H3C设备安全配置基线目录第1章概述 ................................................................................................................................1.1目的....................................................................................................................................1.2适用范围............................................................................................................................1.3适用版本............................................................................................................................ 第2章帐号管理、认证授权安全要求 ....................................................................................2.1帐号管理............................................................................................................................2.1.1用户帐号分配* ..........................................................................................................2.1.2删除无关的帐号* ......................................................................................................2.2口令....................................................................................................................................2.2.1静态口令以密文形式存放 ........................................................................................2.2.2帐号、口令和授权 ....................................................................................................2.2.3密码复杂度 ................................................................................................................2.3授权....................................................................................................................................2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 ........................................... 第3章日志安全要求 ................................................................................................................3.1日志安全............................................................................................................................3.1.1启用信息中心 ............................................................................................................3.1.2开启NTP服务保证记录的时间的准确性................................................................3.1.3远程日志功能* .......................................................................................................... 第4章IP协议安全要求 ............................................................................................................4.1IP协议 ...............................................................................................................................4.1.1VRRP认证...................................................................................................................4.1.2系统远程服务只允许特定地址访问 ........................................................................4.2功能配置............................................................................................................................4.2.1SNMP的Community默认通行字口令强度.............................................................4.2.2只与特定主机进行SNMP协议交互 ........................................................................4.2.3配置SNMPV2或以上版本 ........................................................................................4.2.4关闭未使用的SNMP协议及未使用write权限 ...................................................... 第5章IP协议安全要求 ............................................................................................................5.1其他安全配置....................................................................................................................5.1.1关闭未使用的接口 ....................................................................................................5.1.2修改设备缺省BANNER语.........................................................................................5.1.3配置定时账户自动登出 ............................................................................................5.1.4配置console口密码保护功能..................................................................................5.1.5端口与实际应用相符 ................................................................................................概述目的规范配置H3C路由器、交换机设备，保证设备基本安全。

适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

适用版本comwareV7版本交换机、路由器。

帐号管理、认证授权安全要求帐号管理1.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-H3C-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：[H3C] local-user admin[H3C-luser-manage-admin] password hash admin@mmu2[H3C-luser-manage-admin] authorization-attribute user-role level-15[H3C] local-user user[H3C-luser-network-user] password hash user@nhesa[H3C-luser-network-user] authorization-attribute user-role network-operator5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令dis cur命令查看：…#local-user admin class managepassword hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ==service-type sshauthorization-attribute user-role level-15#local-user user class networkpassword hash $h$6$mmu2MlqLkGMnNyservice-type sshauthorization-attribute user-role network-operator#对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。