华为交换机安全基线

华为交换机安全基线

华为设备安全配置基线

第1章概述

1.1目的

规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本

华为交换机、路由器。

第2章帐号管理、认证授权安全要求

2.1帐号管理

2.1.1用户帐号分配*

1、安全基线名称：用户帐号分配安全

2、安全基线编号：SBL-HUAWEI-02-01-01

3、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：

[Huawei]aaa

[Huawei-aaa]local-user admin password cipher admin123

[Huawei-aaa]local-user admin privilege level 15

[Huawei-aaa]local-user admin service-type ssh

[Huawei-aaa]local-user user password cipher user123

[Huawei-aaa]local-user user privilege level 4

[Huawei-aaa]local-user user service-type ssh

5、安全判定条件：

（1）配置文件中，存在不同的账号分配

（2）网络管理员确认用户与账号分配关系明确

6、检测操作：

使用命令dis cur命令查看：

#

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!

local-user admin privilege level 15

local-user admin service-type ssh

local-user user password cipher "=LP!6$^-IYNZP

local-user user privilege level 4

local-user user service-type ssh

#

对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

2.1.2删除无关的帐号*

1、安全基线名称：删除无关的账号

2、安全基线编号：SBL-HUAWEI-02-01-02

3、安全基线说明：应删除与设备运行、维护等工作无关的账号。

4、参考配置操作：

[Huawei]aaa

[Huawei-aaa]undo local-user user

5、安全判定条件：

（1）配置文件存在多个账号

（2）网络管理员确认账号与设备运行、维护等工作无关

6、检测操作：

使用dis cur | include local-user命令查看：

[Huawei]dis cur | include local-user

local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!! local-user admin privilege level 15

local-user admin service-type ssh

若不存在无用账号则说明符合安全要求。

2.2口令

2.2.1静态口令以密文形式存放

1、安全基线名称：静态口令以密文形式存放

2、安全基线编号：SBL-HUAWEI-02-02-01

3、安全基线说明：配置本地用户和super口令使用密文密码。

4、参考配置操作：

[Huawei]aaa

[Huawei-aaa]local-user admin password cipher admin123 [Huawei]super password cipher admin123

5、安全判定条件：

配置文件中没有明文密码字段。

6、检测操作：

查看本地用户密码：

[Huawei]dis cur | include local-user

local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!

local-user admin privilege level 15

local-user admin service-type ssh

查看super密码：

[Huawei]dis cur | include super

super password level 3 cipher mPZr=2!Z<@u:|l#3M^#3Icf# #

2.2.2密码复杂度

1、安全基线名称：密码复杂度

2、安全基线编号：SBL-HUAWEI-02-02-02

3、安全基线说明：对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。

4、参考配置操作：

[Huawei]aaa

[Huawei-aaa]local-user admin password cipher admin@xiangyun

5、安全判定条件：

密码强度符合要求，密码至少90天进行更换。

2.3授权

2.3.1用IP协议进行远程维护的设备使用SSH等加密协议

1、安全基线名称：用IP协议进行远程维护设备