网络设备安全基线技术规范doc.docx
《网络设备安全基线技术规范doc.docx》由会员分享,可在线阅读,更多相关《网络设备安全基线技术规范doc.docx(161页珍藏版)》请在冰豆网上搜索。
网络设备安全基线技术规范doc
安全基线技术要求
1.1网络设备
1.1.1网络通用安全基线技术要求
1.1.1.1网络设备防护
基线名称
安全设备的用户进行身份鉴别。
基线编号
IB-WLSB-01-01
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
设备通过相关参数配置,通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证,满足账号、口令和授权的要求,对登录设备的用户进行身份鉴别。
备注
基线名称
网络设备用户的标识唯一。
基线编号
IB-WLSB-01-02
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
网络设备用户的标识应唯一;禁止多个人员共用一个账号。
备注
基线名称
身份鉴别信息应具有复杂度要求并定期更换。
基线编号
IB-WLSB-01-03
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应修改控制中心登录的默认账户和密码,密码长度应不小于8,密码应由字母、数字、特殊符号中的至少2种组成。
备注
基线名称
登录失败处理。
基线编号
IB-WLSB-01-04
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应为设备配置用户连续认证失败次数上限,当用户连续认证失败次数超过上限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号重新认证。
备注
基线名称
清除无关的账号。
基线编号
IB-WLSB-01-05
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应删除与设备运行、维护等工作无关的账号。
备注
基线名称
配置console口密码保护
基线编号
IB-WLSB-01-06
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
对于具备console口的设备,应配置console口密码保护功能。
备注
基线名称
按照用户分配账号
基线编号
IB-WLSB-01-07
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
备注
基线名称
配置使用SSH
基线编号
IB-WLSB-01-08
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。
备注
基线名称
对用户进行分级权限控制
基线编号
IB-WLSB-01-09
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
原则上应采用预定义级别的授权方法,实现对不同用户权限的控制。
备注
基线名称
配置访问IP地址限制
基线编号
IB-WLSB-01-10
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应对发起SNMP访问的源IP地址进行限制,并对设备接收端口进行限制。
备注
基线名称
授权粒度控制
基线编号
IB-WLSB-01-11
基线类型
强制要求
适用范围
□等保一、二级□等保三级☑涉普通商秘(工作秘密)□涉核心商秘
基线要求
原则上应采用对命令组或命令进行授权的方法,实现对用户权限细粒度的控制的能力。
备注
基线名称
按最小权限方法分配帐号权限
基线编号
IB-WLSB-01-12
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
备注
基线名称
配置定时账户自动登出
基线编号
IB-WLSB-01-13
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
对于具备字符交互界面的设备,应配置定时账户自动登出。
备注
基线名称
限制NTP通信地址范围
基线编号
IB-WLSB-01-14
基线类型
可选要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
通过ACL对NTP服务器与设备间的通信进行控制。
备注
基线名称
启用NTP服务
基线编号
IB-WLSB-01-15
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应开启NTP,保证设备日志记录时间的准确性。
备注
基线名称
配置会话超时
基线编号
IB-WLSB-01-16
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
对于具备字符交互界面的设备,应配置定时账户自动登出。
备注
基线名称
配置屏幕自动锁定
基线编号
IB-WLSB-01-17
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定。
备注
基线名称
修改缺省BANNER
基线编号
IB-WLSB-01-18
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
隐藏设备字符管理界面的bannner信息。
备注
基线名称
Community字符串加密存放
基线编号
IB-WLSB-01-19
基线类型
可选要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
支持对SNMP协议RO、RW的Community字符串的加密存放。
备注
基线名称
配置路由信息发布和接受策略
基线编号
IB-WLSB-01-20
基线类型
可选要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
采用动态路由协议时,使用ipprefix-list过滤缺省和私有路由、设置最大路由条目限制、严格限制BGPPEER的源地址等方法避免设备发布或接收不安全的路由信息。
备注
基线名称
配置路由协议的认证和口令加密
基线编号
IB-WLSB-01-21
基线类型
可选要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
启用动态IGP(RIPV2、OSPF、ISIS等)或EGP(BGP)协议时,启用路由协议认证功能,如MD5加密,确保与可信方进行路由协议交互。
备注
基线名称
SNMP配置-修改SNMP的默认Community
基线编号
IB-WLSB-01-22
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应修改SNMP协议RO和RW的默认Community字符串,并设置复杂的字符串作为SNMP的Community。
备注
基线名称
SNMP配置-禁用有写权限的SNMPCommunity
基线编号
IB-WLSB-01-23
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应关闭未使用的SNMP协议,尽量不开启SNMP的RW权限。
备注
基线名称
SNMP配置-配置选用较高SNMP版本
基线编号
IB-WLSB-01-24
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
使用SNMPV3以上的版本对设备做远程管理。
备注
1.1.1.2访问控制
基线名称
避免从内网主机直接访问外网
基线编号
IB-WLSB-02-01
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应用代理服务器,将从内网到外网的访问流量通过代理服务器。
设备只开启代理服务器到外部网络的访问规则,避免在设备上配置从内网的主机直接到外网的访问规则。
备注
基线名称
配置流量控制
基线编号
IB-WLSB-02-02
基线类型
可选要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
使用合理的ACL或其它分组过滤技术,对设备控制流量、管理流量及其它由路由器引擎直接处理的流量(如traceroute、ICMP流量)进行控制,实现对路由器引擎的保护。
备注
基线名称
配置安全域的访问控制规则
基线编号
IB-WLSB-02-03
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
所有的安全域都具有相应的规则进行防护,对进出流量进行控制。
备注
基线名称
VPN用户按照访问权限进行分组
基线编号
IB-WLSB-02-04
基线类型
可选要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。
备注
基线名称
过滤不相关流量-ACL
基线编号
IB-WLSB-02-05
基线类型
可选要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
对于具备TCP/UDP协议功能的设备,设备应根据业务需要,
配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
备注
基线名称
最小化服务
基线编号
IB-WLSB-02-06
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
禁用非必要的服务。
备注
1.1.1.3安全审计
基线名称
开启日志功能
基线编号
IB-WLSB-03-01
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
开启记录日志,记录访问登录、退出等信息。
备注
基线名称
配置日志存储位置
基线编号
IB-WLSB-03-02
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
将重要或指定级别的日志发送到日志服务器或其它位置,进行安全存放,要求能追溯至少60天内的日志记录。
备注
基线名称
配置安全事件日志记录
基线编号
IB-WLSB-03-03
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
设备应配置日志功能,记录对与设备自身相关的安全事件。
备注
基线名称
配置操作日志
基线编号
IB-WLSB-03-04
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
设备应配置日志功能,记录用户对设备的操作,
包括但不限于以下内容:
账号创建、删除和权限修改,口令修改,
读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果。
备注
1.1.1.4入侵防范
基线名称
开启告警功能
基线编号
IB-WLSB-04-01
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
设备应具备向管理员告警的功能,配置告警功能,报告对设备本身的攻击或者设备的系统严重错误。
备注
基线名称
配置拒绝常见漏洞所对应端口或者服务的访问
基线编号
IB-WLSB-04-02
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
配置访问控制规则,拒绝对常见漏洞所对应端口或者服务的访问。
备注
基线名称
防止仿冒ARP网关攻击
基线编号
IB-WLSB-04-03
基线类型
可选要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应对仿冒ARP网关攻击进行防护。
备注
基线名称
配置网络层异常报文攻击告警
基线编号
IB-WLSB-04-04
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
配置告警功能,报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。
备注
基线名称
关闭不必要的服务
基线编号
IB-WLSB-04-05
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应关闭设备上不必要的服务(如CDP、DNSlookup、DHCP、finger、udp-small-server、tcp-small-server、http、bootp、IP源路由、PAD等)。
备注
基线名称
关闭不必要的服务-禁用FTP服务
基线编号
IB-WLSB-04-06
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
设备设备必须关闭非必要服务。
禁用FTP服务。
备注
1.1.2Cisco路由器/交换机安全基线技术要求
1.1.2.1网络设备防护
基线名称
使用认证服务器认证
基线编号
IB-CISCO(SW)-01-01
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
设备通过相关参数配置,通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证,满足账号、口令和授权的要求。
配置方法
参考配置操作
1、Cisco(config)#aaanew-model
2、Cisco(config)#aaaauthenticationlogindefaultgrouplocal#为认证服务器名称(首先通过认证服务器认证,认证服务器认证失败的情况下通过本地认证。
)
3、Cisco(config)#aaaauthenticationenabledefaultgroupenable
4、Cisco(config)#end
5、Cisco#write
基线名称
禁止无关账号
基线编号
IB-CISCO(SW)-01-02
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应删除与设备运行、维护等工作无关的账号。
配置方法
参考配置操作
1、Cisco(config)#nousername#其中表示用户名。
基线名称
口令加密
基线编号
IB-CISCO(SW)-01-03
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
静态口令应采用安全可靠的单向散列加密算法(如md5、sha1等)进行加密,并以密文形式存放。
如使用enablesecret配置Enable密码,不使用enablepassword配置Enable密码。
配置方法
参考配置操作
1、Cisco(config)#noenablepassword#配置enable密码
2、Cisco(config)#enablesecret#为口令
3、Cisco(config)#usernamesecret注:
若已用password设置用户密码,则需要先删除用户(nousername),再使用secret设置用户密码。
4、Cisco(config)#servicepassword-encryption#启用密码加密服务
5、Cisco(config)#end
6、Cisco#write
基线名称
对用户设置授权等级
基线编号
IB-CISCO(SW)-01-04
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
原则上应采用预定义级别的授权方法,实现对不同用户权限的控制。
配置方法
参考配置操作
1、Switch(config)#usernameprivilege#用户名,权限级别。
2、Switch(config)#end
3、Switch#write
基线名称
避免共享账号
基线编号
IB-CISCO(SW)-01-05
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
配置方法
参考配置操作
1、Cisco(config)#usernameprivilegepassword#用户名、权限级别、用户口令。
2、Cisco(config)#end
3、Cisco#write
基线名称
配置console口密码保护
基线编号
IB-CISCO(SW)-01-06
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
配置console口密码保护功能。
配置方法
参考配置操作
1、Cisco(config)#lineconsole0
2、Cisco(config-line)#loginlocal
3、Cisco(config-line)#password#为console口密码
4、Cisco(config-line)#end
5、Cisco#write
基线名称
管理默认账号与口令
基线编号
IB-CISCO(SW)-01-07
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应删除或锁定默认或缺省账号与口令。
配置方法
参考配置操作
1、Cisco(config)#nousernamecisco#删除cisco账号
2、Cisco(config)#end
3、Cisco#write
基线名称
关闭未使用的管理口
基线编号
IB-CISCO(SW)-01-08
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
设备应关闭未使用的管理口(AUX、或者没开启业务的端口)
配置方法
参考配置操作
1、Cisco(config)#interface<接口>
2、Cisco(config-if)#shutdown#关闭未使用的接口。
3、Cisco(config-if)#end
4、Cisco#write
基线名称
远程管理通信安全-SSH
基线编号
IB-CISCO(SW)-01-09
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。
配置方法
参考配置操作
1、Cisco(config)#ipdomain-name#配置域名域名名称可自定义
2、Cisco(config)#aaanew-model
3、Cisco(config)#cryptokeygeneratersa
4、Cisco(config)#linevty04
5、Cisco(config-line)#transportinputssh#配置仅允许ssh远程登录
6、Cisco(config-line)#end
7、Cisco#write
基线名称
使用SNMPV3版本
基线编号
IB-CISCO(SW)-01-10
基线类型
强制要求
适用范围
☑等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
对于支持SNMPV3版本的设备,必须使用V3版本SNMP协议。
配置方法
参考配置操作
1、Cisco(config)#snmp-serverhostversion3auth#其中表示IP,表示用户名。
2、Cisco(config-line)#end
3、Cisco#write
基线名称
SNMP配置-修改SNMP的默认Community
基线编号
IB-CISCO(SW)-01-11
升级会员 