当前位置:文档之家 › HC交换机设备安全基线

HC交换机设备安全基线

  • 格式:doc
  • 大小:42.75 KB
  • 文档页数:23

下载文档原格式

  / 23

合集下载

华为交换机安全基线

华为交换机安全基线

华为交换机安全基线华为设备安全配置基线第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。

1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-HUAWEI-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作:[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei-aaa]local-user admin privilege level 15[Huawei-aaa]local-user admin service-type ssh[Huawei-aaa]local-user user password cipher user123[Huawei-aaa]local-user user privilege level 4[Huawei-aaa]local-user user service-type ssh5、安全判定条件:(1)配置文件中,存在不同的账号分配(2)网络管理员确认用户与账号分配关系明确6、检测操作:使用命令dis cur命令查看:#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type sshlocal-user user password cipher "=LP!6$^-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。

网络设备安全基线技术规范

网络设备安全基线技术规范

等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
应修改 SNMP 协议 RO 和 RW 的默认 Community 字符串, 并设置复杂的字符 串作为 SNMP 的 Community。
备注
5
基线名称 基线编号 适用范围 基线要求 备注
SNMP 配置-禁用有写权限的 SNMP Community IB-WLSB-01-23 基线类型 强制要求
备注
基线名称 基线编号 适用范围 基线要求
配置流量控制 IB-WLSB-02-02 基线类型 可选要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
使用合理的 ACL 或其它分组过滤技术, 对设备控制流量、 管理流量及其它由 路由器引擎直接处理的流量(如 traceroute、ICMP 流量)进行控制,实现对 路由器引擎的保护。
安全基线技术要求
1.1 网络设备
1.1.1 网络通用安全基线技术要求 1.1.1.1 网络设备防护 基线名称 基线编号 适用范围 基线要求 安全设备的用户进行身份鉴别。 IB-WLSB-01-01 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
设备通过相关参数配置,通过与认证服务器(RADIUS 或 TACACS 服务器) 联动的方式实现对用户的认证,满足账号、口令和授权的要求,对登录设备 的用户进行身份鉴别。
基线名称 基线编号 适用范围 基线要求
按照用户分配账号 IB-WLSB-01-07 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
应按照用户分配账号。 避免不同用户间共享账号。 避免用户账号和设备间通信使用的账号共享。

XX银行H3C交换机安全基线配置

XX银行H3C交换机安全基线配置

X X银行H3C交换机系列安全配置基线(V1.0)目录1适用声明 (2)2访问控制 (3)2.1远程连接源地址限制 (21)3安全审计 (3)3.1开启设备的日志功能 (6)4入侵防范 (7)4.1配置防ARP欺骗攻击 (7)4.2配置常见的漏洞攻击和病毒过滤功能 (4)4.3配置ACL规则 (3)5网络设备防护 (8)5.1限制管理员远程直接登录 (8)5.2连接空闲时间设定 (9)5.3远程登陆加密传输 (10)5.4配置CONSOLE口密码保护功能和连接超时 (11)5.5按照用户分配账号 (12)5.6删除设备中无用的闲置账号 (13)5.7修改设备上存在的弱口令 (13)5.8配置和认证系统联动功能 (14)配置和认证系统联动功能 (14)5.9配置NTP服务 (15)5.10修改SNMP的COMMUNITY默认通行字 (16)5.11使用SNMPV2或以上版本 (17)5.12设置SNMP的访问安全限制 (18)5.13系统应关闭未使用的SNMP协议及未使用RW权限 (19)5.14关闭不必要的服务 (19)5.15配置防源地址欺骗攻击 (20)5.16禁止设备未使用或者空闲的端口 (21)1 适用声明2 访问控制2.1配置ACL规则3 安全审计3.1开启设备的日志功能4 入侵防范5 网络设备防护5.2连接空闲时间设定5.3远程登陆加密传输5.4配置console口密码保护功能和连接超时5.6删除设备中无用的闲置账号5.7修改设备上存在的弱口令5.8配置和认证系统联动功能5.9配置NTP服务5.10修改SNMP的community默认通行字5.11使用SNMPV2或以上版本5.12设置SNMP的访问安全限制5.13系统应关闭未使用的SNMP协议及未使用RW权限5.14关闭不必要的服务5.17远程连接源地址限制。

网络设备安全基线技术规范

网络设备安全基线技术规范
等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
通过ACL对NTP服务器与设备间的通信进行控制。
备注
基线名称
启用NTP服务
基线编号
IB-WLSB-01-15
基线类型
强制要求
适用范围
等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应开启NTP,保证设备日志记录时间的准确性。
备注
基线名称
网络设备用户的标识唯一。
基线编号
IB-WLSB-01-02
基线类型
强制要求
适用范围
等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
网络设备用户的标识应唯一;禁止多个人员共用一个账号。
备注
基线名称
身份鉴别信息应具有复杂度要求并定期更换。
基线编号
IB-WLSB-01-03
基线类型
配置访问IP地址限制
基线编号
IB-WLSB-01-10
基线类型
强制要求
适用范围
等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘
基线要求
应对发起SNMP访问的源IP地址进行限制,并对设备接收端口进行限制。
备注
基线名称
授权粒度控制
基线编号
IB-WLSB-01-11
基线类型
强制要求
适用范围
□等保一、二级□等保三级涉普通商秘(工作秘密)□涉核心商秘
应删除与设备运行、维护等工作无关的账号。
备注
基线名称
配置console口密码保护
基线编号
IB-WLSB-01-06
基线类型
强制要求
适用范围

安全基线之网络设备配置

安全基线之网络设备配置
B和 G f 等相关标 准要求 。 BF 当然 全基线l 韵要求也就能确认组织的正常运行得到了最低程度 的安 体要审查哪些 内容才能符合 G 安全基线的具体实施与具体 的网络及管理是相关 的 ,不 同的网 全保证 , 安全的重要性 是不 言而喻的。
安全基线 的概念 自上世纪 4 0年代在美 国萌芽 , 逐步发展到 络条件及不同的管理方式对基线 的具体操作有 区别 。

3 0。 办公 自动化 杂志
等用户 的认证 。
( ) 户账 号 与 口令 安 全 5用
网络设备参数配置完毕 ,通常可 以用相关查看命令可 以看 到配置文本 , 障管理安全 , 保 应对相关管理密码进行加密配置 ,
用户登 录空 闲超过规定时间应强制下线 ,基线审查强制按此要 求设置。 ( ) 口安全 2端
本文 只列 出了非常重要 的一些审查项 目。 在 网络设备管理 过程 中,一定会出现对设备进行远程 维护 所提到的所有项 目,
四 、 束 语 结
安全基线在制定的时候 一定要参考相关的标 准要求 ,确定
络设备带来 巨大 的安全隐患。因此如果 网络设备支持 , 一定要对 好每一个 审查项 ,这样可以给相关企事业单位在审查 自己的网
变 更 控 制 管 理 与配 置 、数 据 库管 理 与 配 置 、开 发 与 实施 控 制 管
应用 系统管理与配置等 。 安全基线 (eri aen ) ScutB sl e是保持 I y i T系统在机密性 、 完整 理 、 本文 主要针对 网络设 备管理与配置进行安全基线 审查 , 具 性和可靠性需求上 的最小安全控 制。因此通过确保组织满足安
所 以权重相对 比较高 , 如果此项 审查时 的总分是 9 , 分 那么该企 业 如果符合则得满分 9分 , 反之为 0分 , 其他项 目的审查原理以

配置管理基线计划

配置管理基线计划

配置管理基线计划
1. 引言
本计划旨在建立和维护组织内部计算机系统的配置管理基线。

该计划目的是通过创建和跟踪已知好的配置来最大限度地减少系统配置错误和安全漏洞。

2. 范围
该计划适用于组织内所有物理和虚拟服务器、桌面计算机、路由器、交换机和防火墻等设备。

移动设备当前暂不在计划范围内。

3. 基线定义
我们将为组织内主要系统和设备制定以下配置管理基线:
- 服务器基线
- 服务器基线
- 网关路由器基线
- 枢纽交换机基线
- 桌面计算机基线
- 应用程序基线
- 数据库服务器基线
每种基线将描述系统的期望配置,包括常用软件版本、安全设置、账户和访问控制等。

4. 基线维护
部门将负责创建和维护各种配置管理基线。

基线将每季度或根据业务需要进行审阅和更新。

5. 合规性检查
每月我们将对随机选择的系统进行检查,查看是否符合相关的配置管理基线。

超出基线配置的系统将记录下来并进行调整。

6. 报告和督导
每月生成基线合规报告并报送给高层管理层。

不合规系统将列入下个月的优先处理对象。

以上就是初步的配置管理基线计划。

日后需要根据实际情况不断完善和优化该计划。

华为交换机安全配置基线

华为交换机安全配置基线

华为交换机安全配置基线(Version 1.0)2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证(可选) (5)7.4 日志审计 (6)7.4.1 RADIUS记账(可选) (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全(可选) (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准,是中国石油安全基线文档之一。

华为交换机安全基线

华为交换机安全基线

华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时,需要遵循的一套安
全配置准则和最佳实践,以确保交换机的安全性和可靠性。

以下是
一些常见的华为交换机安全基线配置要点:
1. 管理口安全:禁用默认管理口,为管理口设置强密码,并限制访
问管理口的IP地址范围。

2. 字典攻击防护:启用密码强度检查功能,配置登录失败锁定策略,限制登录尝试次数。

3. AAA认证和授权:使用AAA认证机制,确保用户身份验证的安全性。

采用RBAC角色权限控制,为不同的用户分配不同的权限。

4. SSH安全:优先使用SSH协议进行交换机访问和管理,并配置安全性较高的SSH版本和密码加密算法。

5. 网络访问控制:配置ACL访问控制列表,限制允许通过交换机的IP地址、端口、协议和服务。

6. 网络流量监测和报警:启用网络流量监测功能,及时发现异常流
量和攻击行为,并设置报警机制。

7. 系统日志和审计:启用系统日志功能,记录关键操作和事件,以便后期追踪和审计。

8. 端口安全:为交换机端口绑定MAC地址,限制端口下连接设备的数量,防止非法设备接入网络。

9. VLAN隔离:使用VLAN隔离不同的用户和设备,限制内部访问和互相通信。

10. 升级和补丁管理:及时升级交换机固件到最新版本,安装安全漏洞的补丁,以防止已知的攻击和漏洞利用。

以上只是一些常见的华为交换机安全基线配置要点,具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。

建议在配置安全策略前,参考华为官方文档、安全手册和最佳实践指南,确保正确和合适地配置华为交换机的安全性。

华为设备(交换机)安全配置基线

华为设备(交换机)安全配置基线

华为设备(交换机)安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误!未定义书签。

2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。

1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

Huawei防火墙安全配置基线

Huawei防火墙安全配置基线

Huawei防火墙安全配置基线XXXXXX备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (5)2.2.1口令复杂度要求 (5)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (7)3.1日志安全 (7)3.1.1记录用户对设备的操作 (7)3.1.2记录与设备相关的安全事件 (7)3.1.3开启记录NAT日志 (8)3.1.4配置记录流量日志 (9)3.1.5配置日志容量告警阈值 (9)3.2告警配置要求 (10)3.2.1配置对防火墙本身的攻击或内部错误告警 (10)3.2.2配置TCP/IP协议网络层异常报文攻击告警 (10)3.2.3配置DOS和DDOS攻击告警 (11)3.2.4配置关键字内容过滤功能告警* (12)3.3安全策略配置要求 (12)3.3.1访问规则列表最后一条必须是拒绝一切流量 (12)3.3.2配置访问规则应尽可能缩小范围 (13)3.3.3访问规则进行分组* (13)3.3.4配置NAT地址转换 (14)3.3.5隐藏防火墙字符管理界面的bannner信息 (15)3.3.6关闭非必要服务 (15)3.4攻击防护配置要求 (16)3.4.1拒绝常见漏洞所对应端口或者服务的访问 (16)3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能* (17)3.4.3限制ICMP包大小* (17)第4章IP协议安全要求 (19)4.1功能配置 (19)4.1.1使用SNMP V2或V3版本对防火墙远程管理 (19)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1外网口地址关闭对ping包的回应 (21)5.1.2对防火墙的管理地址做源地址限制 (21)5.1.3配置consol口密码保护功能 (22)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了XXXXXX管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。

H3C交换机安全配置基线

H3C交换机安全配置基线

H3C交换机安全配置基线 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIH3C交换机安全配置基线1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。

目录第1章概述 ..................................................................................................... 错误!未定义书签。

目的 .......................................................................................................... 错误!未定义书签。

适用范围 .................................................................................................. 错误!未定义书签。

适用版本 .................................................................................................. 错误!未定义书签。

实施 .......................................................................................................... 错误!未定义书签。

例外条款 .................................................................................................. 错误!未定义书签。

第2章帐号管理、认证授权安全要求 ........................................................... 错误!未定义书签。

华为交换机安全基线

华为交换机安全基线

华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................... 错误!未定义书签。

2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。

1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-HUAWEI-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。

华为路由交换设备安全配置指南(基线)

华为路由交换设备安全配置指南(基线)

2009-07-24发布2009-07-24实施中国联通公司发布目录前言 (II)1 范围 (1)2 定义与缩略语 (1)2.1 定义 (1)2.2 缩略语 (1)3 安全配置要求 (1)3.1 password的加密 (1)3.2 Super 密码的使用 (1)3.3 用户口令设置 (2)3.4 用户权限设置 (2)3.5 VTY的数量限制 (2)3.6 VTY的访问限制 (2)3.7 禁用Telnet方式访问系统 (3)3.8 SSH的使用 (3)3.9 SNMP服务设置 (3)3.10 SNMP服务的共同体字符串设置 (4)3.11 SNMP服务的访问控制设置 (4)3.12 登录超时设置 (4)3.13 禁用不使用的端口 (4)3.14 禁用AUX端口 (5)3.15 禁用FTP服务 (5)3.16 启用STP服务 (5)3.17 启用OSPF (5)3.18 交换机802.1X认证配置 (6)3.19 日志审计 (6)4 审批与修订 (6)前言为确保中国联通信息系统的网络支撑和内网信息安全,指导各省级分公司做好华为路由交换系统的安全维护相关工作,在研究国际先进企业最佳实践的基础上,结合中国联通内网信息安全现状和实际需求,特制定本配置指南。

本文档为首次发布,其他相关要求将根据需要陆续发布。

本文档由中国联合网络通信有限公司管理信息系统部提出并归口管理。

本文档起草单位:中国联合网络通信有限公司、系统集成公司。

本文档主要起草人:李爽,冯磊。

本文档解释单位:中国联合网络通信有限公司管理信息系统部。

1范围本文档规定了中国联通范围内安装的华为路由交换设备应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行华为路由交换设备的安全配置。

本指南适用于中国联通华为路由交换系统,适用版本:华为路由交换本指南适用于中国联通集团总部、各直属单位、各省级分公司。

2定义与缩略语2.1定义下列定义适用于本文档:路由器:是用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网。

网络设备安全基线技术规范

网络设备安全基线技术规范
基线类型
基线要求
启用动态IGP(RIPV2、OSPF、ISIS等)或EGP(BGP)协议时,启用路由协议认证功能,如MD5加密,确保与可信方进行路由协议交互。
备注
基线名称
SNMP配置-修改SNMP旳默认Community
基线编号
IB-WLSB-01-22
基线类型
强制要求
合用范围
等保一、二级□等保三级□涉一般商秘(工作秘密)□涉关键商秘
基线编号
IB-WLSB-01-07
基线类型
强制要求
合用范围
等保一、二级□等保三级□涉一般商秘(工作秘密)□涉关键商秘
基线要求
应按照顾客分配账号。
预防不同顾客间共享账号。
预防顾客账号和设备间通信使用旳账号共享。
备注
基线名称
配置使用SSH
基线编号
IB-WLSB-01-08
基线类型
强制要求
合用范围
等保一、二级□等保三级□涉一般商秘(工作秘密)□涉关键商秘
应删除与设备运营、维护等工作无关旳账号。
备注
基线名称
配置console口密码保护
基线编号
IB-WLSB-01-06
基线类型
强制要求
合用范围
等保一、二级□等保三级□涉一般商秘(工作秘密)□涉关键商秘
基线要求
对于具有console口旳设备,应配置console口密码保护功能。
备注
基线名称
按照顾客分配账号
备注
基线名称
配置会话超时
基线编号
IB-WLSB-01-16
基线类型
强制要求
合用范围
等保一、二级□等保三级□涉一般商秘(工作秘密)□涉关键商秘
基线要求

IT主流设备安全基线技术规范

IT主流设备安全基线技术规范

IT主流设备安全基线技术规范1范围本规范适用于中国xx电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。

2规范性提及文件下列文件对于本规范的应用是必不可少的。

凡是注日期的引用文件,仅注日期的版本适用于本规范。

凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。

――中华人民共和国计算机信息系统安全维护条例――中华人民共和国国家安全法――中华人民共和国激进国家秘密法――计算机信息系统国际联网保密管理规定――中华人民共和国计算机信息网络国际联网管理暂行规定――iso27001标准/iso27002指南――公通字[2021]43号信息安全等级维护管理办法――gb/t21028-2021信息安全技术服务器安全技术要求――gb/t20269-2021信息安全技术信息系统安全管理要求――gb/t22239-2021信息安全技术信息系统安全等级维护基本建议――gb/t22240-2021信息安全技术信息系统安全等级维护定级指南3术语和定义安全基线:指针对it设备的安全特性,挑选最合适的安全控制措施,定义相同it设备的最高安全布局建议,则该最高安全布局建议就称作安全基线。

管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。

生产控制大区可以分为控制区(安全区i)和非控制区(安全区ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。

根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。

4总则4.1指导思想紧紧围绕公司打造出经营型、服务型、一体化、现代化的国内领先、国际知名企业的战略总体目标,为二要弘扬南网方略,确保信息化建设,提升信息安全防水能力,通过规范it主流设备安全基线,创建公司管理信息大区it主流设备安全防水的最低标准,同时实现公司it主流设备整体防护的技术措施标准化、规范化、指标化。

华为设备(交换机)安全配置基线

华为设备(交换机)安全配置基线

华为设备(交换机)安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误!未定义书签。

2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。

1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

网络设备安全基线

网络设备安全基线

6
SNMP协议
设置SNMP读写密码
7
帐号管理
开启日志审计功能
8
二层安全要求
端口配置广播抑制
9
其它安全要求
禁止未使用或空闲的端口 启用源地址路由检查(二层不适 用)
10
其它安全要求
华为交换机安全基线: 共10项,适用于华为交换机 (注意: 部分配置完成后需要重启服务)
操作指南 加固方法: 全局模式下启用如下命令: Quidway# undo ftp server 加固方法: 全局模式下启用如下命令: Quidway# undo ntp-service 加固方法: 全局模式下启用如下命令: Quidway# undo dhcp server 加固方法: 全局模式下启用如下命令: Quidway# hgmpserver disable Quidway# undo hgmpserver 加固方法: 全局模式下启用如下命令: 方法一: 用户终端的本地口令认证 # user-interface vty 0 4 # authentication-mode password # set authentication password [simple | cipher] xxxxx 方法二: 本地用户名/密码认证 # local-user xxx password [simple | cipher] xxx # user-interface vty 0 4 # authentication-mode local 方法三: 本地AAA认证 # aaa enable # aaa authentication-scheme login default local # local-user xxx password [simple | cipher] xxx # authentication-mode scheme default 方法四: 远程RADIUS认证 # aaa-enable # aaa authentication-scheme login xxx radius # radius-server xxx.xxx.xxx.xxx authentication-port xxxx # authentication-mode scheme xxx 其中,xxx为认证方法表名 加固方法: 全局模式下启用如下命令: snmp-agent community read xxxxxxxx snmp-agent community write xxxxxxxx 加固方法: 全局模式下启用如下命令: 第一种: SNMP TRAP的方式 #snmp-agent target-host trap ip-address #snmp-agent trap enable 第二种: SYSLOG的方式 #info-center loghost 10.113.0.41

安全运维配置基线检查

安全运维配置基线检查

访问控制列表(ACL)
根据业务需求,合理配置文件和目录的访问控 制列表,限制用户对系统资源的访问。
远程访问控制
对于远程访问,应采用加密协议(如SSH),并限制远程登录的权限和时间。
安全审计与日志管理
审计策略配置
启用操作系统的审计功能,记录用户登录、操作等关 键事件,以便后续分析和追溯。
日志保存与备份
网络访问控制
限制数据库的网络访问,只允许必要 的IP地址和端口进行连接,防止未经
授权的远程访问。
数据库安全审计与日志管理
审计策略配置
启用数据库审计功能,记录所有对数据库的访问和 操作,以便后续分析和追溯。
日志保留与备份
定期备份和保留数据库日志,确保日志的完整性和 可恢复性。
日志分析与告警
对数据库日志进行分析,及时发现异常行为和潜在 威胁,并触发告警通知相关人员。
设备备份与恢复
定期对网络设备进行备份,确保在设备故障或数据丢失时能够及时恢 复。
07
应用系统安全配置基线检查
应用系统身份鉴别与访问控制
身份鉴别机制
应用系统应具备完善的身份鉴别机制,包括用户名/密码、数字证书、动态口令等多种 鉴别方式,确保用户身份的真实性和合法性。
访问控制策略
根据用户角色和权限,实施严格的访问控制策略,防止未经授权的访问和操作,确保应 用系统的安全性和数据的保密性。
02
03
安全漏洞管理
及时关注操作系统厂商发布的安全漏 洞信息,对存在漏洞的系统进行修补 和升级。
05
数据库安全配置基线检查
数据库访问控制
访问权限管理
确保只有授权用户能够访问数据库, 采用最小权限原则,避免权限滥用。
身份验证机制

网络安全基线扫描

网络安全基线扫描

网络安全基线扫描网络安全基线扫描是对网络中的主机、服务及设备进行安全性评估的过程。

其目的是发现存在的安全风险,提高网络安全性。

网络安全基线扫描主要包括以下几个方面:1. 主机扫描:通过扫描网络中的主机,检测主机上的开放端口、可被攻击的服务、漏洞等安全风险,以及系统配置不规范导致的安全隐患。

2. 服务扫描:扫描网络中的服务,发现未经授权或不安全的服务,如FTP、Telnet等,以及协议错误、弱口令等造成的安全威胁。

3. 设备扫描:扫描网络中的设备,发现设备的安全设置是否合理,如路由器、交换机的密码设置、访问控制等,以及设备固件是否存在漏洞。

4. 漏洞扫描:使用漏洞扫描工具,对网络中的主机和服务进行扫描,发现系统中的漏洞,如操作系统漏洞、软件漏洞等,以及可能的攻击路径。

5. 弱口令扫描:检测网络中存在的弱口令,包括默认密码、常用密码等,以防止恶意用户或攻击者通过猜测密码等方式获取系统访问权限。

6. 安全配置扫描:检查网络中的主机和服务的安全配置,如防火墙策略、访问控制列表、日志监控等,以保障网络的安全性。

在进行网络安全基线扫描时,需要注意以下几个问题:1. 安全性和合法性:扫描过程中要确保对网络进行合法操作,遵守相关法律法规和道德规范,不得对网络造成损害或干扰。

2. 保密性:扫描过程中要确保扫描结果的保密性,不得泄露给未经授权的人员或机构,以防止信息被滥用。

3. 安全隐患排查:扫描结果应及时分析,对发现的安全隐患进行评估和处理,制定相应的安全措施,提高网络的安全性。

4. 审计记录:对网络安全基线扫描的过程和结果进行记录和保存,以备日后审计检查或安全事件调查。

网络安全基线扫描是网络安全管理的重要工具,通过对网络进行全面、系统的扫描和评估,可以帮助组织及时发现和处理潜在的安全威胁,提高网络的安全性和可靠性,确保信息系统的正常运行和用户的数据安全。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

H3C设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 (8)2.2.3密码复杂度 (9)2.3授权 (10)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (10)第3章日志安全要求 (11)3.1日志安全 (11)3.1.1启用信息中心 (11)3.1.2开启NTP服务保证记录的时间的准确性 (12)3.1.3远程日志功能* (13)第4章IP协议安全要求 (14)4.1IP协议 (14)4.1.1VRRP认证 (14)4.1.2系统远程服务只允许特定地址访问 (14)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置H3C路由器、交换机设备,保证设备基本安全。

1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

1.3适用版本comwareV7版本交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-H3C-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作:[H3C] local-user admin[H3C-luser-manage-admin] password hash admin@mmu2[H3C-luser-manage-admin] authorization-attribute user-role level-15[H3C] local-user user[H3C-luser-network-user] password hash user@nhesa[H3C-luser-network-user] authorization-attribute user-role network-operator5、安全判定条件:(1)配置文件中,存在不同的账号分配(2)网络管理员确认用户与账号分配关系明确6、检测操作:使用命令dis cur命令查看:…local-user admin class managepassword hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ==service-type sshauthorization-attribute user-role level-15#local-user user class networkpassword hash $h$6$mmu2MlqLkGMnNyservice-type sshauthorization-attribute user-role network-operator#对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。

2.1.2删除无关的帐号*1、安全基线名称:删除无关的账号2、安全基线编号:SBL-H3C-02-01-023、安全基线说明:应删除与设备运行、维护等工作无关的账号。

4、参考配置操作:[H3C]undo local-user user class network5、安全判定条件:(1)配置文件存在多个账号(2)网络管理员确认账号与设备运行、维护等工作无关6、检测操作:使用dis cur | include local-user命令查看:[H3C]dis cur | include local-userlocal-user admin class managelocal-user user1 class manage若不存在无用账号则说明符合安全要求。

2.2口令2.2.1静态口令以密文形式存放1、安全基线名称:静态口令以密文形式存放2、安全基线编号:SBL-H3C-02-02-013、安全基线说明:配置本地用户和super口令使用密文密码。

4、参考配置操作:[H3C]local-user admin[H3C-luser-manage-admin]password hash <密文password> //配置本地用户密文密码[H3C]super password hash <密文password> //配置super密码使用密文加密5、安全判定条件:配置文件中没有明文密码字段。

6、检测操作:使用dis cur显示本地用户账号和super密码为密文密码#local-user admin class managepassword hash$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDoZlLwO/4Jn/G1OXExEKsv+c2lNRICxCE UU13fGSGCqkVojcHvn8a6u8gcHLXVWaCgq4/VI0sxuoWQ==service-type ssh telnetauthorization-attribute user-role level-15#local-user user1 class managepassword hash$h$6$Vq2YRqXUGH5+Rb7H$gXyN9RI9CPidNbbabnP8Ul6RvR9p8+AchsO5MmNV+ ePgOJ6z8/mZTL1hlnQV14oDAbvP5uHhG7gP1/U0pwHGFQ==authorization-attribute user-role network-operator##super password role network-admin hash$h$6$5hCfLSGRV20XIu31$CMRoTM2axjYWGsOuwnhH7jdyczUUTGupjH0RinySG Yft6k9RDySQS29QyciznpJoVS/thfJHRWEmiPQG7c13WQ==#2.2.2帐号、口令和授权1、安全基线名称:账号、口令和授权安全基线2、安全基线编号:SBL-H3C-02-02-023、安全基线说明:通过认证系统,确认远程用户身份,判断是否为合法的网络用户。

4、参考配置操作:[H3C]local-user admin[H3C-luser-manage-admin]password hash pipaxing@xiangyun[H3C-luser-manage-admin]authorization-attribute user-role level-15[H3C]domain admin[H3C-isp-admin]authentication default local5、安全判定条件:账号和口令的配置,指定了认证的系统。

6、检测操作:[H3C]dis cur…#domain admin#domain system#domain default enable system#2.2.3密码复杂度1、安全基线名称:密码复杂度2、安全基线编号:SBL-H3C-02-02-033、安全基线说明:对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

4、参考配置操作:[H3C]local-user admin[H3C-luser-manage-admin]password pipaxing@xiangyun5、安全判定条件:密码强度符合要求,密码至少90天进行更换。

2.3授权2.3.1用IP协议进行远程维护的设备使用SSH等加密协议1、安全基线名称:用IP协议进行远程维护设备2、安全基线编号:SBL-H3C-02-03-013、安全基线说明:使用IP协议进行远程维护设备,应配置使用SSH等加密协议连接。

4、参考配置操作:[H3C]ssh server enable[H3C]local-user admin[H3C-luser-manage-admin]service-type ssh5、安全判定条件:配置文件中只允许SSH等加密协议连接。

6、检测操作:使用dis cur | include ssh命令:[H3C]dis cur | include sshssh server enableservice-type sshssh 服务为enable状态表明符合安全要求。

第3章日志安全要求3.1日志安全3.1.1启用信息中心1、安全基线名称:启用信息中心2、安全基线编号:SBL-H3C-03-01-013、安全基线说明:启用信息中心,记录与设备相关的事件。

4、参考配置操作:[H3C]info-center enable5、安全判定条件:(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录使用的IP地址。

(2)记录用户登录设备后所进行的所有操作。

6、检测操作:使用dis info-center有显示Information Center: Enabled类似信息,如:[H3C]dis info-centerInformation Center: EnabledConsole: EnabledMonitor: EnabledLog host: Enabled10.1.0.20,port number: 514, host facility: local710.1.0.95,port number: 514, host facility: local710.1.0.99,port number: 514, host facility: local7Log buffer: EnabledMax buffer size 1024, current buffer size 512Current messages 512, dropped messages 0, overwritten messages 3736 Log file: EnabledSecurity log file: DisabledInformation timestamp format:Log host: DateOther output destination: Date3.1.2开启NTP服务保证记录的时间的准确性1、安全基线名称:日志记录时间准确性2、安全基线编号:SBL-H3C-03-01-023、安全基线说明:开启NTP服务,保证日志功能记录的时间的准确性。