网络设备安全基线技术规范

1.1.1网络通用安全基线技术要求网络设备防护基线名称安全设备的用户进行身份鉴别。基线编号IB-WLSB-01-01基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求设备通过相关参数配置，通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证，满足账号、口令和授权的要求，对登录设备基线名称基线编号基线要求基线名称基线编号基线要求基线名称基线编号IB-WLSB-01-02基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘网络设备用户的标识应唯一；禁止多个人员共用一个账号。身份鉴别信息应具有复杂度要求并定期更换。IB-WLSB-01-03基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应修改控制中心登录的默认账户和密码，密码长度应不小于8，密码应由字基线类型强制要求登基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘2/124基线要求应为设备配置用户连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重基线名称基线编号IB-WLSB-01-05基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应删除与设备运行、维护等工作无关的账号。基线名称基线编号IB-WLSB-01-06基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求基线名称按照用户分配账号基线编号IB-WLSB-01-07基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。基线名称基线编号基线要求IB-WLSB-01-08基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘3/124基线名称对用户进行分级权限控制基线编号IB-WLSB-01-09基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。基线名称基线编号IB-WLSB-01-10基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求基线名称授权粒度控制基线编号IB-WLSB-01-11基线类型强制要求□等保一、二级□等保三级团涉普通商秘(工作秘密)□涉核心商秘基线要求原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度的控基线名称按最小权限方法分配XX权限基线编号IB-WLSB-01-12基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。基线名称配置定时账户自动登出基线编号IB-WLSB-01-13基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求对于具备字符交互界面的设备，应配置定时账户自动登出。4/124基线名称基线编号IB-WLSB-01-14基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求基线名称基线编号IB-WLSB-01-15基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求基线名称配置会话超时基线编号IB-WLSB-01-16基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求对于具备字符交互界面的设备，应配置定时账户自动登出。基线名称配置屏幕自动锁定基线编号IB-WLSB-01-17基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求对于具备图形界面(含WEB界面)的设备，应配置定时自动屏幕锁定。基线名称基线编号IB-WLSB-01-18基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求5/124基线名称munity字符串加密存放基线编号IB-WLSB-01-19基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求基线名称配置路由信息发布和接受策略基线编号IB-WLSB-01-20基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求采用动态路由协议时，使用ipprefix-list过滤缺省和私有路由、设置最大路基线名称配置路由协议的认证和口令加密基线编号IB-WLSB-01-21基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求协议认证功能，如MD5加密，确保与可信方进行路由协议交互。基线名称基线编号IB-WLSB-01-22基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求6/124基线名称基线编号基线要求IB-WLSB-01-23基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘IB-WLSB-01-24基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线名称基线编号基线要求访问控制基线名称避免从内网主机直接访问外网基线编号IB-WLSB-02-01基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应用代理服务器，将从内网到外网的访问流量通过代理服务器。设备只开启代理服务器到外部网络的访问规则，避免在设备上配置从内网的主机直接到基线名称配置流量控制基线编号IB-WLSB-02-02基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求路由器引擎直接处理的流量(如traceroute、ICMP流量)进行控制，实现对7/124基线名称配置安全域的访问控制规则基线编号IB-WLSB-02-03基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求所有的安全域都具有相应的规则进行防护，对进出流量进行控制。基线名称VPN用户按照访问权限进行分组基线编号IB-WLSB-02-04基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求对该组的访问权限进行严格限制。基线名称过滤不相关流量-ACL基线编号IB-WLSB-02-05基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求口的流量过滤，过滤所有和业务不相关的流量。最小化服最小化服务IB-WLSB-02-06基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线名称基线编号基线要求安全审计开开启日志功能基线名称8/124基线编号IB-WLSB-03-01基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求开启记录日志，记录访问登录、退出等信息。基线名称配置日志存储位置基线编号IB-WLSB-03-02基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求将重要或指定级别的日志发送到日志服务器或其它位置，进行安全存放，要基线名称配置安全事件日志记录基线编号IB-WLSB-03-03基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求设备应配置日志功能，记录对与设备自身相关的安全事件。基线名称配置操作日志基线编号IB-WLSB-03-04基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通记录需要包含用户账号，操作时间，操作内容以及操作结果。开开启告警功能基线名称9/124基线编号IB-WLSB-04-01基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求设备应具备向管理员告警的功能，配置告警功能，报告对设备本身的攻击或的系统严重错误。基线名称配置拒绝常见漏洞所对应端口或者服务的访问基线编号IB-WLSB-04-02基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置访问控制规则，拒绝对常见漏洞所对应端口或者服务的访问。基线名称基线编号IB-WLSB-04-03基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求基线名称配置网络层异常报文攻击告警基线编号IB-WLSB-04-04基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求基线名称关闭不必要的服务基线编号IB-WLSB-04-05基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应关闭设备上不必要的服务(如CDP、DNSlookup、DHCP、finger、基线名称基线编号基线要求IB-WLSB-04-06基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘1.1.2Cisco路由器/交换机安全基线技术要求网络设备防护基线名称使用认证服务器认证基线编号IB-CISCO(SW)-01-01基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求设备通过相关参数配置，通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证，满足账号、口令和授权的要求。配置方法参考配置操作#<server>为认证服务器名称(首先通过认证服务器认证，认证服务器认证失基线名称禁止无关账号基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应删除与设备运行、维护等工作无关的账号。配置方法参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称对用户设置授权等级基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。配置方法参考配置操作基线名称避免共享账号基线编号IBCISCOSW强制要求基线要求配置方法团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称管理默认账号与口令基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应删除或锁定默认或缺省账号与口令。配置方法参考配置操作基线名称关闭未使用的管理口基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求设备应关闭未使用的管理口(AUX、或者没开启业务的端口)配置方法参考配置操作基线名称管理通信安全-SSH基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求未使用SNMP的WRITE功能时，禁用SNMP的写(WRITE)功能。配置方法参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称VTY端口防护策略基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求口的防护策略，避免由于恶意攻击或者错误操作等导致VTY口不可用情况配置方法参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应通过ACL限制可远程管理设备的IP地址段。配置方法参考配置操作基线名称报文速率限制基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求对广播/组播/未知单播报文速率限制和阻断。配置方法参考配置操作e制限制基线名称已对命令设置授权等级基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。配置方法参考配置操作令设置授权等级权等级基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称会话超时配置基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求参参考配置操作nsglineend(4)、Cisco#write配置方法访问控制基线名称基线名称限制非法数据流基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求通过ACL实现对地址为未注册或私有的非法数据流的控制。配置方法参考配置操作基线名称基线编号对设备引擎直接处理的流量进行控制SW强制要求团团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘设备引擎直接处理的流量(如traceroute、ICMP流量)进行控制，实现对设参考配置操作号基线要求配置方法安全审计基线名称基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求设备应支持远程日志功能，所有设备日志均能通过远程日志功能传输到日志服务器，设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP配置方法参考配置操作20/124基线名称配置发送系统日志的源地址基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称禁止系统日志向控制台输出基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称VTY端口访问的认证基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求对于VTY口访问的认证，应采用认证服务器认证或者本地认证的方式，避配置方法参考配置操作21/124locallocal#首先通过认证服务器认证，认证服务器认证失败则使用本地认证。认证方案基线名称使用认证服务器审计系统行为基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求采用本地或采用与认证服务器(RADIUS或TACACS服务器)联动(优选方式)的方式，实现对用户登录日志的记录和审计。记录和审计X围应包括但不限于：用户登录的方式、使用的账号名、登录是否成功、登录时间、以及行配置方法参考配置操作1、使用认证服务器审计系统行为2、使用认证服务器审计设备操作3、使用认证服务器审计设备命令执行4、使用认证服务器审计网络行为22/124基线名称基线编号基线要求配置方法IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘配置交换机端口安全策略，保证网络安全。如配置portsecurity特性，指定参考配置操作基线名称型攻击防护基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求过滤已知攻击：在网络边界，设置安全访问控制，过滤掉已知安全攻击数据配置方法参考配置操作23/124(3)、Cisco(config-if)#end(4)、Cisco#write基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作m基线名称基线编号配置VLAN攻击防护IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘24/124基线要求配置方法参考配置操作e的接口允许的VLAN。基线名称典型协议报文防护基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应对典型协议报文的攻击进行防护。配置方法参考配置操作ee(3)、Cisco(config-if)#end(4)、Cisco#write基线名称配置预防源地址伪造攻击基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作25/124基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作称基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求26/124参考配置操作配置方法基线名称基线编号基线要求配置方法基线名称基线编号基线要求配置方法IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘参考配置操作IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘27/124基线要求配置方法参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求在面向末端用户的端口上采用相关技术手段屏蔽不必要的协议。配置方法参考配置操作基线名称基线编号关闭不必要的协议-LACP基线类型强制要求28/124基线要求配置方法团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘在面向末端用户的端口上采用相关技术手段屏蔽不必要的协议。参考配置操作基线名称关闭不必要的协议-flowcontrol基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求在面向末端用户的端口上采用相关技术手段屏蔽不必要的协议。配置方法参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作e29/124基线编号基线要求配置方法IBCISCOSW团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘禁用源路由，防止路由信息泄露。参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作e基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求禁用直播(IPDIRECTEDBROADCAST)功能。配置方法参考配置操作0/124基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称基线编号IBCISCOSW强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称基线编号IBCISCOSW可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作1/1241.1.3华为路由器/交换机安全基线技术要求网络设备防护基线名称基线编号IB-HUAWEI(SW)-01-01基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作基线名称分级权限控制基线编号IB-HUAWEI(SW)-01-02基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求根据用户的业务需求，配置其所需的最小权限。配置方法参考配置操作:基线名称清除无关的账号2/124IB-HUAWEI(IB-HUAWEI(SW)-01-03基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应删除与设备运行、维护等工作无关的账号。参考配置操作基线要求配置方法避免共享账号IB-避免共享账号IB-HUAWEI(SW)-01-04基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通参考配置操作(1).执行如下命令:基线编号基线要求配置方法基线名称基线编号基线名称基线编号基线要求基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应为设备配置用户连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重3/124配置方法新认证参考配置操作(1).执行如下命令:基线名称;开启NTP认证功能,确保时钟源可靠基线编号IB-HUAWEI(SW)-01-06基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作(2).设置认证密钥md5***基线名称基线编号IB-HUAWEI(SW)-01-07基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:4/124(1(1).执行如下命令:(2).执行如下命令基线名称基线编号IB-HUAWEI(SW)-01-08基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:(1).执行如下命令:k(2).执行如下命令:基线名称关闭AUX口基线编号IB-HUAWEI(SW)-01-09基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求关闭AUX口配置方法参考配置操作:5/124基线名称关闭未使用的网络接口基线编号IB-HUAWEI(SW)-01-10基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求关闭未使用的网络接口配置方法参考配置操作:n基线名称P基线编号IB-HUAWEI(SW)-01-11基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:(1).执行如下命令:(2).执行如下命令k(3).执行如下命令:6/124与认证系统联动对用户进行认证、授权IB与认证系统联动对用户进行认证、授权IB-HUAWEI(SW)-01-12基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘设备通过相关参数配置，与认证系统联动，满足XX、口令和授权的强制要参考配置操作基线编号基线要求配置方法示例如下:(2).配置RADIUS主用认证服务器t(4).配置认证方案l(5).在域下应用认证方案7/124示例如下:HWTACACS器(4).配置认证方案(5).配置授权方案8/124(6).在域下应用认证方案基线名称X基线编号IB-HUAWEI(SW)-01-13基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置定时账户自动登出，登出后用户需再次登录才能进入系统。配置方法参考配置操作:(1).执行如下命令:vty口配置超时(2).执行如下命令:9/124:基线名称禁止管理员权限XX远程登录基线编号IB-HUAWEI(SW)-01-14基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。配置方法参考操作步骤:3存配置基线名称远程管理通信安全基线编号IB-HUAWEI(SW)-01-15基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:40/124(1).执行如下命令:(2).执行如下命令:(3).执行如下命令(4).执行如下命令:h基线名称对用户权限细粒度的控制的能力基线编号IB-HUAWEI(SW)-01-16基线类型强制要求□等保一、二级□等保三级团涉普通商秘(工作秘密)□涉核心商秘基线要求原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度的控配置方法参考配置操作(2)执行如下命令对命令组或命令进行授权l41/124基线名称VTY端口防护策略基线编号IB-HUAWEI(SW)-01-17基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应设定VTY口的防护策略，避免由于恶意攻击或者错误操作等导致VTY口配置方法参考配置操作:(1).执行如下命令:基线名称基线编号IB-HUAWEI(SW)-01-18基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:(1).执行如下命令:(2).执行如下命令:42/124基线名称基线编号基线要求配置方法VTY端口访问的认证IB-HUAWEI(SW)-01-19基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘对于VTY口访问的认证，应采用认证服务器认证或者本地认证的方式，避VTY证。参考配置操作:(1).执行如下命令:基线名称限制同一账号连接数基线编号IB-HUAWEI(SW)-01-20基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求每个用户账号只开启一个连接配置方法参考配置操作(1).执行如下命令:43/124存配置基线名称基线编号IB-HUAWEI(SW)-01-21基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:(1).执行如下命令:(2).执行如下命令基线名称静态口令是否使用不可逆加密算法加密基线编号IB-HUAWEI(SW)-01-22基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求静态口令必须使用不可逆加密算法加密后保存于配置文件中。配置方法参考操作步骤:(1).执行如下命令:用加密方式存储口令的用户名存配置44/124基线名称基线编号IB-HUAWEI(SW)-01-23基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求VER之间要开启认证功能配置方法参考配置操作:本地时钟与时钟源同步(2).执行如下命令:基线名称基线编号IB-HUAWEI(SW)-01-24基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:(1).执行如下命令:45/124基线名称基线编号IB-HUAWEI(SW)-01-25基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:(1).执行如下命令:基线名称ity基线编号IB-HUAWEI(SW)-01-26基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:46/124(1).执行如下命令:(2).执行如下命令访问控制基线名称基线名称过滤业务不相关流量基线编号IB-HUAWEI(SW)-02-01基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求路由器引擎直接处理的流量(如traceroute、ICMP流量)进行控制，实现对配置方法参考配置操作:举例说明:(1).执行如下命令:配置流分类(2).执行如下命令:配置流行为(3).执行如下命令:47/124情况配置创建流策略(4).执行如下命令:<behavior_name>#<classifier_name>引用步骤2创建的流分将策略应用到接口(5).执行如下命令:安全审计基线名称基线名称记录操作日志基线编号IB-HUAWEI(SW)-03-01基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求设备应配置日志功能，记录用户对设备的操作。例如：账号创建、删除和权身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内配置方法参考配置操作:一、使用本地认证48/124mationallogbuffer二、使用认证服务器认证(2).配置记录方案(3).配置用户在交换机上所执行的命令的记录策略,关联记录方案e注：对于服务器模板的配置，结合认证、授权服务器一起配置.存配置基线名称基线编号基线要求记录用户登录日志IB-HUAWEI(SW)-03-02基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址49/124参考配置操作参考配置操作:mationallogbuffer配置方法基线名称基线编号基线要求配置方法基线名称基线编号基线要求配置方法基线类型强制要求基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘参考配置操作:(1).执行如下命令::配置系统日志消息记录IB-HUAWEI(SW)-03-04基线类型强制要求□等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘参考配置操作:(1).执行如下命令配置远程日志保存IB配置远程日志保存IB-HUAWEI(SW)-03-05基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP参考配置操作:基线编号基线要求配置方法(1).执行如下命令:器发送crtical以及更严重级别的日志信息(2).执行如下命令:基线名称基线编号基线名称基线编号基线要求配置方法基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘参考配置操作:(1).执行如下命令:50/12451/124基线名称基线编号基线名称基线编号基线要求配置方法IB-HUAWEI(SW)-04-01基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘通过ACL配置对常见的漏洞攻击及病毒报文进行过滤.参考配置操作:(1).执行如下命令:52/124基线名称基线编号IB-HUAWEI(SW)-04-02基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作(1).执行如下命令:存配置基线名称基线编号基线要求IB-HUAWEI(SW)-04-03基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘为防止ARP欺骗攻击，不使用ARP代理的路由器应该关闭此功能。53/124配置方法参考配置操作:(1).执行如下命令:基线名称必要的网络服务-FTP服务基线编号IB-HUAWEI(SW)-04-04基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:基线名称预防源地址伪造攻击基线编号IB-HUAWEI(SW)-04-05基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求即单播反向路径查找，其主要功能是防止基于源地址欺骗的网络攻击行为。配置方法参考配置操作:(1).执行如下命令:说明:54/1242.开启uRPF功能会使接口板的路由规格减半，请使用前考虑路由规模。ute(1).不配置参数allow-default-route时，不管是严格检查还是松散检查，如果报文的源地址在FIB表中不存在，即使找到缺省路由作为其相应的路由，该严格检查模式下，如果缺省路由的出接口与报文的入接口一致，报文将通过URPF检查，进行正常的转发。如果缺省路由的出接口与报文的入接口不一松散检查模式下，不管缺省路由的出接口和报文的入接口是否一致，都将通基线名基线名称LDP全基线编号IB-HUAWEI(SW)-04-06基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求启用LDP标签分发协议时，应合理使用LDP协议认证及加密功能，确保与配置方法参考配置操作:55/124基线名称启用路由协议认证加密功能-ISIS基线编号IB-HUAWEI(SW)-04-07基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求协议认证功能，如MD5加密，确保与可信方进行路由协议交互配置方法参考配置操作:基线名称启用路由协议认证加密功能-BGP基线编号IB-HUAWEI(SW)-04-08基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求协议认证功能，如MD5加密，确保与可信方进行路由协议交互配置方法参考配置操作:等体组名字.56/124基线名称基线编号IB-HUAWEI(SW)-04-09基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求协议认证功能，如MD5加密，确保与可信方进行路由协议交互配置方法参考配置操作:基线名称关闭不必要的网络服务-DHCP服务基线编号IB-HUAWEI(SW)-04-10基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应关闭设备上不必要的服务(如CDP、DNSlookup、DHCP、finger、配置方法参考配置操作:基线名称基线编号关闭不必要的网络服务-DNS服务IB-HUAWEI(SW)-04-11基线类型强制要求57/124基线要求配置方法团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘关闭域名解析功能参考配置操作:(1).执行如下命令关闭域名解析功能基线名称基线编号基线要求配置方法路由信息发布和接受策略IB-HUAWEI(SW)-04-12基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘采用动态路由协议时，使用ipprefix-list过滤缺省和私有路由、设置最大路全的路由信息.参考配置操作举例说明:meipprefixplIllegalprefixlistnamehuaweiipipprefixplIllegalprefix-list_name>30permit458/124或me存配置基线名称维护路由状态稳定基线编号IB-HUAWEI(SW)-04-13基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应部署适当的路由安全策略,保障整个网络路由层面的稳定性和可控性。(如：对接收的eBGP路由AS-PATH长度进行一定限制、启用BGPTTL配置方法参考配置操作:59/124基线名称典型协议报文防护基线编号IB-HUAWEI(SW)-04-14基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求P配置方法参考配置操作举例说明:用策略存配置基线名称基线编号IB-HUAWEI(SW)-04-15基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:(1).执行如下命令60/124基线名称基线编号IB-HUAWEI(SW)-04-16基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:omptype应将上述访问规则根据实际情况应用于接口基线名称基线编号IB-HUAWEI(SW)-04-17基线类型可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法参考配置操作:61/1241.1.4迪普IPS/IDS安全基线技术要求(缺)网络设备防护安全设备的用户进行身份安全设备的用户进行身份鉴别。团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘联动的方式实现对用户的认证，满足账号、口令和授权的要求，对登录设备基线名称基线编号基线要求配配置方法团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘网络设备用户的标识应唯一；禁止多个人员共用一个账号。基线名称基线编号基线要求配配置方法62/124身份鉴别信息应具有复杂度要求并定期更换。身份鉴别信息应具有复杂度要求并定期更换。团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应修改控制中心登录的默认账户和密码，密码长度应不小于8，密码应由字换。基线编号基线要求配置方法团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。基线名称基线编号基线要求配配置方法63/124团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应删除与设备运行、维护等工作无关的账号。基线编号基线要求配置方法团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线名称基线编号基线要求配置方法64/124配置方法配置方法命令行下更更安全的远程管理团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过基线名称基线编号基线要求对对用户进行分级权限控制团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。配置方法基线名称基线编号基线要求基线名称基线编号基线类型强制要求65/124团等团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应对网络设备的管理员登录地址进行限制。配置方法基线要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线编号基线要求配配置方法配配置会话超时团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘对于具备字符交互界面的设备，应配置定时账户自动登出。基线名称基线编号基线要求配配置方法基线名称基线编号基线要求配置屏幕自动锁定团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘对于具备图形界面(含WEB界面)的设备，应配置定时自动屏幕锁定。66/124配置方配置方法团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线编号基线要求配置方法团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线编号基线要求配置方法基线名称基线编号基线要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘67/124配置方法访问控制配置流量控制配置流量控制团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应限制网络最大流量数及网络连接数。基线编号基线要求配置方法VPN用户权限限制VPN用户权限限制团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应限制具有拨号访问权限的用户数量；对该组的访问权限进行严格限制。基线编号基线要求配置方法68/124过滤不相关流量-ACL过滤不相关流量-ACL团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘口的流量过滤，过滤所有和业务不相关的流量。基线编号基线要求配置方法启启用访问控制功能团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应在网络边界部署访问控制设备，启用访问控制功能。基线名称基线编号基线要求配配置方法基线名称基线编号基线要求端口粒度控制团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘度69/124配置方法配置方法网络信息内容网络信息内容过滤团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线名称基线编号基线要求配配置方法基线名称基线编号基线要求会话管理团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应在会话处于非活跃一定时间或会话结束后终止网络连接。70/124配置方法配置方法用用户粒度控制团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。基线名称基线编号基线要求配配置方法安全审计开启日志审计功开启日志审计功能基线名称71/124基线编号基线要求基线编号基线要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘开启审计日志，应对网络系统中的网络设备运行状况、网络流量、用户行为配置方法配置审计日志记配置审计日志记录团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其的信息。基线名称基线编号基线要求配配置方法配置审计报表功配置审计报表功能□等保一、二级团等保三级□涉普通商秘(工作秘密)□涉核心商秘应能够根据记录数据进行分析，并生成审计报表。基线名称基线编号基线要求配配置方法72/124基线名基线名称配置日志存储位置基线编号□等保一、二级团等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等，将重要或指定级别的日志发送到日志服务器或其它位置，进行安全存放，要求能追溯配置方法入侵防X击防护团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、配置方法基线名称基线编号基线要求73/124开启告警功能开启告警功能团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。基线编号基线要求配置方法配置拒配置拒绝常见漏洞所对应端口或者服务的访问团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘配置访问控制规则，拒绝对常见漏洞所对应端口或者服务的访问。基线名称基线编号基线要求配配置方法基线名称基线编号基线要求防止地址欺骗□等保一、二级□等保三级□涉普通商秘(工作秘密)团涉核心商秘重要网段应采取技术手段防止地址欺骗；74/124配置方法基线名称基线编号基线要求配置方法网络设备防护安全设备的用户进行身份鉴别。IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘设备通过相关参数配置，通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证，满足账号、口令和授权的要求，对登录设备鉴别。口令；针对用户进行管理权限授权。基线名称75/124基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求网络设备用户的标识应唯一；禁止多个人员共用一个账号。配置方法选择系统管理->管理员->管理员查看用户名是否唯一基线名称身份鉴别信息应具有复杂度要求并定期更换。基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应修改控制中心登录的默认账户和密码，密码长度应不小于8，密码应由字。配置方法密码必须包含数字，英文和字符，字符为!#$%&`,-.基线名称基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应为设备配置用户连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。配置方法选择系统管理->维护->系统配置建议设置管理员最大登录重试次数设置管理员登录失败阻断间隔时间基线名称基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘76/124基线要求应删除与设备运行、维护等工作无关的账号。配置方法选择系统管理->管理员->管理员删除、禁用无用账号基线名称基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法设备使用console口登陆，默认有密码保护功能(无法修改)基线名称基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法选择系统管理->维护->时间配置基线名称协议管理基线编号IBVENUSIPS可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法选择系统管理->会话管理->协议管理启启用系统监控告警基线名称77/124基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应对系统进行监控，对系统运行情况、流量、连接数等进行监控告警。配置方法选择系统管理->监控->系统监控设置告警配置阀值基线名称基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法选择网络管理->基本配置->SNMP基线名称基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法选择网络管理->基本配置->SNMP基线名称基线编号访问控制按照用户分配账号基线类型强制要求78/124基线要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。配置方法口令；针对用户进行管理权限授权。基线名称基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法口->接口->eth0基线名称基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法选择系统管理->维护->系统配置配置在线管理员数量基线名称基线编号配置流量控制IBVENUSIPS可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘79/124基线要求配置方法基线名称基线编号基线要求配置方法基线名称基线编号基线要求配置方法基线名称基线编号基线要求路由器引擎直接处理的流量(如traceroute、ICMP流量)进行控制，实现对选择系统管理->会话管理->连接数管理对各种协议设置阈值，以及半连接设置上下限配置安全域的访问控制规则IBVENUSIPS可选要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘所有的安全域都具有相应的规则进行防护，对进出流量进行控制。建立安全域2、选择入侵防御->安全策略->安全策略建立安全域访问控制规则VPN用户按照访问权限进行分组IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘对该组的访问权限进行严格限制。选择系统管理->管理员->管理员权限表查看用户管理权限授权。对用户进行分级权限控制IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。124配置方法基线名称基线编号基线要求配置方法选择系统管理->管理员->管理员权限表针对用户进行管理权限授权。IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘应对安全设备的管理员登录地址进行限制。->安全策VPN用户设置访问控制规则略根据管理员设置管理地址，对源地址进行限制基线名称基线编号基线要求配置方法安全审计开启日志功能IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘开启记录日志，记录访问登录、退出等信息。选择日志与报告->日志配置->日志过滤开启本地/Syslog日志记录，记录防火墙事件、攻击事件等基线名称配置日志存储位置基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求将重要或指定级别的日志发送到日志服务器或其它位置，进行安全存放，要配置方法124选选择启用日志服务器2、登陆日志服务器，配置日志服务器保存日志的位置、大小、存放时间等基线名称配置安全事件日志记录基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求设备应配置日志功能，记录对与设备自身相关的安全事件。配置方法选择日志与报告->日志配置->日志过滤开启本地/Syslog日志记录，勾选运行信息、接口信息、系统事件等基线名称基线编号基线要求配置操作日志IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通记录需要包含用户账号，操作时间，操作内容以及操作结果。配置方法选择日志与报告->日志配置->日志过滤勾选配置审计，对用户操作日志进行安全审计基线名称基线编号入侵防X配置拒绝常见漏洞所对应端口或者服务的访问IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘124基线要求配置方法配置访问控制规则，拒绝对常见漏洞所对应端口或者服务的访问。1、选择入侵防御->特征->事件集根据常见漏洞设置控制规则编辑安全防护表，调用事件集3、选择入侵防御->安全策略->安全策略配置访问控制规则，调用安全防护表基线名称开启攻击防护基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应开启防攻击功能，阻断非法攻击。配置方法选择入侵防御->防攻击->配置基线名称配置会话超时基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求对于具备字符交互界面的设备，应配置定时账户自动登出。配置方法选择系统管理->维护->系统配置设置页面超时时间基线名称系统补丁为最新版本基线编号IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求设备的系统和软件版本必须处于厂家维护期，124并且维护人员必须定期对设备版本进行升级或者打补丁操作。如设备系统厂家已不再维护，需要及时更新版本或者撤换。配置方法选择系统管理->维护->升级管理从启明星辰官方下载入侵防御特征库、防病毒特征库或软件补丁上传到服务器进行升级指定升级服务器，设置定期升级时间基线名称基线编号基线要求配置方法开启防病毒功能IBVENUSIPS强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘设备应开启防病毒功能，配置防病毒策略。选择防病毒查毒引擎查看文件扫描策略/屏蔽文件扫描网络设备防护基线名称安全设备的用户进行身份鉴别。基线编号IB-VENUS(IDS)-01-01基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求设备通过相关参数配置，通过与认证服务器(RADIUS或TACACS服务器)别。配置方法12422、选择用户管理->用户列表->用户列表建立用户，对用户进行授权基线名称基线编号基线要求配置方法IB-VENUS(IDS)-01-02基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘网络设备用户的标识应唯一；禁止多个人员共用一个账号。2、选择用户管理->用户列表->用户列表查看用户名是否唯一基线名称身份鉴别信息应具有复杂度要求并定期更换。基线编号IB-VENUS(IDS)-01-03基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应修改控制中心登录的默认账户和密码，密码长度应不小于8，密码应由字。配置方法2、选择用户管理->安全性配置设置密码长度应不小于8，密码应由字母、数字、特殊符号中的至少2种组成基线名称基线编号IB-VENUS(IDS)-01-04基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应为设备配置用户连续认证失败次数上限，当用户连续认证失败次数超过上124限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重配置方法2、选择用户管理->安全性配置->登陆尝试基线名称基线编号IB-VENUS(IDS)-01-05基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求应删除与设备运行、维护等工作无关的账号。配置方法2、选择用户管理->用户列表->用户列表删除、禁用无用账号基线名称基线编号IB-VENUS(IDS)-01-06基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法设备使用console口登陆，默认有密码保护功能(无法修改)基线名称基线编号基线要求配置方法IB-VENUS(IDS)-01-07基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘124基线名称基线编号IB-VENUS(IDS)-01-08基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配置方法基线名称基线编号基线要求配置方法IB-VENUS(IDS)-01-09基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘访问控制基线名称按照用户分配账号基线编号IB-VENUS(IDS)-02-01基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线要求配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。配置方法2、选择用户管理->用户列表->用户列表124按按照用户分配账号基线名称基线编号IB-VENUS(IDS)-02-02基线类型强制要求团等保一、二级□等保三级□涉普通商秘(工作秘密)□涉核心商秘基线