中国电信互联网及相关网络路由器设备安全防护要求V1.0.0.docVIP

中国电信安全策略体系文档 中国电信安全策略体系文档 文档编号: 文档编号: SOC 02-02-003 中国电信互联网及相关网络 中国电信互联网及相关网络 路由器设备安全防护要求 版本号： 版本号：1.0.0 发布日期： 发布日期： 中国电信集团公司网络运行维护事业部 中国电信集团公司 网络运行维护事业部 修订记录 修订日期 修订内容 修订人  目 次 TOC \o 1-3 \h \z \u 前 言 1 1 引言 2 1.1 目的 2 1.2 范围 2 2 防护策略划分 3 3 管理平面防护策略 4 3.1 管理口防护 4 3.2 账号与口令 4 3.3 认证 5 3.4 授权 5 3.5 审计 5 3.6 远程管理 6 3.7 SNMP安全 6 3.8 系统日志 6 3.9 NTP 7 3.10 banner信息 7 3.11 未使用的管理平面服务 7 4 数据转发平面防护策略 8 4.1 流量控制 8 4.2 典型垃圾流量过滤 8 4.3 ToFab 8 5 控制平面防护策略 9 5.1 ACL控制 9 5.2 路由安全防护 9 5.3 协议报文防护 9 5.4 引擎防护策略 10 中国电信互联网及相关网络路由器设备防护要求 PAGE 1  前 言 为进一步落实《中国电信互联网及相关网络安全策略总纲》要求，促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规范化运作，明确路由器设备必须满足的基本安全防护要求（相关安全防护要求独立于具体厂家），特制定本防护要求（以下简称“要求”）。 各省公司可以根据实际情况，在本要求的基础上制定相应的实施细则并具体实施。 本文档起草单位：中国电信集团公司网络运行维护事业部 本文档解释单位：中国电信集团公司网络运行维护事业部 PAGE 9 引言 目的 为促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规范化运作，明确路由器设备必须满足的基本安全防护要求（相关安全防护要求独立于具体厂家），特制定本要求。 范围 本要求适用于中国电信的互联网与相关网络及系统，主要包括IP承载网，以及承载在其上的各种业务网、业务平台和支撑系统。IP承载网包括中国电信ChinaNet、CN2、城域网、DCN等网络；业务网包括C网分组域、软交换等；业务平台包括C网业务平台、全球眼、互联星空等；支撑系统包括DNS、网管系统、认证系统等。 防护策略划分 根据国内外运营商网络及结合中国电信的实际情况，可将路由交换设备的安全域逻辑划分为管理平面、控制平面、转发平面等三大平面，每个平面的具体安全策略不同。具体如下： 管理平面：管理平面防护的主要安全策略是保护设备远程管理及本地服务的安全性，降低设备受到网络攻击或被入侵的可能性。 转发平面：数据转发平面的主要安全策略是对异常流量进行控制，防止因网络蠕虫、拒绝服务攻击等流量在网络中的泛滥，造成网络的拥塞或不可用。 控制平面：控制平面的主要安全策略是保证设备系统资源的可用性，使得设备可以正常的实现数据转发、协议更新。 管理平面防护策略 管理平面防护的主要目的是保护路由器远程管理及本地服务的安全性，降低路由器受到网络攻击或被入侵的可能性。管理平面防护的措施主要包括以下几方面： 管理口防护 编号 内容 1 设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。 2 设备应配置console口密码保护。 账号与口令 本地认证 编号 内容 1 应对不同的用户分配不同的账号，避免不同用户间账号共享。 2 应禁止配置与设备运行、维护等工作无关的账号； 应禁止使用设备默认账号与口令并严格控制本地认证账号数量。 3 对于采用静态口令认证技术的设备：应支持口令长度及复杂度验证机制（强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成，自动拒绝用户设置不符合复杂度要求的口令。）；口令应以密文形式存放，并采用安全可靠的单向散列加密算法（如md5、sha1等）；口令定期更改，最长不得超过90天。 认证服务器认证去掉 去掉 编号 内容 1 建议使用动态口令认证技术。 2 口令定期更改，最长不得超过90天。 3 应为设备配置用户 连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。 4 设备应通过对用户组的认证实现对用户组及组内账号、口令的相关控制。 认证 编号 内容 1 除本地认证外，设备原则上还应通过与认证服务器