交换机设备安全基线

华为交换机安全基线华为设备安全配置基线第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei-aaa]local-user admin privilege level 15[Huawei-aaa]local-user admin service-type ssh[Huawei-aaa]local-user user password cipher user123[Huawei-aaa]local-user user privilege level 4[Huawei-aaa]local-user user service-type ssh5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令dis cur命令查看：#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type sshlocal-user user password cipher "=LP!6$^-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

安全基线的基本内容-回复什么是安全基线？安全基线是指一个组织、系统或产品在保障其安全性方面应当满足的最小要求，是确保信息安全的起点和基础。

它是一种标准化的规范，包含一系列的控制措施和管理实践，旨在确保系统或产品在设计、开发、部署和运行过程中满足最低的安全要求。

安全基线的基本内容涵盖了以下几个方面：1. 身份验证和访问控制：包括身份验证、授权机制、权限分配和访问控制策略等。

系统或产品应该能够确定用户的身份并对其进行合理的授权和权限控制，以确保只有合法的用户能够访问系统或产品的资源。

2. 数据保护：包括数据的存储、传输和处理等方面。

系统或产品应该有相应的加密措施来保护数据的完整性和机密性，同时也应该有备份和恢复机制来应对数据丢失或损坏的情况。

3. 异常检测和响应：包括对安全事件的实时监控和及时响应。

系统或产品应该能够及时发现并响应潜在的安全威胁，包括入侵检测、日志审计和事件响应等方面。

4. 系统配置管理：包括对系统或产品配置的管理和审计。

系统或产品应该有一个合理的配置管理机制，可以确保系统或产品的配置与安全策略的要求一致，并能够及时检查和修复配置上的漏洞。

5. 安全意识培训和教育：包括对员工和用户的安全意识培训和教育。

组织应该设立相应的培训计划，提高员工和用户对信息安全的认知，并教育他们如何正确使用系统或产品以最大程度地减少潜在的安全风险。

6. 安全组织和管理：包括安全团队和安全管理实践。

组织应该有一个专门的安全团队负责信息安全事务，并制定相应的安全政策和流程，确保信息安全工作的规范执行。

以上是安全基线的基本内容，不同组织或系统可能会根据具体情况和需求进行适当的调整和扩展。

安全基线是确保信息安全的起点和基础，组织在设计、开发和部署系统或产品时应该将安全基线作为一项基本要求，以最大限度地减少潜在的安全风险。

同时，定期的安全评估和审计也是必要的，以确保系统或产品的安全性始终处于合理的水平。

配置管理基线计划
1. 引言
本计划旨在建立和维护组织内部计算机系统的配置管理基线。

该计划目的是通过创建和跟踪已知好的配置来最大限度地减少系统配置错误和安全漏洞。

2. 范围
该计划适用于组织内所有物理和虚拟服务器、桌面计算机、路由器、交换机和防火墻等设备。

移动设备当前暂不在计划范围内。

3. 基线定义
我们将为组织内主要系统和设备制定以下配置管理基线:
- 服务器基线
- 服务器基线
- 网关路由器基线
- 枢纽交换机基线
- 桌面计算机基线
- 应用程序基线
- 数据库服务器基线
每种基线将描述系统的期望配置,包括常用软件版本、安全设置、账户和访问控制等。

4. 基线维护
部门将负责创建和维护各种配置管理基线。

基线将每季度或根据业务需要进行审阅和更新。

5. 合规性检查
每月我们将对随机选择的系统进行检查,查看是否符合相关的配置管理基线。

超出基线配置的系统将记录下来并进行调整。

6. 报告和督导
每月生成基线合规报告并报送给高层管理层。

不合规系统将列入下个月的优先处理对象。

以上就是初步的配置管理基线计划。

日后需要根据实际情况不断完善和优化该计划。

华为交换机安全配置基线（Version 1.0）2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证（可选） (5)7.4 日志审计 (6)7.4.1 RADIUS记账（可选） (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全（可选） (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。

华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时，需要遵循的一套安
全配置准则和最佳实践，以确保交换机的安全性和可靠性。

以下是
一些常见的华为交换机安全基线配置要点：
1. 管理口安全：禁用默认管理口，为管理口设置强密码，并限制访
问管理口的IP地址范围。

2. 字典攻击防护：启用密码强度检查功能，配置登录失败锁定策略，限制登录尝试次数。

3. AAA认证和授权：使用AAA认证机制，确保用户身份验证的安全性。

采用RBAC角色权限控制，为不同的用户分配不同的权限。

4. SSH安全：优先使用SSH协议进行交换机访问和管理，并配置安全性较高的SSH版本和密码加密算法。

5. 网络访问控制：配置ACL访问控制列表，限制允许通过交换机的IP地址、端口、协议和服务。

6. 网络流量监测和报警：启用网络流量监测功能，及时发现异常流
量和攻击行为，并设置报警机制。

7. 系统日志和审计：启用系统日志功能，记录关键操作和事件，以便后期追踪和审计。

8. 端口安全：为交换机端口绑定MAC地址，限制端口下连接设备的数量，防止非法设备接入网络。

9. VLAN隔离：使用VLAN隔离不同的用户和设备，限制内部访问和互相通信。

10. 升级和补丁管理：及时升级交换机固件到最新版本，安装安全漏洞的补丁，以防止已知的攻击和漏洞利用。

以上只是一些常见的华为交换机安全基线配置要点，具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。

建议在配置安全策略前，参考华为官方文档、安全手册和最佳实践指南，确保正确和合适地配置华为交换机的安全性。

华为设备（交换机）安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误！未定义书签。

2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

H3C交换机安全配置基线 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIH3C交换机安全配置基线1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 ..................................................................................................... 错误!未定义书签。

目的 .......................................................................................................... 错误!未定义书签。

适用范围 .................................................................................................. 错误!未定义书签。

适用版本 .................................................................................................. 错误!未定义书签。

实施 .......................................................................................................... 错误!未定义书签。

例外条款 .................................................................................................. 错误!未定义书签。

第2章帐号管理、认证授权安全要求 ........................................................... 错误!未定义书签。