Wlan安全规范.docVIP

Wlan安全验收规范 接入网路由器、交换机安全验收 账号 按照用户分配账号。 避免不同用户间共享账号。 删除与设备运行、维护等工作无关的账号。 若设备支持，账号远程登陆只具有普通权限，若需要管理员权限，则在用户远程登录后，输入密码切换到管理员权限后执行相应操作。 配置定时账户自动登出，登出后用户需再次登录才能进入系统。 口令 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 静态口令必须使用不可逆加密算法加密后保存于配置文件中。 日志 设备应配置日志功能，对用户登录、用户对设备的操作、与设备相关的安全事件等信息进行记录。 基本协议 对于通过IP协议进行远程维护的设备，设备必须使用SSH等加密协议，不得使用Telnet服务。 路由协议 若设备支持，动态路由协议口令必须使用MD5加密等手段。 关闭不必要的路由协议。 SNMP协议 修改SNMP协议RO和RW的Community，密码复杂度要求同1.1.2口令配置要求。 系统必须配置为SNMPV2或以上版本。 设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。 配置相应的trap目标地址。 设备其他安全功能 在配置中关闭不使用的物理端口。 Console口添加密码保护，密码复杂度要求同1.1.2口令配置要求。 关闭不必要的服务，如FTP、TFTP等。 接入网AP安全配置验收标准 账号 只保留一个账号。 配置帐户超时自动登出，重新登录需要再次验证。 口令 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 静态口令必须使用不可逆加密算法加密后保存于配置文件中。 二层隔离 设备开启二层隔离功能（端口隔离或用户隔离）。 SNMP协议 修改SNMP协议RO和RW的Community，密码复杂度要求同1.1.2口令配置要求。 系统应配置为SNMPV2或以上版本。 如设备支持，设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。 配置相应的trap目标地址。 设备其他安全功能 Console口添加密码保护，密码复杂度要求同1.1.2口令配置要求，或关闭Console口。 关闭不必要的服务，如FTP、TFTP等。 安全验收表格 设备 类别 要求 备注 路由器、交换机 账号 按用户分配账号 　 路由器、交换机 账号 避免不同用户间共享账号 　 路由器、交换机 账号 删除与设备运行、维护等工作无关的账号 　 路由器、交换机 账号 若设备支持，账号远程登陆只具有普通权限，用户远程登录后，再输入密码切换到管理员权限账号后执行相应操作 　 路由器、交换机 账号 配置帐户超时自动登出，重新登录需要再次验证 300秒 路由器、交换机 口令 满足复杂度要求，详见文档说明 　 路由器、交换机 口令 静态口令必须使用不可逆加密算法加密后保存于配置文件中 　 路由器、交换机 日志 设备应配置日志功能，对用户登录、用户对设备的操作、与设备相关的安全事件等信息进行记录 　 路由器、交换机 基本协议 存在远程维护时，设备应支持SSH等加密协议 　 路由器、交换机 路由协议 动态路由口令要求配置MD5加密 　 路由器、交换机 路由协议 关闭未使用的路由协议 　 路由器、交换机 SNMP协议 修改SNMP协议RO和RW的Community，使其满足复杂度要求 目前统一为“cmcc！@#99” 路由器、交换机 SNMP协议 系统应配置为SNMPV2或以上版本 　 路由器、交换机 SNMP协议 设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备 -1 路由器、交换机 SNMP协议 配置相应的trap目标地址 ，端口为162 路由器、交换机 其他 关闭不使用的物理端口 　 路由器、交换机 其他 Console口添加密码保护，密码满足复杂度要求 　 路由器、交换机 其他 关闭不必要的服务，如FTP、TFTP等 　 胖AP 账号 只保留一个账号 　 胖AP 账号 配置帐户超时自动登出，重新登录需要再次验证 300秒。根据设备能力，可选 胖AP 口令 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类 　 胖AP 口令 静态口令必须使用不可逆加密算法加密后保存于配置文件中 根据设备能力，可选 胖AP 二层隔离 设备开启二层隔离功能 　 胖AP SNMP协议 修改SNMP协议RO和RW的Community，使其满足复杂度要求 目前统一为“cmcc！@#99” 胖AP SNMP协议 系统应配置为SNMPV2或以上版本 　 胖AP SNMP协议 设置SNMP访问安全限制，只允许特定主机通