网络设备安全基线技术规范

yangjingbb
0 ℃
2019-10-02

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

1安全基线技术要求1.1网络设备1.1.1网络通用安全基线技术要求1.1.1.1网络设备防护基线名称安全设备的用户进行身份鉴别。基线编号IB-WLSB-01-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备通过相关参数配置，通过与认证服务器（RADIUS或TACACS服务器）联动的方式实现对用户的认证，满足账号、口令和授权的要求，对登录设备的用户进行身份鉴别。备注基线名称网络设备用户的标识唯一。基线编号IB-WLSB-01-02基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求网络设备用户的标识应唯一；禁止多个人员共用一个账号。备注基线名称身份鉴别信息应具有复杂度要求并定期更换。基线编号IB-WLSB-01-03基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应修改控制中心登录的默认账户和密码，密码长度应不小于8，密码应由字母、数字、特殊符号中的至少2种组成。备注基线名称登录失败处理。基线编号IB-WLSB-01-04基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘2基线要求应为设备配置用户连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。备注基线名称清除无关的账号。基线编号IB-WLSB-01-05基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应删除与设备运行、维护等工作无关的账号。备注基线名称配置console口密码保护基线编号IB-WLSB-01-06基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于具备console口的设备，应配置console口密码保护功能。备注基线名称按照用户分配账号基线编号IB-WLSB-01-07基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。备注基线名称配置使用SSH基线编号IB-WLSB-01-08基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。备注3基线名称对用户进行分级权限控制基线编号IB-WLSB-01-09基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。备注基线名称配置访问IP地址限制基线编号IB-WLSB-01-10基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应对发起SNMP访问的源IP地址进行限制，并对设备接收端口进行限制。备注基线名称授权粒度控制基线编号IB-WLSB-01-11基线类型强制要求适用范围□等保一、二级□等保三级涉普通商秘（工作秘密）□涉核心商秘基线要求原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度的控制的能力。备注基线名称按最小权限方法分配帐号权限基线编号IB-WLSB-01-12基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。备注基线名称配置定时账户自动登出基线编号IB-WLSB-01-13基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于具备字符交互界面的设备，应配置定时账户自动登出。4备注基线名称限制NTP通信地址范围基线编号IB-WLSB-01-14基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求通过ACL对NTP服务器与设备间的通信进行控制。备注基线名称启用NTP服务基线编号IB-WLSB-01-15基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应开启NTP，保证设备日志记录时间的准确性。备注基线名称配置会话超时基线编号IB-WLSB-01-16基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于具备字符交互界面的设备，应配置定时账户自动登出。备注基线名称配置屏幕自动锁定基线编号IB-WLSB-01-17基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定。备注基线名称修改缺省BANNER基线编号IB-WLSB-01-18基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求隐藏设备字符管理界面的bannner信息。5备注基线名称Community字符串加密存放基线编号IB-WLSB-01-19基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求支持对SNMP协议RO、RW的Community字符串的加密存放。备注基线名称配置路由信息发布和接受策略基线编号IB-WLSB-01-20基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求采用动态路由协议时，使用ipprefix-list过滤缺省和私有路由、设置最大路由条目限制、严格限制BGPPEER的源地址等方法避免设备发布或接收不安全的路由信息。备注基线名称配置路由协议的认证和口令加密基线编号IB-WLSB-01-21基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求启用动态IGP（RIPV2、OSPF、ISIS等）或EGP（BGP）协议时，启用路由协议认证功能，如MD5加密，确保与可信方进行路由协议交互。备注基线名称SNMP配置-修改SNMP的默认Community基线编号IB-WLSB-01-22基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应修改SNMP协议RO和RW的默认Community字符串，并设置复杂的字符串作为SNMP的Community。备注6基线名称SNMP配置-禁用有写权限的SNMPCommunity基线编号IB-WLSB-01-23基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应关闭未使用的SNMP协议，尽量不开启SNMP的RW权限。备注基线名称SNMP配置-配置选用较高SNMP版本基线编号IB-WLSB-01-24基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求使用SNMPV3以上的版本对设备做远程管理。备注1.1.1.2访问控制基线名称避免从内网主机直接访问外网基线编号IB-WLSB-02-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应用代理服务器，将从内网到外网的访问流量通过代理服务器。设备只开启代理服务器到外部网络的访问规则，避免在设备上配置从内网的主机直接到外网的访问规则。备注基线名称配置流量控制基线编号IB-WLSB-02-02基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求使用合理的ACL或其它分组过滤技术，对设备控制流量、管理流量及其它由路由器引擎直接处理的流量（如traceroute、ICMP流量）进行控制，实现对路由器引擎的保护。备注7基线名称配置安全域的访问控制规则基线编号IB-WLSB-02-03基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求所有的安全域都具有相应的规则进行防护，对进出流量进行控制。备注基线名称VPN用户按照访问权限进行分组基线编号IB-WLSB-02-04基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。备注基线名称过滤不相关流量-ACL基线编号IB-WLSB-02-05基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。备注基线名称最小化服务基线编号IB-WLSB-02-06基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求禁用非必要的服务。备注1.1.1.3安全审计基线名称开启日志功能8基线编号IB-WLSB-03-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求开启记录日志，记录访问登录、退出等信息。备注基线名称配置日志存储位置基线编号IB-WLSB-03-02基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求将重要或指定级别的日志发送到日志服务器或其它位置，进行安全存放，要求能追溯至少60天内的日志记录。备注基线名称配置安全事件日志记录基线编号IB-WLSB-03-03基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备应配置日志功能，记录对与设备自身相关的安全事件。备注基线名称配置操作日志基线编号IB-WLSB-03-04基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。备注1.1.1.4入侵防范基线名称开启告警功能9基线编号IB-WLSB-04-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备应具备向管理员告警的功能，配置告警功能，报告对设备本身的攻击或者设备的系统严重错误。备注基线名称配置拒绝常见漏洞所对应端口或者服务的访问基线编号IB-WLSB-04-02基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求配置访问控制规则，拒绝对常见漏洞所对应端口或者服务的访问。备注基线名称防止仿冒ARP网关攻击基线编号IB-WLSB-04-03基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应对仿冒ARP网关攻击进行防护。备注基线名称配置网络层异常报文攻击告警基线编号IB-WLSB-04-04基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。备注基线名称关闭不必要的服务基线编号IB-WLSB-04-05基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应关闭设备上不必要的服务(如CDP、DNSlookup、DHCP、finger、udp-small-server、tcp-small-server、http、bootp、IP源路由、PAD等)。10备注基线名称关闭不必要的服务-禁用FTP服务基线编号IB-WLSB-04-06基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□