網(wǎng)絡(luò)設(shè)備安全基線技術(shù)規(guī)范

1.1.1網(wǎng)絡(luò)通用安全基線技術(shù)要求網(wǎng)絡(luò)設(shè)備防護(hù)基線名稱安全設(shè)備的用戶進(jìn)行身份鑒別?；€編號(hào)IB-WLSB-01-01基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求設(shè)備通過(guò)相關(guān)參數(shù)配置，通過(guò)與認(rèn)證服務(wù)器(RADIUS或TACACS服務(wù)器)聯(lián)動(dòng)的方式實(shí)現(xiàn)對(duì)用戶的認(rèn)證，滿足賬號(hào)、口令和授權(quán)的要求，對(duì)登錄設(shè)備基線名稱基線編號(hào)基線要求基線名稱基線編號(hào)基線要求基線名稱基線編號(hào)IB-WLSB-01-02基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；禁止多個(gè)人員共用一個(gè)賬號(hào)。身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換。IB-WLSB-01-03基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)修改控制中心登錄的默認(rèn)賬戶和密碼，密碼長(zhǎng)度應(yīng)不小于8，密碼應(yīng)由字基線類型強(qiáng)制要求登基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘2/124基線要求應(yīng)為設(shè)備配置用戶連續(xù)認(rèn)證失敗次數(shù)上限，當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)上限時(shí)，設(shè)備自動(dòng)斷開(kāi)該用戶賬號(hào)的連接，并在一定時(shí)間內(nèi)禁止該用戶賬號(hào)重基線名稱基線編號(hào)IB-WLSB-01-05基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)?；€名稱基線編號(hào)IB-WLSB-01-06基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求基線名稱按照用戶分配賬號(hào)基線編號(hào)IB-WLSB-01-07基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配賬號(hào)。避免不同用戶間共享賬號(hào)。避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。基線名稱基線編號(hào)基線要求IB-WLSB-01-08基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘3/124基線名稱對(duì)用戶進(jìn)行分級(jí)權(quán)限控制基線編號(hào)IB-WLSB-01-09基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求原則上應(yīng)采用預(yù)定義級(jí)別的授權(quán)方法，實(shí)現(xiàn)對(duì)不同用戶權(quán)限的控制?；€名稱基線編號(hào)IB-WLSB-01-10基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求基線名稱授權(quán)粒度控制基線編號(hào)IB-WLSB-01-11基線類型強(qiáng)制要求□等保一、二級(jí)□等保三級(jí)團(tuán)涉普通商秘(工作秘密)□涉核心商秘基線要求原則上應(yīng)采用對(duì)命令組或命令進(jìn)行授權(quán)的方法，實(shí)現(xiàn)對(duì)用戶權(quán)限細(xì)粒度的控基線名稱按最小權(quán)限方法分配XX權(quán)限基線編號(hào)IB-WLSB-01-12基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限?；€名稱配置定時(shí)賬戶自動(dòng)登出基線編號(hào)IB-WLSB-01-13基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求對(duì)于具備字符交互界面的設(shè)備，應(yīng)配置定時(shí)賬戶自動(dòng)登出。4/124基線名稱基線編號(hào)IB-WLSB-01-14基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求基線名稱基線編號(hào)IB-WLSB-01-15基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求基線名稱配置會(huì)話超時(shí)基線編號(hào)IB-WLSB-01-16基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求對(duì)于具備字符交互界面的設(shè)備，應(yīng)配置定時(shí)賬戶自動(dòng)登出?；€名稱配置屏幕自動(dòng)鎖定基線編號(hào)IB-WLSB-01-17基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求對(duì)于具備圖形界面(含WEB界面)的設(shè)備，應(yīng)配置定時(shí)自動(dòng)屏幕鎖定?；€名稱基線編號(hào)IB-WLSB-01-18基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求5/124基線名稱munity字符串加密存放基線編號(hào)IB-WLSB-01-19基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求基線名稱配置路由信息發(fā)布和接受策略基線編號(hào)IB-WLSB-01-20基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求采用動(dòng)態(tài)路由協(xié)議時(shí)，使用ipprefix-list過(guò)濾缺省和私有路由、設(shè)置最大路基線名稱配置路由協(xié)議的認(rèn)證和口令加密基線編號(hào)IB-WLSB-01-21基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求協(xié)議認(rèn)證功能，如MD5加密，確保與可信方進(jìn)行路由協(xié)議交互?；€名稱基線編號(hào)IB-WLSB-01-22基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求6/124基線名稱基線編號(hào)基線要求IB-WLSB-01-23基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘IB-WLSB-01-24基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線名稱基線編號(hào)基線要求訪問(wèn)控制基線名稱避免從內(nèi)網(wǎng)主機(jī)直接訪問(wèn)外網(wǎng)基線編號(hào)IB-WLSB-02-01基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)用代理服務(wù)器，將從內(nèi)網(wǎng)到外網(wǎng)的訪問(wèn)流量通過(guò)代理服務(wù)器。設(shè)備只開(kāi)啟代理服務(wù)器到外部網(wǎng)絡(luò)的訪問(wèn)規(guī)則，避免在設(shè)備上配置從內(nèi)網(wǎng)的主機(jī)直接到基線名稱配置流量控制基線編號(hào)IB-WLSB-02-02基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求路由器引擎直接處理的流量(如traceroute、ICMP流量)進(jìn)行控制，實(shí)現(xiàn)對(duì)7/124基線名稱配置安全域的訪問(wèn)控制規(guī)則基線編號(hào)IB-WLSB-02-03基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求所有的安全域都具有相應(yīng)的規(guī)則進(jìn)行防護(hù)，對(duì)進(jìn)出流量進(jìn)行控制。基線名稱VPN用戶按照訪問(wèn)權(quán)限進(jìn)行分組基線編號(hào)IB-WLSB-02-04基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求對(duì)該組的訪問(wèn)權(quán)限進(jìn)行嚴(yán)格限制?；€名稱過(guò)濾不相關(guān)流量-ACL基線編號(hào)IB-WLSB-02-05基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求口的流量過(guò)濾，過(guò)濾所有和業(yè)務(wù)不相關(guān)的流量。最小化服最小化服務(wù)IB-WLSB-02-06基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線名稱基線編號(hào)基線要求安全審計(jì)開(kāi)開(kāi)啟日志功能基線名稱8/124基線編號(hào)IB-WLSB-03-01基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求開(kāi)啟記錄日志，記錄訪問(wèn)登錄、退出等信息?；€名稱配置日志存儲(chǔ)位置基線編號(hào)IB-WLSB-03-02基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求將重要或指定級(jí)別的日志發(fā)送到日志服務(wù)器或其它位置，進(jìn)行安全存放，要基線名稱配置安全事件日志記錄基線編號(hào)IB-WLSB-03-03基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求設(shè)備應(yīng)配置日志功能，記錄對(duì)與設(shè)備自身相關(guān)的安全事件?；€名稱配置操作日志基線編號(hào)IB-WLSB-03-04基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求設(shè)備應(yīng)配置日志功能，記錄用戶對(duì)設(shè)備的操作，包括但不限于以下內(nèi)容：賬號(hào)創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通記錄需要包含用戶賬號(hào)，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。開(kāi)開(kāi)啟告警功能基線名稱9/124基線編號(hào)IB-WLSB-04-01基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求設(shè)備應(yīng)具備向管理員告警的功能，配置告警功能，報(bào)告對(duì)設(shè)備本身的攻擊或的系統(tǒng)嚴(yán)重錯(cuò)誤。基線名稱配置拒絕常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)基線編號(hào)IB-WLSB-04-02基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置訪問(wèn)控制規(guī)則，拒絕對(duì)常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)?；€名稱基線編號(hào)IB-WLSB-04-03基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求基線名稱配置網(wǎng)絡(luò)層異常報(bào)文攻擊告警基線編號(hào)IB-WLSB-04-04基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求基線名稱關(guān)閉不必要的服務(wù)基線編號(hào)IB-WLSB-04-05基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)關(guān)閉設(shè)備上不必要的服務(wù)(如CDP、DNSlookup、DHCP、finger、基線名稱基線編號(hào)基線要求IB-WLSB-04-06基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘1.1.2Cisco路由器/交換機(jī)安全基線技術(shù)要求網(wǎng)絡(luò)設(shè)備防護(hù)基線名稱使用認(rèn)證服務(wù)器認(rèn)證基線編號(hào)IB-CISCO(SW)-01-01基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求設(shè)備通過(guò)相關(guān)參數(shù)配置，通過(guò)與認(rèn)證服務(wù)器(RADIUS或TACACS服務(wù)器)聯(lián)動(dòng)的方式實(shí)現(xiàn)對(duì)用戶的認(rèn)證，滿足賬號(hào)、口令和授權(quán)的要求。配置方法參考配置操作#<server>為認(rèn)證服務(wù)器名稱(首先通過(guò)認(rèn)證服務(wù)器認(rèn)證，認(rèn)證服務(wù)器認(rèn)證失基線名稱禁止無(wú)關(guān)賬號(hào)基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。配置方法參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱對(duì)用戶設(shè)置授權(quán)等級(jí)基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求原則上應(yīng)采用預(yù)定義級(jí)別的授權(quán)方法，實(shí)現(xiàn)對(duì)不同用戶權(quán)限的控制。配置方法參考配置操作基線名稱避免共享賬號(hào)基線編號(hào)IBCISCOSW強(qiáng)制要求基線要求配置方法團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)按照用戶分配賬號(hào)。避免不同用戶間共享賬號(hào)。避免用戶賬號(hào)和設(shè)備間通參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱管理默認(rèn)賬號(hào)與口令基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)刪除或鎖定默認(rèn)或缺省賬號(hào)與口令。配置方法參考配置操作基線名稱關(guān)閉未使用的管理口基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求設(shè)備應(yīng)關(guān)閉未使用的管理口(AUX、或者沒(méi)開(kāi)啟業(yè)務(wù)的端口)配置方法參考配置操作基線名稱管理通信安全-SSH基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求未使用SNMP的WRITE功能時(shí)，禁用SNMP的寫(xiě)(WRITE)功能。配置方法參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱VTY端口防護(hù)策略基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求口的防護(hù)策略，避免由于惡意攻擊或者錯(cuò)誤操作等導(dǎo)致VTY口不可用情況配置方法參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)通過(guò)ACL限制可遠(yuǎn)程管理設(shè)備的IP地址段。配置方法參考配置操作基線名稱報(bào)文速率限制基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求對(duì)廣播/組播/未知單播報(bào)文速率限制和阻斷。配置方法參考配置操作e制限制基線名稱已對(duì)命令設(shè)置授權(quán)等級(jí)基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求原則上應(yīng)采用預(yù)定義級(jí)別的授權(quán)方法，實(shí)現(xiàn)對(duì)不同用戶權(quán)限的控制。配置方法參考配置操作令設(shè)置授權(quán)等級(jí)權(quán)等級(jí)基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱會(huì)話超時(shí)配置基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求參參考配置操作nsglineend(4)、Cisco#write配置方法訪問(wèn)控制基線名稱基線名稱限制非法數(shù)據(jù)流基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求通過(guò)ACL實(shí)現(xiàn)對(duì)地址為未注冊(cè)或私有的非法數(shù)據(jù)流的控制。配置方法參考配置操作基線名稱基線編號(hào)對(duì)設(shè)備引擎直接處理的流量進(jìn)行控制SW強(qiáng)制要求團(tuán)團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘設(shè)備引擎直接處理的流量(如traceroute、ICMP流量)進(jìn)行控制，實(shí)現(xiàn)對(duì)設(shè)參考配置操作號(hào)基線要求配置方法安全審計(jì)基線名稱基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求設(shè)備應(yīng)支持遠(yuǎn)程日志功能，所有設(shè)備日志均能通過(guò)遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器，設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP配置方法參考配置操作20/124基線名稱配置發(fā)送系統(tǒng)日志的源地址基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱禁止系統(tǒng)日志向控制臺(tái)輸出基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱VTY端口訪問(wèn)的認(rèn)證基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求對(duì)于VTY口訪問(wèn)的認(rèn)證，應(yīng)采用認(rèn)證服務(wù)器認(rèn)證或者本地認(rèn)證的方式，避配置方法參考配置操作21/124locallocal#首先通過(guò)認(rèn)證服務(wù)器認(rèn)證，認(rèn)證服務(wù)器認(rèn)證失敗則使用本地認(rèn)證。認(rèn)證方案基線名稱使用認(rèn)證服務(wù)器審計(jì)系統(tǒng)行為基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求采用本地或采用與認(rèn)證服務(wù)器(RADIUS或TACACS服務(wù)器)聯(lián)動(dòng)(優(yōu)選方式)的方式，實(shí)現(xiàn)對(duì)用戶登錄日志的記錄和審計(jì)。記錄和審計(jì)X圍應(yīng)包括但不限于：用戶登錄的方式、使用的賬號(hào)名、登錄是否成功、登錄時(shí)間、以及行配置方法參考配置操作1、使用認(rèn)證服務(wù)器審計(jì)系統(tǒng)行為2、使用認(rèn)證服務(wù)器審計(jì)設(shè)備操作3、使用認(rèn)證服務(wù)器審計(jì)設(shè)備命令執(zhí)行4、使用認(rèn)證服務(wù)器審計(jì)網(wǎng)絡(luò)行為22/124基線名稱基線編號(hào)基線要求配置方法IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘配置交換機(jī)端口安全策略，保證網(wǎng)絡(luò)安全。如配置portsecurity特性，指定參考配置操作基線名稱型攻擊防護(hù)基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求過(guò)濾已知攻擊：在網(wǎng)絡(luò)邊界，設(shè)置安全訪問(wèn)控制，過(guò)濾掉已知安全攻擊數(shù)據(jù)配置方法參考配置操作23/124(3)、Cisco(config-if)#end(4)、Cisco#write基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作m基線名稱基線編號(hào)配置VLAN攻擊防護(hù)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘24/124基線要求配置方法參考配置操作e的接口允許的VLAN?；€名稱典型協(xié)議報(bào)文防護(hù)基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)對(duì)典型協(xié)議報(bào)文的攻擊進(jìn)行防護(hù)。配置方法參考配置操作ee(3)、Cisco(config-if)#end(4)、Cisco#write基線名稱配置預(yù)防源地址偽造攻擊基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作25/124基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作稱基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求26/124參考配置操作配置方法基線名稱基線編號(hào)基線要求配置方法基線名稱基線編號(hào)基線要求配置方法IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘參考配置操作IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘27/124基線要求配置方法參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求在面向末端用戶的端口上采用相關(guān)技術(shù)手段屏蔽不必要的協(xié)議。配置方法參考配置操作基線名稱基線編號(hào)關(guān)閉不必要的協(xié)議-LACP基線類型強(qiáng)制要求28/124基線要求配置方法團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘在面向末端用戶的端口上采用相關(guān)技術(shù)手段屏蔽不必要的協(xié)議。參考配置操作基線名稱關(guān)閉不必要的協(xié)議-flowcontrol基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求在面向末端用戶的端口上采用相關(guān)技術(shù)手段屏蔽不必要的協(xié)議。配置方法參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作e29/124基線編號(hào)基線要求配置方法IBCISCOSW團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘禁用源路由，防止路由信息泄露。參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作e基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求禁用直播(IPDIRECTEDBROADCAST)功能。配置方法參考配置操作0/124基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱基線編號(hào)IBCISCOSW強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱基線編號(hào)IBCISCOSW可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作1/1241.1.3華為路由器/交換機(jī)安全基線技術(shù)要求網(wǎng)絡(luò)設(shè)備防護(hù)基線名稱基線編號(hào)IB-HUAWEI(SW)-01-01基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作基線名稱分級(jí)權(quán)限控制基線編號(hào)IB-HUAWEI(SW)-01-02基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求根據(jù)用戶的業(yè)務(wù)需求，配置其所需的最小權(quán)限。配置方法參考配置操作:基線名稱清除無(wú)關(guān)的賬號(hào)2/124IB-HUAWEI(IB-HUAWEI(SW)-01-03基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。參考配置操作基線要求配置方法避免共享賬號(hào)IB-避免共享賬號(hào)IB-HUAWEI(SW)-01-04基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)按照用戶分配賬號(hào)。避免不同用戶間共享賬號(hào)。避免用戶賬號(hào)和設(shè)備間通參考配置操作(1).執(zhí)行如下命令:基線編號(hào)基線要求配置方法基線名稱基線編號(hào)基線名稱基線編號(hào)基線要求基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)為設(shè)備配置用戶連續(xù)認(rèn)證失敗次數(shù)上限，當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)上限時(shí)，設(shè)備自動(dòng)斷開(kāi)該用戶賬號(hào)的連接，并在一定時(shí)間內(nèi)禁止該用戶賬號(hào)重3/124配置方法新認(rèn)證參考配置操作(1).執(zhí)行如下命令:基線名稱;開(kāi)啟NTP認(rèn)證功能,確保時(shí)鐘源可靠基線編號(hào)IB-HUAWEI(SW)-01-06基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作(2).設(shè)置認(rèn)證密鑰md5***基線名稱基線編號(hào)IB-HUAWEI(SW)-01-07基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:4/124(1(1).執(zhí)行如下命令:(2).執(zhí)行如下命令基線名稱基線編號(hào)IB-HUAWEI(SW)-01-08基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:(1).執(zhí)行如下命令:k(2).執(zhí)行如下命令:基線名稱關(guān)閉AUX口基線編號(hào)IB-HUAWEI(SW)-01-09基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求關(guān)閉AUX口配置方法參考配置操作:5/124基線名稱關(guān)閉未使用的網(wǎng)絡(luò)接口基線編號(hào)IB-HUAWEI(SW)-01-10基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求關(guān)閉未使用的網(wǎng)絡(luò)接口配置方法參考配置操作:n基線名稱P基線編號(hào)IB-HUAWEI(SW)-01-11基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:(1).執(zhí)行如下命令:(2).執(zhí)行如下命令k(3).執(zhí)行如下命令:6/124與認(rèn)證系統(tǒng)聯(lián)動(dòng)對(duì)用戶進(jìn)行認(rèn)證、授權(quán)IB與認(rèn)證系統(tǒng)聯(lián)動(dòng)對(duì)用戶進(jìn)行認(rèn)證、授權(quán)IB-HUAWEI(SW)-01-12基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘設(shè)備通過(guò)相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動(dòng)，滿足XX、口令和授權(quán)的強(qiáng)制要參考配置操作基線編號(hào)基線要求配置方法示例如下:(2).配置RADIUS主用認(rèn)證服務(wù)器t(4).配置認(rèn)證方案l(5).在域下應(yīng)用認(rèn)證方案7/124示例如下:HWTACACS器(4).配置認(rèn)證方案(5).配置授權(quán)方案8/124(6).在域下應(yīng)用認(rèn)證方案基線名稱X基線編號(hào)IB-HUAWEI(SW)-01-13基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置定時(shí)賬戶自動(dòng)登出，登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。配置方法參考配置操作:(1).執(zhí)行如下命令:vty口配置超時(shí)(2).執(zhí)行如下命令:9/124:基線名稱禁止管理員權(quán)限XX遠(yuǎn)程登錄基線編號(hào)IB-HUAWEI(SW)-01-14基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作。配置方法參考操作步驟:3存配置基線名稱遠(yuǎn)程管理通信安全基線編號(hào)IB-HUAWEI(SW)-01-15基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:40/124(1).執(zhí)行如下命令:(2).執(zhí)行如下命令:(3).執(zhí)行如下命令(4).執(zhí)行如下命令:h基線名稱對(duì)用戶權(quán)限細(xì)粒度的控制的能力基線編號(hào)IB-HUAWEI(SW)-01-16基線類型強(qiáng)制要求□等保一、二級(jí)□等保三級(jí)團(tuán)涉普通商秘(工作秘密)□涉核心商秘基線要求原則上應(yīng)采用對(duì)命令組或命令進(jìn)行授權(quán)的方法，實(shí)現(xiàn)對(duì)用戶權(quán)限細(xì)粒度的控配置方法參考配置操作(2)執(zhí)行如下命令對(duì)命令組或命令進(jìn)行授權(quán)l(xiāng)41/124基線名稱VTY端口防護(hù)策略基線編號(hào)IB-HUAWEI(SW)-01-17基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)設(shè)定VTY口的防護(hù)策略，避免由于惡意攻擊或者錯(cuò)誤操作等導(dǎo)致VTY口配置方法參考配置操作:(1).執(zhí)行如下命令:基線名稱基線編號(hào)IB-HUAWEI(SW)-01-18基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:(1).執(zhí)行如下命令:(2).執(zhí)行如下命令:42/124基線名稱基線編號(hào)基線要求配置方法VTY端口訪問(wèn)的認(rèn)證IB-HUAWEI(SW)-01-19基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘對(duì)于VTY口訪問(wèn)的認(rèn)證，應(yīng)采用認(rèn)證服務(wù)器認(rèn)證或者本地認(rèn)證的方式，避VTY證。參考配置操作:(1).執(zhí)行如下命令:基線名稱限制同一賬號(hào)連接數(shù)基線編號(hào)IB-HUAWEI(SW)-01-20基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求每個(gè)用戶賬號(hào)只開(kāi)啟一個(gè)連接配置方法參考配置操作(1).執(zhí)行如下命令:43/124存配置基線名稱基線編號(hào)IB-HUAWEI(SW)-01-21基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:(1).執(zhí)行如下命令:(2).執(zhí)行如下命令基線名稱靜態(tài)口令是否使用不可逆加密算法加密基線編號(hào)IB-HUAWEI(SW)-01-22基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。配置方法參考操作步驟:(1).執(zhí)行如下命令:用加密方式存儲(chǔ)口令的用戶名存配置44/124基線名稱基線編號(hào)IB-HUAWEI(SW)-01-23基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求VER之間要開(kāi)啟認(rèn)證功能配置方法參考配置操作:本地時(shí)鐘與時(shí)鐘源同步(2).執(zhí)行如下命令:基線名稱基線編號(hào)IB-HUAWEI(SW)-01-24基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:(1).執(zhí)行如下命令:45/124基線名稱基線編號(hào)IB-HUAWEI(SW)-01-25基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:(1).執(zhí)行如下命令:基線名稱ity基線編號(hào)IB-HUAWEI(SW)-01-26基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:46/124(1).執(zhí)行如下命令:(2).執(zhí)行如下命令訪問(wèn)控制基線名稱基線名稱過(guò)濾業(yè)務(wù)不相關(guān)流量基線編號(hào)IB-HUAWEI(SW)-02-01基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求路由器引擎直接處理的流量(如traceroute、ICMP流量)進(jìn)行控制，實(shí)現(xiàn)對(duì)配置方法參考配置操作:舉例說(shuō)明:(1).執(zhí)行如下命令:配置流分類(2).執(zhí)行如下命令:配置流行為(3).執(zhí)行如下命令:47/124情況配置創(chuàng)建流策略(4).執(zhí)行如下命令:<behavior_name>#<classifier_name>引用步驟2創(chuàng)建的流分將策略應(yīng)用到接口(5).執(zhí)行如下命令:安全審計(jì)基線名稱基線名稱記錄操作日志基線編號(hào)IB-HUAWEI(SW)-03-01基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求設(shè)備應(yīng)配置日志功能，記錄用戶對(duì)設(shè)備的操作。例如：賬號(hào)創(chuàng)建、刪除和權(quán)身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號(hào)，操作時(shí)間，操作內(nèi)配置方法參考配置操作:一、使用本地認(rèn)證48/124mationallogbuffer二、使用認(rèn)證服務(wù)器認(rèn)證(2).配置記錄方案(3).配置用戶在交換機(jī)上所執(zhí)行的命令的記錄策略,關(guān)聯(lián)記錄方案e注：對(duì)于服務(wù)器模板的配置，結(jié)合認(rèn)證、授權(quán)服務(wù)器一起配置.存配置基線名稱基線編號(hào)基線要求記錄用戶登錄日志IB-HUAWEI(SW)-03-02基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址49/124參考配置操作參考配置操作:mationallogbuffer配置方法基線名稱基線編號(hào)基線要求配置方法基線名稱基線編號(hào)基線要求配置方法基線類型強(qiáng)制要求基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘參考配置操作:(1).執(zhí)行如下命令::配置系統(tǒng)日志消息記錄IB-HUAWEI(SW)-03-04基線類型強(qiáng)制要求□等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘參考配置操作:(1).執(zhí)行如下命令配置遠(yuǎn)程日志保存IB配置遠(yuǎn)程日志保存IB-HUAWEI(SW)-03-05基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過(guò)遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP參考配置操作:基線編號(hào)基線要求配置方法(1).執(zhí)行如下命令:器發(fā)送crtical以及更嚴(yán)重級(jí)別的日志信息(2).執(zhí)行如下命令:基線名稱基線編號(hào)基線名稱基線編號(hào)基線要求配置方法基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘參考配置操作:(1).執(zhí)行如下命令:50/12451/124基線名稱基線編號(hào)基線名稱基線編號(hào)基線要求配置方法IB-HUAWEI(SW)-04-01基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘通過(guò)ACL配置對(duì)常見(jiàn)的漏洞攻擊及病毒報(bào)文進(jìn)行過(guò)濾.參考配置操作:(1).執(zhí)行如下命令:52/124基線名稱基線編號(hào)IB-HUAWEI(SW)-04-02基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作(1).執(zhí)行如下命令:存配置基線名稱基線編號(hào)基線要求IB-HUAWEI(SW)-04-03基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘為防止ARP欺騙攻擊，不使用ARP代理的路由器應(yīng)該關(guān)閉此功能。53/124配置方法參考配置操作:(1).執(zhí)行如下命令:基線名稱必要的網(wǎng)絡(luò)服務(wù)-FTP服務(wù)基線編號(hào)IB-HUAWEI(SW)-04-04基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:基線名稱預(yù)防源地址偽造攻擊基線編號(hào)IB-HUAWEI(SW)-04-05基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求即單播反向路徑查找，其主要功能是防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。配置方法參考配置操作:(1).執(zhí)行如下命令:說(shuō)明:54/1242.開(kāi)啟uRPF功能會(huì)使接口板的路由規(guī)格減半，請(qǐng)使用前考慮路由規(guī)模。ute(1).不配置參數(shù)allow-default-route時(shí)，不管是嚴(yán)格檢查還是松散檢查，如果報(bào)文的源地址在FIB表中不存在，即使找到缺省路由作為其相應(yīng)的路由，該嚴(yán)格檢查模式下，如果缺省路由的出接口與報(bào)文的入接口一致，報(bào)文將通過(guò)URPF檢查，進(jìn)行正常的轉(zhuǎn)發(fā)。如果缺省路由的出接口與報(bào)文的入接口不一松散檢查模式下，不管缺省路由的出接口和報(bào)文的入接口是否一致，都將通基線名基線名稱LDP全基線編號(hào)IB-HUAWEI(SW)-04-06基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求啟用LDP標(biāo)簽分發(fā)協(xié)議時(shí)，應(yīng)合理使用LDP協(xié)議認(rèn)證及加密功能，確保與配置方法參考配置操作:55/124基線名稱啟用路由協(xié)議認(rèn)證加密功能-ISIS基線編號(hào)IB-HUAWEI(SW)-04-07基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求協(xié)議認(rèn)證功能，如MD5加密，確保與可信方進(jìn)行路由協(xié)議交互配置方法參考配置操作:基線名稱啟用路由協(xié)議認(rèn)證加密功能-BGP基線編號(hào)IB-HUAWEI(SW)-04-08基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求協(xié)議認(rèn)證功能，如MD5加密，確保與可信方進(jìn)行路由協(xié)議交互配置方法參考配置操作:等體組名字.56/124基線名稱基線編號(hào)IB-HUAWEI(SW)-04-09基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求協(xié)議認(rèn)證功能，如MD5加密，確保與可信方進(jìn)行路由協(xié)議交互配置方法參考配置操作:基線名稱關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)-DHCP服務(wù)基線編號(hào)IB-HUAWEI(SW)-04-10基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)關(guān)閉設(shè)備上不必要的服務(wù)(如CDP、DNSlookup、DHCP、finger、配置方法參考配置操作:基線名稱基線編號(hào)關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)-DNS服務(wù)IB-HUAWEI(SW)-04-11基線類型強(qiáng)制要求57/124基線要求配置方法團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘關(guān)閉域名解析功能參考配置操作:(1).執(zhí)行如下命令關(guān)閉域名解析功能基線名稱基線編號(hào)基線要求配置方法路由信息發(fā)布和接受策略IB-HUAWEI(SW)-04-12基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘采用動(dòng)態(tài)路由協(xié)議時(shí)，使用ipprefix-list過(guò)濾缺省和私有路由、設(shè)置最大路全的路由信息.參考配置操作舉例說(shuō)明:meipprefixplIllegalprefixlistnamehuaweiipipprefixplIllegalprefix-list_name>30permit458/124或me存配置基線名稱維護(hù)路由狀態(tài)穩(wěn)定基線編號(hào)IB-HUAWEI(SW)-04-13基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)部署適當(dāng)?shù)穆酚砂踩呗?保障整個(gè)網(wǎng)絡(luò)路由層面的穩(wěn)定性和可控性。(如：對(duì)接收的eBGP路由AS-PATH長(zhǎng)度進(jìn)行一定限制、啟用BGPTTL配置方法參考配置操作:59/124基線名稱典型協(xié)議報(bào)文防護(hù)基線編號(hào)IB-HUAWEI(SW)-04-14基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求P配置方法參考配置操作舉例說(shuō)明:用策略存配置基線名稱基線編號(hào)IB-HUAWEI(SW)-04-15基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:(1).執(zhí)行如下命令60/124基線名稱基線編號(hào)IB-HUAWEI(SW)-04-16基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:omptype應(yīng)將上述訪問(wèn)規(guī)則根據(jù)實(shí)際情況應(yīng)用于接口基線名稱基線編號(hào)IB-HUAWEI(SW)-04-17基線類型可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法參考配置操作:61/1241.1.4迪普IPS/IDS安全基線技術(shù)要求(缺)網(wǎng)絡(luò)設(shè)備防護(hù)安全設(shè)備的用戶進(jìn)行身份安全設(shè)備的用戶進(jìn)行身份鑒別。團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘聯(lián)動(dòng)的方式實(shí)現(xiàn)對(duì)用戶的認(rèn)證，滿足賬號(hào)、口令和授權(quán)的要求，對(duì)登錄設(shè)備基線名稱基線編號(hào)基線要求配配置方法團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；禁止多個(gè)人員共用一個(gè)賬號(hào)?；€名稱基線編號(hào)基線要求配配置方法62/124身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換。身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換。團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)修改控制中心登錄的默認(rèn)賬戶和密碼，密碼長(zhǎng)度應(yīng)不小于8，密碼應(yīng)由字換?；€編號(hào)基線要求配置方法團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施。基線名稱基線編號(hào)基線要求配配置方法63/124團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)?；€編號(hào)基線要求配置方法團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線名稱基線編號(hào)基線要求配置方法64/124配置方法配置方法命令行下更更安全的遠(yuǎn)程管理團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)基線名稱基線編號(hào)基線要求對(duì)對(duì)用戶進(jìn)行分級(jí)權(quán)限控制團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘原則上應(yīng)采用預(yù)定義級(jí)別的授權(quán)方法，實(shí)現(xiàn)對(duì)不同用戶權(quán)限的控制。配置方法基線名稱基線編號(hào)基線要求基線名稱基線編號(hào)基線類型強(qiáng)制要求65/124團(tuán)等團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制。配置方法基線要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線編號(hào)基線要求配配置方法配配置會(huì)話超時(shí)團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘對(duì)于具備字符交互界面的設(shè)備，應(yīng)配置定時(shí)賬戶自動(dòng)登出?；€名稱基線編號(hào)基線要求配配置方法基線名稱基線編號(hào)基線要求配置屏幕自動(dòng)鎖定團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘對(duì)于具備圖形界面(含WEB界面)的設(shè)備，應(yīng)配置定時(shí)自動(dòng)屏幕鎖定。66/124配置方配置方法團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線編號(hào)基線要求配置方法團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線編號(hào)基線要求配置方法基線名稱基線編號(hào)基線要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘67/124配置方法訪問(wèn)控制配置流量控制配置流量控制團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)?；€編號(hào)基線要求配置方法VPN用戶權(quán)限限制VPN用戶權(quán)限限制團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量；對(duì)該組的訪問(wèn)權(quán)限進(jìn)行嚴(yán)格限制?；€編號(hào)基線要求配置方法68/124過(guò)濾不相關(guān)流量-ACL過(guò)濾不相關(guān)流量-ACL團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘口的流量過(guò)濾，過(guò)濾所有和業(yè)務(wù)不相關(guān)的流量?；€編號(hào)基線要求配置方法啟啟用訪問(wèn)控制功能團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能?；€名稱基線編號(hào)基線要求配配置方法基線名稱基線編號(hào)基線要求端口粒度控制團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘度69/124配置方法配置方法網(wǎng)絡(luò)信息內(nèi)容網(wǎng)絡(luò)信息內(nèi)容過(guò)濾團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線名稱基線編號(hào)基線要求配配置方法基線名稱基線編號(hào)基線要求會(huì)話管理團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接。70/124配置方法配置方法用用戶粒度控制團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶?；€名稱基線編號(hào)基線要求配配置方法安全審計(jì)開(kāi)啟日志審計(jì)功開(kāi)啟日志審計(jì)功能基線名稱71/124基線編號(hào)基線要求基線編號(hào)基線要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘開(kāi)啟審計(jì)日志，應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為配置方法配置審計(jì)日志記配置審計(jì)日志記錄團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其的信息?；€名稱基線編號(hào)基線要求配配置方法配置審計(jì)報(bào)表功配置審計(jì)報(bào)表功能□等保一、二級(jí)團(tuán)等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表?；€名稱基線編號(hào)基線要求配配置方法72/124基線名基線名稱配置日志存儲(chǔ)位置基線編號(hào)□等保一、二級(jí)團(tuán)等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等，將重要或指定級(jí)別的日志發(fā)送到日志服務(wù)器或其它位置，進(jìn)行安全存放，要求能追溯配置方法入侵防X擊防護(hù)團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、配置方法基線名稱基線編號(hào)基線要求73/124開(kāi)啟告警功能開(kāi)啟告警功能團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘?fù)粜袨闀r(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警?；€編號(hào)基線要求配置方法配置拒配置拒絕常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘配置訪問(wèn)控制規(guī)則，拒絕對(duì)常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)?；€名稱基線編號(hào)基線要求配配置方法基線名稱基線編號(hào)基線要求防止地址欺騙□等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)團(tuán)涉核心商秘重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；74/124配置方法基線名稱基線編號(hào)基線要求配置方法網(wǎng)絡(luò)設(shè)備防護(hù)安全設(shè)備的用戶進(jìn)行身份鑒別。IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘設(shè)備通過(guò)相關(guān)參數(shù)配置，通過(guò)與認(rèn)證服務(wù)器(RADIUS或TACACS服務(wù)器)聯(lián)動(dòng)的方式實(shí)現(xiàn)對(duì)用戶的認(rèn)證，滿足賬號(hào)、口令和授權(quán)的要求，對(duì)登錄設(shè)備鑒別?？诹?；針對(duì)用戶進(jìn)行管理權(quán)限授權(quán)?；€名稱75/124基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；禁止多個(gè)人員共用一個(gè)賬號(hào)。配置方法選擇系統(tǒng)管理->管理員->管理員查看用戶名是否唯一基線名稱身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換?；€編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)修改控制中心登錄的默認(rèn)賬戶和密碼，密碼長(zhǎng)度應(yīng)不小于8，密碼應(yīng)由字。配置方法密碼必須包含數(shù)字，英文和字符，字符為!#$%&`,-.基線名稱基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)為設(shè)備配置用戶連續(xù)認(rèn)證失敗次數(shù)上限，當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)上限時(shí)，設(shè)備自動(dòng)斷開(kāi)該用戶賬號(hào)的連接，并在一定時(shí)間內(nèi)禁止該用戶賬號(hào)重新認(rèn)證。配置方法選擇系統(tǒng)管理->維護(hù)->系統(tǒng)配置建議設(shè)置管理員最大登錄重試次數(shù)設(shè)置管理員登錄失敗阻斷間隔時(shí)間基線名稱基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘76/124基線要求應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。配置方法選擇系統(tǒng)管理->管理員->管理員刪除、禁用無(wú)用賬號(hào)基線名稱基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法設(shè)備使用console口登陸，默認(rèn)有密碼保護(hù)功能(無(wú)法修改)基線名稱基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法選擇系統(tǒng)管理->維護(hù)->時(shí)間配置基線名稱協(xié)議管理基線編號(hào)IBVENUSIPS可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法選擇系統(tǒng)管理->會(huì)話管理->協(xié)議管理啟啟用系統(tǒng)監(jiān)控告警基線名稱77/124基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)對(duì)系統(tǒng)進(jìn)行監(jiān)控，對(duì)系統(tǒng)運(yùn)行情況、流量、連接數(shù)等進(jìn)行監(jiān)控告警。配置方法選擇系統(tǒng)管理->監(jiān)控->系統(tǒng)監(jiān)控設(shè)置告警配置閥值基線名稱基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法選擇網(wǎng)絡(luò)管理->基本配置->SNMP基線名稱基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法選擇網(wǎng)絡(luò)管理->基本配置->SNMP基線名稱基線編號(hào)訪問(wèn)控制按照用戶分配賬號(hào)基線類型強(qiáng)制要求78/124基線要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘配賬號(hào)。避免不同用戶間共享賬號(hào)。避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。配置方法口令；針對(duì)用戶進(jìn)行管理權(quán)限授權(quán)?；€名稱基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法口->接口->eth0基線名稱基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法選擇系統(tǒng)管理->維護(hù)->系統(tǒng)配置配置在線管理員數(shù)量基線名稱基線編號(hào)配置流量控制IBVENUSIPS可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘79/124基線要求配置方法基線名稱基線編號(hào)基線要求配置方法基線名稱基線編號(hào)基線要求配置方法基線名稱基線編號(hào)基線要求路由器引擎直接處理的流量(如traceroute、ICMP流量)進(jìn)行控制，實(shí)現(xiàn)對(duì)選擇系統(tǒng)管理->會(huì)話管理->連接數(shù)管理對(duì)各種協(xié)議設(shè)置閾值，以及半連接設(shè)置上下限配置安全域的訪問(wèn)控制規(guī)則IBVENUSIPS可選要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘所有的安全域都具有相應(yīng)的規(guī)則進(jìn)行防護(hù)，對(duì)進(jìn)出流量進(jìn)行控制。建立安全域2、選擇入侵防御->安全策略->安全策略建立安全域訪問(wèn)控制規(guī)則VPN用戶按照訪問(wèn)權(quán)限進(jìn)行分組IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘對(duì)該組的訪問(wèn)權(quán)限進(jìn)行嚴(yán)格限制。選擇系統(tǒng)管理->管理員->管理員權(quán)限表查看用戶管理權(quán)限授權(quán)。對(duì)用戶進(jìn)行分級(jí)權(quán)限控制IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘原則上應(yīng)采用預(yù)定義級(jí)別的授權(quán)方法，實(shí)現(xiàn)對(duì)不同用戶權(quán)限的控制。124配置方法基線名稱基線編號(hào)基線要求配置方法選擇系統(tǒng)管理->管理員->管理員權(quán)限表針對(duì)用戶進(jìn)行管理權(quán)限授權(quán)。IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘應(yīng)對(duì)安全設(shè)備的管理員登錄地址進(jìn)行限制。->安全策VPN用戶設(shè)置訪問(wèn)控制規(guī)則略根據(jù)管理員設(shè)置管理地址，對(duì)源地址進(jìn)行限制基線名稱基線編號(hào)基線要求配置方法安全審計(jì)開(kāi)啟日志功能IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘開(kāi)啟記錄日志，記錄訪問(wèn)登錄、退出等信息。選擇日志與報(bào)告->日志配置->日志過(guò)濾開(kāi)啟本地/Syslog日志記錄，記錄防火墻事件、攻擊事件等基線名稱配置日志存儲(chǔ)位置基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求將重要或指定級(jí)別的日志發(fā)送到日志服務(wù)器或其它位置，進(jìn)行安全存放，要配置方法124選選擇啟用日志服務(wù)器2、登陸日志服務(wù)器，配置日志服務(wù)器保存日志的位置、大小、存放時(shí)間等基線名稱配置安全事件日志記錄基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求設(shè)備應(yīng)配置日志功能，記錄對(duì)與設(shè)備自身相關(guān)的安全事件。配置方法選擇日志與報(bào)告->日志配置->日志過(guò)濾開(kāi)啟本地/Syslog日志記錄，勾選運(yùn)行信息、接口信息、系統(tǒng)事件等基線名稱基線編號(hào)基線要求配置操作日志IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘設(shè)備應(yīng)配置日志功能，記錄用戶對(duì)設(shè)備的操作，包括但不限于以下內(nèi)容：賬號(hào)創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通記錄需要包含用戶賬號(hào)，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。配置方法選擇日志與報(bào)告->日志配置->日志過(guò)濾勾選配置審計(jì)，對(duì)用戶操作日志進(jìn)行安全審計(jì)基線名稱基線編號(hào)入侵防X配置拒絕常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘124基線要求配置方法配置訪問(wèn)控制規(guī)則，拒絕對(duì)常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù)的訪問(wèn)。1、選擇入侵防御->特征->事件集根據(jù)常見(jiàn)漏洞設(shè)置控制規(guī)則編輯安全防護(hù)表，調(diào)用事件集3、選擇入侵防御->安全策略->安全策略配置訪問(wèn)控制規(guī)則，調(diào)用安全防護(hù)表基線名稱開(kāi)啟攻擊防護(hù)基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)開(kāi)啟防攻擊功能，阻斷非法攻擊。配置方法選擇入侵防御->防攻擊->配置基線名稱配置會(huì)話超時(shí)基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求對(duì)于具備字符交互界面的設(shè)備，應(yīng)配置定時(shí)賬戶自動(dòng)登出。配置方法選擇系統(tǒng)管理->維護(hù)->系統(tǒng)配置設(shè)置頁(yè)面超時(shí)時(shí)間基線名稱系統(tǒng)補(bǔ)丁為最新版本基線編號(hào)IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求設(shè)備的系統(tǒng)和軟件版本必須處于廠家維護(hù)期，124并且維護(hù)人員必須定期對(duì)設(shè)備版本進(jìn)行升級(jí)或者打補(bǔ)丁操作。如設(shè)備系統(tǒng)廠家已不再維護(hù)，需要及時(shí)更新版本或者撤換。配置方法選擇系統(tǒng)管理->維護(hù)->升級(jí)管理從啟明星辰官方下載入侵防御特征庫(kù)、防病毒特征庫(kù)或軟件補(bǔ)丁上傳到服務(wù)器進(jìn)行升級(jí)指定升級(jí)服務(wù)器，設(shè)置定期升級(jí)時(shí)間基線名稱基線編號(hào)基線要求配置方法開(kāi)啟防病毒功能IBVENUSIPS強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘設(shè)備應(yīng)開(kāi)啟防病毒功能，配置防病毒策略。選擇防病毒查毒引擎查看文件掃描策略/屏蔽文件掃描網(wǎng)絡(luò)設(shè)備防護(hù)基線名稱安全設(shè)備的用戶進(jìn)行身份鑒別?；€編號(hào)IB-VENUS(IDS)-01-01基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求設(shè)備通過(guò)相關(guān)參數(shù)配置，通過(guò)與認(rèn)證服務(wù)器(RADIUS或TACACS服務(wù)器)別。配置方法12422、選擇用戶管理->用戶列表->用戶列表建立用戶，對(duì)用戶進(jìn)行授權(quán)基線名稱基線編號(hào)基線要求配置方法IB-VENUS(IDS)-01-02基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；禁止多個(gè)人員共用一個(gè)賬號(hào)。2、選擇用戶管理->用戶列表->用戶列表查看用戶名是否唯一基線名稱身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換?；€編號(hào)IB-VENUS(IDS)-01-03基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)修改控制中心登錄的默認(rèn)賬戶和密碼，密碼長(zhǎng)度應(yīng)不小于8，密碼應(yīng)由字。配置方法2、選擇用戶管理->安全性配置設(shè)置密碼長(zhǎng)度應(yīng)不小于8，密碼應(yīng)由字母、數(shù)字、特殊符號(hào)中的至少2種組成基線名稱基線編號(hào)IB-VENUS(IDS)-01-04基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)為設(shè)備配置用戶連續(xù)認(rèn)證失敗次數(shù)上限，當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)上124限時(shí)，設(shè)備自動(dòng)斷開(kāi)該用戶賬號(hào)的連接，并在一定時(shí)間內(nèi)禁止該用戶賬號(hào)重配置方法2、選擇用戶管理->安全性配置->登陸嘗試基線名稱基線編號(hào)IB-VENUS(IDS)-01-05基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。配置方法2、選擇用戶管理->用戶列表->用戶列表刪除、禁用無(wú)用賬號(hào)基線名稱基線編號(hào)IB-VENUS(IDS)-01-06基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法設(shè)備使用console口登陸，默認(rèn)有密碼保護(hù)功能(無(wú)法修改)基線名稱基線編號(hào)基線要求配置方法IB-VENUS(IDS)-01-07基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘124基線名稱基線編號(hào)IB-VENUS(IDS)-01-08基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配置方法基線名稱基線編號(hào)基線要求配置方法IB-VENUS(IDS)-01-09基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘訪問(wèn)控制基線名稱按照用戶分配賬號(hào)基線編號(hào)IB-VENUS(IDS)-02-01基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線要求配賬號(hào)。避免不同用戶間共享賬號(hào)。避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。配置方法2、選擇用戶管理->用戶列表->用戶列表124按按照用戶分配賬號(hào)基線名稱基線編號(hào)IB-VENUS(IDS)-02-02基線類型強(qiáng)制要求團(tuán)等保一、二級(jí)□等保三級(jí)□涉普通商秘(工作秘密)□涉核心商秘基線