网络设备安全基线技术规范
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
应修改 SNMP 协议 RO 和 RW 的默认 Community 字符串, 并设置复杂的字符 串作为 SNMP 的 Community。
备注
5
基线名称 基线编号 适用范围 基线要求 备注
SNMP 配置-禁用有写权限的 SNMP Community IB-WLSB-01-23 基线类型 强制要求
备注
基线名称 基线编号 适用范围 基线要求
配置流量控制 IB-WLSB-02-02 基线类型 可选要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
使用合理的 ACL 或其它分组过滤技术, 对设备控制流量、 管理流量及其它由 路由器引擎直接处理的流量(如 traceroute、ICMP 流量)进行控制,实现对 路由器引擎的保护。
安全基线技术要求
1.1 网络设备
1.1.1 网络通用安全基线技术要求 1.1.1.1 网络设备防护 基线名称 基线编号 适用范围 基线要求 安全设备的用户进行身份鉴别。 IB-WLSB-01-01 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
设备通过相关参数配置,通过与认证服务器(RADIUS 或 TACACS 服务器) 联动的方式实现对用户的认证,满足账号、口令和授权的要求,对登录设备 的用户进行身份鉴别。
基线名称 基线编号 适用范围 基线要求
按照用户分配账号 IB-WLSB-01-07 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
应按照用户分配账号。 避免不同用户间共享账号。 避免用户账号和设备间通信使用的账号共享。
备注
基线名称 基线编号 适用范围 基线要求 备注
通过 ACL 对 NTP 服务器与设备间的通信进行控制。
基线名称 基线编号 适用范围 基线要求 备注
启用 NTP 服务 IB-WLSB-01-15 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
应开启 NTP,保证设备日志记录时间的准确性。
基线名称 基线编号 适用范围 基线要求 备注
配置安全事件日志记录 IB-WLSB-03-03 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
设备应配置日志功能,记录对与设备自身相关的安全事件。
基线名称 基线编号 适用范围 基线要求
配置操作日志 IB-WLSB-03-04 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
原则上应采用预定义级别的授权方法,实现对不同用户权限的控制。
基线名称 基线编号 适用范围 基线要求 备注
配置访问 IP 地址限制 IB-WLSB-01-10 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
应删除与设备运行、维护等工作无关的账号。
基线名称 基线编号 适用范围 基线要求 备注
配置 console 口密码保护 IB-WLSB-01-06 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
对于具备 console 口的设备,应配置 console 口密码保护功能。
备注
6
基线名称 基线编号 适用范围 基线要求 备注
配置安全域的访问控制规则 IB-WLSB-02-03 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
所有的安全域都具有相应的规则进行防护,对进出流量进行控制。
基线名称 基线编号 适用范围 基线要求
VPN 用户按照访问权限进行分组 IB-WLSB-02-04 基线类型 可选要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
配置访问控制规则,拒绝对常见漏洞所对应端口或者服务的访问。
基线名称 基线编号 适用范围 基线要求 备注
Community 字符串加密存放 IB-WLSB-01-19 基线类型 可选要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
支持对 SNMP 协议 RO、RW 的 Community 字符串的加密存放。
基线名称 基线编号 适用范围 基线要求
配置路由信息发布和接受策略 IB-WLSB-01-20 基线类型 可选要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
启用动态 IGP(RIPV2、OSPF、ISIS 等)或 EGP(BGP)协议时,启用路由 协议认证功能,如 MD5 加密,确保与可信方进行路由协议交互。
备注
基线名称 基线编号 适用范围 基线要求
SNMP 配置-修改 SNMP 的默认 Community IB-WLSB-01-22 基线类型 强制要求
应对发起 SNMP 访问的源 IP 地址进行限制,并对设备接收端口进行限制。
基线名称 基线编号 适用范围 基线要求
授权粒度控制 IB-WLSB-01-11 □等保一、二级 □等保三级 基线类型 强制要求 □涉核心商秘
涉普通商秘(工作秘密)
原则上应采用对命令组或命令进行授权的方法,实现对用户权限细粒度的控 制的能力。
设备应配置日志功能,记录用户对设备的操作, 包括但不限于以下内容:账号创建、删除和权限修改,口令修改, 读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通 信隐私数据。 记录需要包含用户账号,操作时间,操作内容以及操作结果。
备注
1.1.1.4 入侵防范 基线名称 开启告警功能
8
基线编号 适用范围 基线要求
配置使用 SSH IB-WLSB-01-08 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
对于使用 IP 协议进行远程维护的设备,设备应配置使用 SSH 等加密协议。
2
基线名称 基线编号 适用范围 基线要求 备注
对用户进行分级权限控制 IB-WLSB-01-09 基线类型 强制要求
配置会话超时 IB-WLSB-01-16 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
对于具备字符交互界面的设备,应配置定时账户自动登出。
基线名称 基线编号 适用范围 基线要求 备注
配置屏幕自动锁定 IB-WLSB-01-17 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
对于具备字符交互界面的设备,应配置定时账户自动登出。
3
备注
基线名称 基线编号 适用范围 基线要求 备注
限制 NTP 通信地址范围 IB-WLSB-01-14 基线类型 可选要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
备注
基线名称 基线编号 适用范围 基线要求 备注
按最小权限方法分配帐号权限 IB-WLSB-01-12 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
基线名称 基线编号 适用范围 基线要求
配置定时账户自动登出 IB-WLSB-01-13 基线类型 强制要求
基线名称 基线编号 适用范围 基线要求
配置日志存储位置 IB-WLSB-03-02 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
将重要或指定级别的日志发送到日志服务器或其它位置,进行安全存放,要 求能追溯至少 60 天内的日志记录。
备注
基线名称 基线编号 适用范围 基线要求 备注
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
采用动态路由协议时,使用 ip prefix-list 过滤缺省和私有路由、设置最大路 由条目限制、严格限制 BGP PEER 的源地址等方法避免设备发布或接收不安 全的路由信息。
备注
基线名称 基线编号 适用范围 基线要求
配置路由协议的认证和口令加密 IB-WLSB-01-21 基线类型 可选要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
对于 VPN 用户, 必须按照其访问权限不同而进行分组, 并在访问控制规则中 对该组的访问权限进行严格限制。
备注
基线名称 基线编号 适用范围 基线要求
过滤不相关流量-ACL IB-WLSB-02-05 基线类型 可选要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
备注
基线名称 基线编号 适用范围 基线要求 备注
网络设备用户的标识唯一。 IB-WLSB-01-02 基线类型 强制要求
等保一、二级
□等保三级 □涉普通商秘(工作秘密) □涉核心商秘
网络设备用户的标识应唯一;禁止多个人员共用一个账号。
基线名称 基线编号 适用范围 基线要求
身份鉴别信息应具有复杂度要求并定期更换。 IB-WLSB-01-03 基线类型 强制要求
1
基线要求
应为设备配置用户连续认证失败次数上限,当用户连续认证失败次数超过上 限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号重 新认证。
备注
基线名称 基线编号 适用范围 基线要求 备注
清除无关的账号。 IB-WLSB-01-05 基线类型 强制要求
