收藏
下载资源下载资源 加入VIP,免费下载

技术规范标准网络设备安全基线技术规范Word文件下载.docx

上传人:b****1 文档编号:14995361 上传时间:2022-10-26 格式:DOCX 页数:156 大小:69.91KB
下载 相关 举报
技术规范标准网络设备安全基线技术规范Word文件下载.docx_第1页
第1页 / 共156页
技术规范标准网络设备安全基线技术规范Word文件下载.docx_第2页
第2页 / 共156页
技术规范标准网络设备安全基线技术规范Word文件下载.docx_第3页
第3页 / 共156页
技术规范标准网络设备安全基线技术规范Word文件下载.docx_第4页
第4页 / 共156页
技术规范标准网络设备安全基线技术规范Word文件下载.docx_第5页
第5页 / 共156页
点击查看更多>>
下载资源
资源描述

技术规范标准网络设备安全基线技术规范Word文件下载.docx

《技术规范标准网络设备安全基线技术规范Word文件下载.docx》由会员分享,可在线阅读,更多相关《技术规范标准网络设备安全基线技术规范Word文件下载.docx(156页珍藏版)》请在冰豆网上搜索。

技术规范标准网络设备安全基线技术规范Word文件下载.docx

适用范围

等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘

基线要求

设备通过相关参数配置,通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证,满足账号、口令和授权的要求,对登录设备的用户进行身份鉴别。

备注

网络设备用户的标识唯一。

IB-WLSB-01-02

网络设备用户的标识应唯一;

禁止多个人员共用一个账号。

身份鉴别信息应具有复杂度要求并定期更换。

IB-WLSB-01-03

应修改控制中心登录的默认账户和密码,密码长度应不小于8,密码应由字母、数字、特殊符号中的至少2种组成。

登录失败处理。

IB-WLSB-01-04

应为设备配置用户连续认证失败次数上限,当用户连续认证失败次数超过上限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号重新认证。

清除无关的账号。

IB-WLSB-01-05

应删除与设备运行、维护等工作无关的账号。

配置console口密码保护

IB-WLSB-01-06

对于具备console口的设备,应配置console口密码保护功能。

按照用户分配账号

IB-WLSB-01-07

应按照用户分配账号。

避免不同用户间共享账号。

避免用户账号和设备间通信使用的账号共享。

配置使用SSH

IB-WLSB-01-08

对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。

对用户进行分级权限控制

IB-WLSB-01-09

原则上应采用预定义级别的授权方法,实现对不同用户权限的控制。

配置访问IP地址限制

IB-WLSB-01-10

应对发起SNMP访问的源IP地址进行限制,并对设备接收端口进行限制。

授权粒度控制

IB-WLSB-01-11

□等保一、二级□等保三级涉普通商秘(工作秘密)□涉核心商秘

原则上应采用对命令组或命令进行授权的方法,实现对用户权限细粒度的控制的能力。

按最小权限方法分配帐号权限

IB-WLSB-01-12

在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。

配置定时账户自动登出

IB-WLSB-01-13

对于具备字符交互界面的设备,应配置定时账户自动登出。

限制NTP通信地址范围

IB-WLSB-01-14

可选要求

通过ACL对NTP服务器与设备间的通信进行控制。

启用NTP服务

IB-WLSB-01-15

应开启NTP,保证设备日志记录时间的准确性。

配置会话超时

IB-WLSB-01-16

配置屏幕自动锁定

IB-WLSB-01-17

对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定。

修改缺省BANNER

IB-WLSB-01-18

隐藏设备字符管理界面的bannner信息。

Community字符串加密存放

IB-WLSB-01-19

支持对SNMP协议RO、RW的Community字符串的加密存放。

配置路由信息发布和接受策略

IB-WLSB-01-20

采用动态路由协议时,使用ipprefix-list过滤缺省和私有路由、设置最大路由条目限制、严格限制BGPPEER的源地址等方法避免设备发布或接收不安全的路由信息。

配置路由协议的认证和口令加密

IB-WLSB-01-21

启用动态IGP(RIPV2、OSPF、ISIS等)或EGP(BGP)协议时,启用路由协议认证功能,如MD5加密,确保与可信方进行路由协议交互。

SNMP配置-修改SNMP的默认Community

IB-WLSB-01-22

应修改SNMP协议RO和RW的默认Community字符串,并设置复杂的字符串作为SNMP的Community。

SNMP配置-禁用有写权限的SNMPCommunity

IB-WLSB-01-23

应关闭未使用的SNMP协议,尽量不开启SNMP的RW权限。

 

SNMP配置-配置选用较高SNMP版本

IB-WLSB-01-24

使用SNMPV3以上的版本对设备做远程管理。

1.1.1.2访问控制

避免从内网主机直接访问外网

IB-WLSB-02-01

应用代理服务器,将从内网到外网的访问流量通过代理服务器。

设备只开启代理服务器到外部网络的访问规则,避免在设备上配置从内网的主机直接到外网的访问规则。

配置流量控制

IB-WLSB-02-02

使用合理的ACL或其它分组过滤技术,对设备控制流量、管理流量及其它由路由器引擎直接处理的流量(如traceroute、ICMP流量)进行控制,实现对路由器引擎的保护。

配置安全域的访问控制规则

IB-WLSB-02-03

所有的安全域都具有相应的规则进行防护,对进出流量进行控制。

VPN用户按照访问权限进行分组

IB-WLSB-02-04

对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。

过滤不相关流量-ACL

IB-WLSB-02-05

对于具备TCP/UDP协议功能的设备,设备应根据业务需要,

配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。

最小化服务

IB-WLSB-02-06

禁用非必要的服务。

1.1.1.3安全审计

开启日志功能

IB-WLSB-03-01

开启记录

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 自然科学 > 数学

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1