DB32T 2766.3-2015 重要信息系统安全防护技术规范 第3部分：路由器

省地DB32Specificationforsecuritytechnologyprotectionofimportantinforma江苏省质量技术监督局发布 2 2 2 2 2 3 5本规范起草人：王丹中、黄申、吴兰、车黎刚、李国琴、DB32/T1927-2011《政府信息系统安全防护基本要求》中对路由器设备的安全防护仅提信息系统中路由器设备的安全技术防护要求和安全防护方法，以帮助和指导重要信息系统管1重要信息系统安全防护技术规范第3部分：路由器和指导重要信息系统管理、运维和使用等单位对网络信息系统中的路由器设备进行安全配置、安全管理和安全运维，提高路由器设备的安全技术防本标准适用于重要信息系统中路由器设备的安全管理、安全运维与GB17859计算机信息系统安全保护等GB/T20011信息安全技术路由器安全GB/T22239信息安全技术信息系统安全等级保护MAC介质访问控制（MediaAccessControl）ACL访问控制列表（AccessControlList）AUX辅助口（Auxiliary）VTY虚拟终端（VirtualTeletypeTerminal）TACACS+终端访问控制器访问控制系统+（TerminalAccessControllerAccessRADIUS远程认证拨号用户服务（RemoteAuthenticationDiSNMP简单网络管理协议（SimpleNetworkManagementProSSH安全外壳协议（SecureShellPrHTTPS安全超文本传输协议（Hype2a）在使用动态路由选择协议时，应启用路由协议认证功能，并不以明文形式保存认证b）对采用远程接入网络的用户，路由器应限制具有拨号访问权限的用户数量。b）日志审计内容应记录事件的时间、用户、事件类型、事件是否成功等相关信息。c）应采用技术手段对路由器的审计记录数据进行查询d）应在路由器发生错误或异常等特定事件时3e）应采用技术或管理手段对路由器的审计记录进行保护，防止未授权修改、删除和破f）应采取措施确保审计存储耗尽、失败或受到攻击时，审计记录在一定的时间内不会a）应为路由器设置身份鉴别信息，对通过不同登录方式和不同访问模式使用路由器的——控制台（Console）口令：应在路由器控制台端口上设置登录口令，防止其他未授——辅助端口（AUX）口令：当辅助端口作为备份的控制台端口或用于远程访问时，应c）身份鉴别信息应不易被冒用，存储在配置文件中的口令应加密存储，或存储在a）应具有登录鉴别失败处理功能，可采用结束会话、限制非法登录次数等措施中断连a）应根据实际需要为管理用户分配其所需的最小权限，控制不同用户对路b）应实现路由器特权用户的权限分离，将管理与审计的权限分配给不同的用户，限定特权用户只具有完成工作职责范围内的权限，a）应对路由器的管理员登录地址进行限制，应使用专用的管理终端、通信路径或配置4b）当使用SNMP协议对路由器进行远程管理时，应修改默认的共用团体字符串（communitystring按b）给出的要求设置51段划分ipospfauthenticati234IPSourceRouting、ARP-Proxy、IPDinoserviceudp-small-se65在无线路由器的无线网络安全设置中启用WPA-PSK/WP677898tacacs-serverhost192enablesecret5$1oxphetusernameadminpassword7Wbi0qA1$rTsF$Edvjt2gpvyh9usernameuser1privilege3usernameuser2privi通过access-list相关命令在