安防行业信息技术部运维员网络信息安全手册.docxVIP

安防行业信息技术部运维员网络信息安全手册

第1章基础架构与访问控制

1.1核心网络设备配置规范

核心交换机需部署双活或主备冗余架构，启用VRRP协议实现毫秒级故障切换，确保单点故障下业务零中断，建议配置VLAN隔离不同业务域，将管理网、业务网隔离在独立广播域，防止非法访问蔓延。各接入端口应严格遵循802.1X认证+MAC地址绑定+动态IP分配”的三层访问控制模型，禁止默认静态IP，通过DHCP服务器动态下发IP地址，并在管理端口关闭Telnet/SSH等弱加密协议，仅保留或SSH服务。

核心设备需开启防篡改功能，配置SNMPv3协议并设置强密码及加密算法，同时部署基于时间戳和消息验证码（TAM）的防重放攻击机制，确保网络配置变更可追溯且不可伪造。核心路由器出口处需配置ACL（访问控制列表），仅允许授权VLAN的特定源IP段访问核心设备，严格限制源IP、目的IP及端口号，对未知源IP包进行丢弃并记录详细日志，阻断非法流量注入。网络设备接口需配置树协议（STP）的根桥优先级和根路径成本，防止环路产生，并开启MD5或SHA-256加密的端口安全功能，限制每个端口最大接入设备数量，防止非法设备接入造成网络风暴。

核心设备需部署基于Windows或Linux的防病毒软件，并开启实时检测与