hc交换机设备安全基线.docx

集团标准化办公室：[VV986T-J682P28-JP266L8-68PNN] 集团标准化办公室：[VV986T-J682P28-JP266L8-68PNN] HC交换机设备安全基线 H3C设备安全配置基线 目录 TOC \o 1-3 \h \z \u 第1章 概述 4 目的 4 适用范围 4 适用版本 4 第2章 帐号管理、认证授权安全要求 6 帐号管理 6 用户帐号分配* 6 删除无关的帐号* 7 口令 8 静态口令以密文形式存放 8 帐号、口令和授权 9 密码复杂度 10 授权 11 用IP协议进行远程维护的设备使用SSH等加密协议 11 第3章 日志安全要求 12 日志安全 12 启用信息中心 12 开启NTP服务保证记录的时间的准确性 13 远程日志功能* 14 第4章 IP协议安全要求 15 IP协议 15 VRRP认证 15 系统远程服务只允许特定地址访问 15 功能配置 16 SNMP的Community默认通行字口令强度 16 只与特定主机进行SNMP协议交互 17 配置SNMPV2或以上版本 18 关闭未使用的SNMP协议及未使用write权限 19 第5章 IP协议安全要求 20 其他安全配置 20 关闭未使用的接口 20 修改设备缺省BANNER语 21 配置定时账户自动登出 21 配置console口密码保护功能 22 端口与实际应用相符 23 概述 目的 规范配置H3C路由器、交换机设备，保证设备基本安全。 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 适用版本 comwareV7版本交换机、路由器。 帐号管理、认证授权安全要求 帐号管理 用户帐号分配* 1、安全基线名称：用户帐号分配安全 2、安全基线编号：SBL-H3C-02-01-01 3、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。 4、参考配置操作： [H3C] local-user admin [H3C-luser-manage-admin] password hash admin@mmu2 [H3C-luser-manage-admin] authorization-attribute user-role level-15 [H3C] local-user user [H3C-luser-network-user] password hash user@nhesa [H3C-luser-network-user] authorization-attribute user-role network-operator 5、安全判定条件： （1）配置文件中，存在不同的账号分配 （2）网络管理员确认用户与账号分配关系明确 6、检测操作： 使用命令dis cur命令查看： … # local-user admin class manage password hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ== service-type ssh authorization-attribute user-role level-15 # local-user user class network password hash $h$6$mmu2MlqLkGMnNy service-type ssh authorization-attribute user-role network-operator # 对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。 删除无关的帐号* 1、安全基线名称：删除无关的账号 2、安全基线编号：SBL-H3C-02-01-02 3、安全基线说明：应删除与设备运行、维护等工作无关的账号。 4、参考配置操作： [H3C]undo local-user user class network 5、安全判定条件： （1）配置文件存在多个账号 （2）网络管理员确认账号与设备运行、维护等工作无关 6、检测操作： 使用dis cur | include local-user命令查看： [H3C]dis cur | include local-user local-user admin class manage local-user user1 class manage 若不存在无用账号则说明符合安全要求。 口令 静态口令以密文形式存放 1、安全基线名称：静态口令以密文形式存放 2、安全