur|includelocal-user命令查看:
[Huawei]discur|includelocal-user
若不存在无用账号则说明符合安全要求。
2.2口令
2.2.1静态口令以密文形式存放
静态口令以密文形式存放
SBL-HUAWEI-02-02-01
配置本地用户和super口令使用密文密码。
[Huawei]aaa
[Huawei-aaa]local-useradminpasswordcipheradmin123
[Huawei]superpasswordcipheradmin123
配置文件中没有明文密码字段。
查看本地用户密码:
查看super密码:
[Huawei]discur|includesuper
superpasswordlevel3ciphermPZr=2!
Z<
@u:
|l#3M^#3Icf##
2.2.2密码复杂度
密码复杂度
SBL-HUAWEI-02-02-02
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
[Huawei-aaa]local-useradminpasswordcipheradmin@xiangyun
密码强度符合要求,密码至少90天进行更换。
2.3授权
2.3.1用IP协议进行远程维护的设备使用SSH等加密协议
用IP协议进行远程维护设备
SBL-HUAWEI-02-03-01
使用IP协议进行远程维护设备,应配置使用SSH等加密协议连接。
[Huawei]rsalocal-key-paircreate
[Huawei]stelnetserverenable
[Huawei]sshuseradminservice-typestelnet
[Huawei]sshuseradminauthentication-typepassword
[Huawei]user-interfacevty04
[Huawei-ui-vty0-4]protocolinboundssh
配置文件中只允许SSH等加密协议连接。
使用discur|includessh命令:
[Huawei]discur|includessh
sshuseradmin
sshuseradminauthentication-typepassword
sshuseradminservice-typestelnet
第3章日志安全要求
3.1日志安全
3.1.1启用信息中心
启用信息中心
SBL-HUAWEI-03-01-01
启用信息中心,记录与设备相关的事件。
[HUAWEI]info-centerenable
(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录使用的IP地址。
(2)记录用户登录设备后所进行的所有操作。
使用disinfo-center有显示InformationCenter:
Enabled类似信息,如:
[Huawei]disinfo-center
InformationCenter:
enabled
Loghost:
Console:
channelnumber:
0,channelname:
console
Monitor:
1,channelname:
monitor
SNMPAgent:
5,channelname:
snmpagent
Logbuffer:
enabled,maxbuffersize1024,currentbuffersize512,
currentmessages56,channelnumber:
4,channelname:
logbuffer
droppedmessages0,overwrittenmessages0
Trapbuffer:
enabled,maxbuffersize1024,currentbuffersize256,
currentmessages4,channelnumber:
3,channelname:
trapbuffer
Informationtimestampsetting:
log-date,trap-date,debug-datemillisecond
Sentmessages=1227,Receivedmessages=1226
IORegmessages=0IOSentmessages=0
3.1.2开启NTP服务保证记录的时间的准确性
日志记录时间准确性
SBL-HUAWEI-03-01-02
开启NTP服务,保证日志功能记录的时间的准确性。
配置ntp客户端,服务器地址为192.168.1.1:
[Huawei]ntp-serviceauthenticationenable
[Huawei]ntp-serviceunicast-server192.168.1.1
日志记录时间准确。
[Huawei]discur|includentp
ntp-serviceauthenticationenable
ntp-serviceunicast-server192.168.1.1
3.1.3远程日志功能*
远程日志功能
SBL-HUAWEI-03-01-03
配置远程日志功能,使设备能通过远程日志功能传输到日志服务器。
[HUAWEI]info-centerloghost*.*.*.*//配置接收日志的服务器地址
[Huawei]info-centersourcedefaultchannelloghostloglevelemergencies//配置发送的日志级别
日志服务器能够正确接收网络设备发送的日志。
使用命令discur|includeinfo-center查看: