中国电信互联网及相关网络路由器设备安全防护要求V1.0.0题库.docVIP

修订记录 修订日期 修订内容 修订人  目 次 前 言 1 1 引言 2 1.1 目的 2 1.2 范围 2 2 防护策略划分 3 3 管理平面防护策略 4 3.1 管理口防护 4 3.2 账号与口令 4 3.3 认证 5 3.4 授权 5 3.5 审计 5 3.6 远程管理 6 3.7 SNMP安全 6 3.8 系统日志 6 3.9 NTP 7 3.10 banner信息 7 3.11 未使用的管理平面服务 7 4 数据转发平面防护策略 8 4.1 流量控制 8 4.2 典型垃圾流量过滤 8 4.3 ToFab 8 5 控制平面防护策略 9 5.1 ACL控制 9 5.2 路由安全防护 9 5.3 协议报文防护 9 5.4 引擎防护策略 10  前 言 为进一步落实《中国电信互联网及相关网络安全策略总纲》，，特制定，特制定中国 控制平面：控制平面的主要安全策略是保证设备系统资源的可用性，使得设备可以正常的实现数据转发、协议更新。 管理平面防护策略 管理平面防护的主要目的是保护路由器远程管理及本地服务的安全性，降低路由器受到网络攻击或被入侵的可能性。管理平面防护的措施主要包括以下几方面： 管理口防护 编号 内容 1 设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。 2 设备应配置console口密码保护。 账号与口令 本地认证 编号 内容 1 应对不同的用户分配不同的账号，避免不同用户间账号共享。 2 应禁止配置与设备运行、维护等工作无关的账号； 应禁止使用设备默认账号与口令并严格控制本地认证账号数量。 3 对于采用静态口令认证技术的设备：应支持口令长度及复杂度验证机制（强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成，自动拒绝用户设置不符合复杂度要求的口令。）；口令应以密文形式存放，并采用安全可靠的单向散列加密算法（如md5、sha1等）；口令定期更改，最长不得超过90天。 认证服务器认证 编号 内容 1 建议使用动态口令认证技术。 2 口令定期更改，最长不得超过90天。 3 应为设备配置用户 连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。 4 设备应通过对用户组的认证实现对用户组及组内账号、口令的相关控制。 认证 编号 内容 1 除本地认证外，设备原则上还应通过与认证服务器（RADIUS或TACACS服务器）联动的方式实现对用户的认证。 授权 编号 内容 1 设备原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。 2 除本地授权外，设备原则上应通过与认证服务器（RADIUS服务器或TACACS服务器）联动的方式实现对用户的授权。对用户授权时，建议采用逐条授权的方式，尽量避免或减少使用一次性授权的方式。 3 原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度的控制的能力。 记账 编号 内容 1 原则上应采用与认证服务器 (RADIUS或TACACS服务器)联动的方式，实现对用户登录日志的记录和审计。记录和审计范围应包括但不限于：用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。 2 原则上应采用与认证服务器 (RADIUS或TACACS服务器)联动的方式，实现对用户操作行为的记录和审计，记录和审计范围应包括但不限于：账号创建、删除和权限修改，口令修改，设备配置修改，执行操作的行为和操作结果等。 远程管理 编号 内容 1 应配置超时退出 2 应限制VTY口的数量，通常情况下VTY口数量不超过16个。应设定VTY口的防护策略，避免由于恶意攻击或者错误操作等导致VTY口不可用情况的发生。（如：网管系统尽量采用snmp方式对设备进行操作，避免使用对设备CPU负载较大的telnet方式。） 3 对于VTY口访问的认证，应采用认证服务器认证或者本地认证的方式，避免使用VTY口下设置密码的方式认证。 4 应通过ACL限制可远程管理设备的IP地址段。 5 建议使用SSH或带SSH的telnet等加密的远程管理方式。 SNMP安全 编号 内容 1 设备应支持并使用V2或V2以上版本的SNMP协议，对于支持V3版本的设备，必须使用V3版本SNMP协议。 2 应对发起SNMP访问的源IP地址进行限制，并对设备接收端口进行限制。 3 应关闭未使用的SNMP协议，尽量不开启SNMP的RW权限。 4 应修改SNMP协议RO和RW的默认Community字符串，并设置复杂的字符串作为SNMP的Community。 5