华为交换机安全基线
华为交换机安全测评指导书
2)radiusschemeradius1
primaryauthentication10.1.1.1primaryaccounting10.1.1.2
b)登录地址限制;
检查:输入命令displaycurrent-configuration
序号
测评指标
测评项
检查方法
预期结果
3
网络设备防护(G3)
a)登录用户身份鉴别;
检查:输入命令displaycurrent-configuration
1)查看配置文件,是否存在类似如下登录口令设置:
user-interfacevty04userprivilegelevel3
setauthenticationpasswordciper******
f)具有登录失败处理功能;
检查:输入命令displaycurrent-configuration
检查配置文件中是否存在类似如下配置项:
user-interfacevty04idle-timeout50
存在类似如下配置:
user-interfacevty04idle-timeout50
序号
测评指标
测评项
使用了异地备份功能。
c)冗余的网络拓扑结构;
检查:查看网络拓扑结构,看是否采用了冗余技术来避免关键节点存在单点故障。
拓扑结构冗余。
d)提供硬件冗余。
检查:查看主要交换机是否有硬件冗余。
设备硬件冗余。
local-useruser1level1
local-useruser2level3
4
备份和恢复(A3)
a)提供本地数据备份与恢复;
华为交换机安全配置基线
华为交换机安全配置基线(Version 1.0)2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证(可选) (5)7.4 日志审计 (6)7.4.1 RADIUS记账(可选) (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全(可选) (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准,是中国石油安全基线文档之一。
华为交换机安全基线
华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时,需要遵循的一套安
全配置准则和最佳实践,以确保交换机的安全性和可靠性。
以下是
一些常见的华为交换机安全基线配置要点:
1. 管理口安全:禁用默认管理口,为管理口设置强密码,并限制访
问管理口的IP地址范围。
2. 字典攻击防护:启用密码强度检查功能,配置登录失败锁定策略,限制登录尝试次数。
3. AAA认证和授权:使用AAA认证机制,确保用户身份验证的安全性。
采用RBAC角色权限控制,为不同的用户分配不同的权限。
4. SSH安全:优先使用SSH协议进行交换机访问和管理,并配置安全性较高的SSH版本和密码加密算法。
5. 网络访问控制:配置ACL访问控制列表,限制允许通过交换机的IP地址、端口、协议和服务。
6. 网络流量监测和报警:启用网络流量监测功能,及时发现异常流
量和攻击行为,并设置报警机制。
7. 系统日志和审计:启用系统日志功能,记录关键操作和事件,以便后期追踪和审计。
8. 端口安全:为交换机端口绑定MAC地址,限制端口下连接设备的数量,防止非法设备接入网络。
9. VLAN隔离:使用VLAN隔离不同的用户和设备,限制内部访问和互相通信。
10. 升级和补丁管理:及时升级交换机固件到最新版本,安装安全漏洞的补丁,以防止已知的攻击和漏洞利用。
以上只是一些常见的华为交换机安全基线配置要点,具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。
建议在配置安全策略前,参考华为官方文档、安全手册和最佳实践指南,确保正确和合适地配置华为交换机的安全性。
华为TSM终端安全管理系统
华为TSM终端安全管理系统综述随着企业和组织网络规模的增大,分支机构、移动办公、访客等增加了网络中的接入点,使存在于各层的网络漏洞成倍的增加,以利益驱动的专业黑客往往锁定企业终端为目标,利用终端中的安全漏洞,获取对重要资源的访问权限,进而对核心业务系统发起攻击,造成数据被窃听或破坏,核心业务中断、恶意代码传播等安全事故,使企业业务和声誉受损。
通过全面端点安全评估和统一配置,华为Secospace TSM (Terminal Security Management,终端安全管理)系统,在端点接入网络前主动进行安全状态评估,建立基于用户角色的网络访问机制,并为不符合安全基线的终端提供系统漏洞修复,从而将病毒屏蔽在网络之外,为企业和组织构建一个完整、简单和易于管理的终端安全环境。
纵深化防御:结合终端层、网络层、应用层形成纵深安全防御体系,为企业和组织构筑完整的网络安全防线——在终端层主动评估终端安全状态,与网络层的安全接入控制设备联动实现基于用户角色的访问控制,并协同应用层的补丁、资产管理,主动阻止和隔离风险,有效增强整网对抗风险的能力。
一体化部署:为应对日益复杂的安全攻击,往往需要部署多家厂商的终端管理产品,而这些解决方案间缺乏关联度,难以一体化运作,造成采购成本昂贵、结构复杂和难以维护。
针对企业需要简化IT解决方案的实际需求,TSM系统整合接入控制、强制安全策略遵从、员工行为管理、补丁管理、资产管理和软件分发等于一体,为企业建立一个一体化、完整的终端安全管理体系,有效降低IT部署复杂度,提高成本效益。
全方位保护: 企业内部信息安全管理是以安全法规为基础、安全技术为支撑、业务流程和安全管理为保障的系统工程。
TSM系统以安全策略为中心,通过策略检查、接入控制、行为审计和补丁修复建立不断完善的PDCA防护过程,为企业提供全方位内网终端安全管理和保护,持续改进企业安全状况,提升企业信息安全管理水平。
主要功能:•网络安全接入控制,发现并控制内部员工、外来访客和合作伙伴等对企业网络资源的访问,防止非法用户和不安全的终端接入内网,并根据用户身份授权访问指定的内网资源;•终端安全基线管理,集中配置终端的安全基线,全面评估终端的安全状态,对不符合安全基线的终端进行隔离、修复,提高终端的安全防护水平,保证企业整网的安全;•用户行为管理,审计并控制终端用户违法企业管理制度的行为,如非法外联、计算机外设、网络访问行为等,防止计算机和网络资源的滥用和恶意破话,规范终端用户使用IT资源的行为,提高企业整网的可用性和效率;•补丁和软件分发,提供智能、高效的补丁和软件分发功能,准确的评估系统漏洞,在最大限度降低网络带宽占用率的同时,帮助及时终端更新补丁,消除终端的安全漏洞;•企业资产安全审计,动态收集企业软、硬件资产信息,跟踪企业资产变更,帮助管理员全面了解终端资产状况,提供企业整网的IT管理水平。
华为设备(交换机)安全配置基线
华为设备(交换机)安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误!未定义书签。
2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本华为交换机、路由器。
Huawei防火墙安全配置基线
Huawei防火墙安全配置基线XXXXXX备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (5)2.2.1口令复杂度要求 (5)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (7)3.1日志安全 (7)3.1.1记录用户对设备的操作 (7)3.1.2记录与设备相关的安全事件 (7)3.1.3开启记录NAT日志 (8)3.1.4配置记录流量日志 (9)3.1.5配置日志容量告警阈值 (9)3.2告警配置要求 (10)3.2.1配置对防火墙本身的攻击或内部错误告警 (10)3.2.2配置TCP/IP协议网络层异常报文攻击告警 (10)3.2.3配置DOS和DDOS攻击告警 (11)3.2.4配置关键字内容过滤功能告警* (12)3.3安全策略配置要求 (12)3.3.1访问规则列表最后一条必须是拒绝一切流量 (12)3.3.2配置访问规则应尽可能缩小范围 (13)3.3.3访问规则进行分组* (13)3.3.4配置NAT地址转换 (14)3.3.5隐藏防火墙字符管理界面的bannner信息 (15)3.3.6关闭非必要服务 (15)3.4攻击防护配置要求 (16)3.4.1拒绝常见漏洞所对应端口或者服务的访问 (16)3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能* (17)3.4.3限制ICMP包大小* (17)第4章IP协议安全要求 (19)4.1功能配置 (19)4.1.1使用SNMP V2或V3版本对防火墙远程管理 (19)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1外网口地址关闭对ping包的回应 (21)5.1.2对防火墙的管理地址做源地址限制 (21)5.1.3配置consol口密码保护功能 (22)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了XXXXXX管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。
华为交换机安全基线
华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................... 错误!未定义书签。
2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本华为交换机、路由器。
第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-HUAWEI-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
安全基线与配置核查技术与方法
安全基线能给烟草用户带来什么
•能够及时发现 当前业务应用 系统所面临的 安全问题并可 以提供有效的 解决办法 • 可以成为用户 对业务系统进 行等级合规的 有力检查和合 规工具,出具 符合国家局要 求的合规检查 报告 • 依据等保和 “三全”的要 求进行自动化 检查(71个指 标项的检查要 求,35个技术 指标,36个管 理类,共计 380项)
安全管理制度
安全管理机构
人员安全管理
管理制度 制订和发布 评审和修订 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 系统定级 安全方案设计 产品采购和使用 软件开发 工程实施 测试验收 系统交付 系统备案 等级测评 环境管理 资产管理 介质管理 设备管理 监控管理和安全管理中 心 网络安全管理 系统安全管理 恶意代码防范管理 计算机应用管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理
3
国内外信息安全评估标准演化视图
4
什么是安全基线
目录
企业面临的困惑与运维挑战 如何建立一套基线管理体系 安全基线检查的技术方法 举例
5
安全运维的困境一
我又不是安全专家,我怎 么知道哪些是安全的? 这么多的设备,难道要我 一台一台手工来查吗?
漏洞、配置、端口,进程、 文件,账号口令,这些都 怎么查啊?
些安全设备的自身安全谁来管理呢
,端口、进程、帐号安全? 数据库、中间件是支持业务的重要 组件,是不是都按照默认配置,使 用出厂设置,这些配置是否适用于 我们企业的安全要求,如何发现潜 在的风险呢?
谁来关注它 们的安全
-目前我们的关注点是保证业务安全、数 据安全,但所有系统平台的支撑最终还 是落实到设备上,设备安全了,业务支 撑才安全
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为交换机安全基线华为设备安全配置基线第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本华为交换机、路由器。
第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-HUAWEI-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
4、参考配置操作:[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei-aaa]local-user admin privilege level 15[Huawei-aaa]local-user admin service-type ssh[Huawei-aaa]local-user user password cipher user123[Huawei-aaa]local-user user privilege level 4[Huawei-aaa]local-user user service-type ssh5、安全判定条件:(1)配置文件中,存在不同的账号分配(2)网络管理员确认用户与账号分配关系明确6、检测操作:使用命令dis cur命令查看:#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type sshlocal-user user password cipher "=LP!6$^-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。
2.1.2删除无关的帐号*1、安全基线名称:删除无关的账号2、安全基线编号:SBL-HUAWEI-02-01-023、安全基线说明:应删除与设备运行、维护等工作无关的账号。
4、参考配置操作:[Huawei]aaa[Huawei-aaa]undo local-user user5、安全判定条件:(1)配置文件存在多个账号(2)网络管理员确认账号与设备运行、维护等工作无关6、检测操作:使用dis cur | include local-user命令查看:[Huawei]dis cur | include local-userlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!! local-user admin privilege level 15local-user admin service-type ssh若不存在无用账号则说明符合安全要求。
2.2口令2.2.1静态口令以密文形式存放1、安全基线名称:静态口令以密文形式存放2、安全基线编号:SBL-HUAWEI-02-02-013、安全基线说明:配置本地用户和super口令使用密文密码。
4、参考配置操作:[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123 [Huawei]super password cipher admin1235、安全判定条件:配置文件中没有明文密码字段。
6、检测操作:查看本地用户密码:[Huawei]dis cur | include local-userlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type ssh查看super密码:[Huawei]dis cur | include supersuper password level 3 cipher mPZr=2!Z<@u:|l#3M^#3Icf# #2.2.2密码复杂度1、安全基线名称:密码复杂度2、安全基线编号:SBL-HUAWEI-02-02-023、安全基线说明:对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
4、参考配置操作:[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin@xiangyun5、安全判定条件:密码强度符合要求,密码至少90天进行更换。
2.3授权2.3.1用IP协议进行远程维护的设备使用SSH等加密协议1、安全基线名称:用IP协议进行远程维护设备2、安全基线编号:SBL-HUAWEI-02-03-013、安全基线说明:使用IP协议进行远程维护设备,应配置使用SSH等加密协议连接。
4、参考配置操作:[Huawei]aaa[Huawei-aaa] local-user admin password cipher admin123[Huawei-aaa] local-user admin privilege level 15[Huawei-aaa] local-user admin service-type ssh[Huawei]rsa local-key-pair create[Huawei]stelnet server enable[Huawei]ssh user admin service-type stelnet[Huawei]ssh user admin authentication-type password[Huawei]user-interface vty 0 4[Huawei-ui-vty0-4]protocol inbound ssh5、安全判定条件:配置文件中只允许SSH等加密协议连接。
6、检测操作:使用dis cur | include ssh命令:[Huawei]dis cur | include sshlocal-user admin service-type sshssh user adminssh user admin authentication-type passwordssh user admin service-type stelnet第3章日志安全要求3.1日志安全3.1.1启用信息中心1、安全基线名称:启用信息中心2、安全基线编号:SBL-HUAWEI-03-01-013、安全基线说明:启用信息中心,记录与设备相关的事件。
4、参考配置操作:[HUAWEI]info-center enable5、安全判定条件:(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录使用的IP地址。
(2)记录用户登录设备后所进行的所有操作。
6、检测操作:使用dis info-center有显示Information Center: Enabled类似信息,如:[Huawei]dis info-centerInformation Center:enabledLog host:Console:channel number : 0, channel name : consoleMonitor:channel number : 1, channel name : monitorSNMP Agent:channel number : 5, channel name : snmpagentLog buffer:enabled,max buffer size 1024, current buffer size 512,current messages 56, channel number : 4, channel name : logbuffer dropped messages 0, overwritten messages 0Trap buffer:enabled,max buffer size 1024, current buffer size 256,current messages 4, channel number:3, channel name:trapbuffer dropped messages 0, overwritten messages 0Information timestamp setting:log - date, trap - date, debug - date millisecondSent messages = 1227, Received messages = 1226IO Reg messages = 0 IO Sent messages = 03.1.2开启NTP服务保证记录的时间的准确性1、安全基线名称:日志记录时间准确性2、安全基线编号:SBL-HUAWEI-03-01-023、安全基线说明:开启NTP服务,保证日志功能记录的时间的准确性。
4、参考配置操作:配置ntp客户端,服务器地址为192.168.1.1:[Huawei]ntp-service authentication enable[Huawei]ntp-service unicast-server 192.168.1.15、安全判定条件:日志记录时间准确。
6、检测操作:[Huawei]dis cur | include ntpntp-service authentication enablentp-service unicast-server 192.168.1.13.1.3远程日志功能*1、安全基线名称:远程日志功能2、安全基线编号:SBL-HUAWEI-03-01-033、安全基线说明:配置远程日志功能,使设备能通过远程日志功能传输到日志服务器。
4、参考配置操作:[HUAWEI]info-center loghost *.*.*.* //配置接收日志的服务器地址[Huawei]info-center source default channel loghost log level emergencies //配置发送的日志级别5、安全判定条件:日志服务器能够正确接收网络设备发送的日志。