交换机设备安全基线

华为交换机安全基线华为设备安全配置基线第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei-aaa]local-user admin privilege level 15[Huawei-aaa]local-user admin service-type ssh[Huawei-aaa]local-user user password cipher user123[Huawei-aaa]local-user user privilege level 4[Huawei-aaa]local-user user service-type ssh5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令dis cur命令查看：#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type sshlocal-user user password cipher "=LP!6$^-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

安全基线的基本内容-回复什么是安全基线？安全基线是指一个组织、系统或产品在保障其安全性方面应当满足的最小要求，是确保信息安全的起点和基础。

它是一种标准化的规范，包含一系列的控制措施和管理实践，旨在确保系统或产品在设计、开发、部署和运行过程中满足最低的安全要求。

安全基线的基本内容涵盖了以下几个方面：1. 身份验证和访问控制：包括身份验证、授权机制、权限分配和访问控制策略等。

系统或产品应该能够确定用户的身份并对其进行合理的授权和权限控制，以确保只有合法的用户能够访问系统或产品的资源。

2. 数据保护：包括数据的存储、传输和处理等方面。

系统或产品应该有相应的加密措施来保护数据的完整性和机密性，同时也应该有备份和恢复机制来应对数据丢失或损坏的情况。

3. 异常检测和响应：包括对安全事件的实时监控和及时响应。

系统或产品应该能够及时发现并响应潜在的安全威胁，包括入侵检测、日志审计和事件响应等方面。

4. 系统配置管理：包括对系统或产品配置的管理和审计。

系统或产品应该有一个合理的配置管理机制，可以确保系统或产品的配置与安全策略的要求一致，并能够及时检查和修复配置上的漏洞。

5. 安全意识培训和教育：包括对员工和用户的安全意识培训和教育。

组织应该设立相应的培训计划，提高员工和用户对信息安全的认知，并教育他们如何正确使用系统或产品以最大程度地减少潜在的安全风险。

6. 安全组织和管理：包括安全团队和安全管理实践。

组织应该有一个专门的安全团队负责信息安全事务，并制定相应的安全政策和流程，确保信息安全工作的规范执行。

以上是安全基线的基本内容，不同组织或系统可能会根据具体情况和需求进行适当的调整和扩展。

安全基线是确保信息安全的起点和基础，组织在设计、开发和部署系统或产品时应该将安全基线作为一项基本要求，以最大限度地减少潜在的安全风险。

同时，定期的安全评估和审计也是必要的，以确保系统或产品的安全性始终处于合理的水平。

配置管理基线计划
1. 引言
本计划旨在建立和维护组织内部计算机系统的配置管理基线。

该计划目的是通过创建和跟踪已知好的配置来最大限度地减少系统配置错误和安全漏洞。

2. 范围
该计划适用于组织内所有物理和虚拟服务器、桌面计算机、路由器、交换机和防火墻等设备。

移动设备当前暂不在计划范围内。

3. 基线定义
我们将为组织内主要系统和设备制定以下配置管理基线:
- 服务器基线
- 服务器基线
- 网关路由器基线
- 枢纽交换机基线
- 桌面计算机基线
- 应用程序基线
- 数据库服务器基线
每种基线将描述系统的期望配置,包括常用软件版本、安全设置、账户和访问控制等。

4. 基线维护
部门将负责创建和维护各种配置管理基线。

基线将每季度或根据业务需要进行审阅和更新。

5. 合规性检查
每月我们将对随机选择的系统进行检查,查看是否符合相关的配置管理基线。

超出基线配置的系统将记录下来并进行调整。

6. 报告和督导
每月生成基线合规报告并报送给高层管理层。

不合规系统将列入下个月的优先处理对象。

以上就是初步的配置管理基线计划。

日后需要根据实际情况不断完善和优化该计划。

华为交换机安全配置基线（Version 1.0）2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证（可选） (5)7.4 日志审计 (6)7.4.1 RADIUS记账（可选） (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全（可选） (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。

华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时，需要遵循的一套安
全配置准则和最佳实践，以确保交换机的安全性和可靠性。

以下是
一些常见的华为交换机安全基线配置要点：
1. 管理口安全：禁用默认管理口，为管理口设置强密码，并限制访
问管理口的IP地址范围。

2. 字典攻击防护：启用密码强度检查功能，配置登录失败锁定策略，限制登录尝试次数。

3. AAA认证和授权：使用AAA认证机制，确保用户身份验证的安全性。

采用RBAC角色权限控制，为不同的用户分配不同的权限。

4. SSH安全：优先使用SSH协议进行交换机访问和管理，并配置安全性较高的SSH版本和密码加密算法。

5. 网络访问控制：配置ACL访问控制列表，限制允许通过交换机的IP地址、端口、协议和服务。

6. 网络流量监测和报警：启用网络流量监测功能，及时发现异常流
量和攻击行为，并设置报警机制。

7. 系统日志和审计：启用系统日志功能，记录关键操作和事件，以便后期追踪和审计。

8. 端口安全：为交换机端口绑定MAC地址，限制端口下连接设备的数量，防止非法设备接入网络。

9. VLAN隔离：使用VLAN隔离不同的用户和设备，限制内部访问和互相通信。

10. 升级和补丁管理：及时升级交换机固件到最新版本，安装安全漏洞的补丁，以防止已知的攻击和漏洞利用。

以上只是一些常见的华为交换机安全基线配置要点，具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。

建议在配置安全策略前，参考华为官方文档、安全手册和最佳实践指南，确保正确和合适地配置华为交换机的安全性。

华为设备（交换机）安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误！未定义书签。

2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

H3C交换机安全配置基线 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIH3C交换机安全配置基线1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 ..................................................................................................... 错误!未定义书签。

目的 .......................................................................................................... 错误!未定义书签。

适用范围 .................................................................................................. 错误!未定义书签。

适用版本 .................................................................................................. 错误!未定义书签。

实施 .......................................................................................................... 错误!未定义书签。

例外条款 .................................................................................................. 错误!未定义书签。

第2章帐号管理、认证授权安全要求 ........................................................... 错误!未定义书签。

华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................... 错误!未定义书签。

2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

2009-07-24发布2009-07-24实施中国联通公司发布目录前言 (II)1 范围 (1)2 定义与缩略语 (1)2.1 定义 (1)2.2 缩略语 (1)3 安全配置要求 (1)3.1 password的加密 (1)3.2 Super 密码的使用 (1)3.3 用户口令设置 (2)3.4 用户权限设置 (2)3.5 VTY的数量限制 (2)3.6 VTY的访问限制 (2)3.7 禁用Telnet方式访问系统 (3)3.8 SSH的使用 (3)3.9 SNMP服务设置 (3)3.10 SNMP服务的共同体字符串设置 (4)3.11 SNMP服务的访问控制设置 (4)3.12 登录超时设置 (4)3.13 禁用不使用的端口 (4)3.14 禁用AUX端口 (5)3.15 禁用FTP服务 (5)3.16 启用STP服务 (5)3.17 启用OSPF (5)3.18 交换机802.1X认证配置 (6)3.19 日志审计 (6)4 审批与修订 (6)前言为确保中国联通信息系统的网络支撑和内网信息安全，指导各省级分公司做好华为路由交换系统的安全维护相关工作，在研究国际先进企业最佳实践的基础上，结合中国联通内网信息安全现状和实际需求，特制定本配置指南。

本文档为首次发布，其他相关要求将根据需要陆续发布。

本文档由中国联合网络通信有限公司管理信息系统部提出并归口管理。

本文档起草单位：中国联合网络通信有限公司、系统集成公司。

本文档主要起草人：李爽，冯磊。

本文档解释单位：中国联合网络通信有限公司管理信息系统部。

1范围本文档规定了中国联通范围内安装的华为路由交换设备应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行华为路由交换设备的安全配置。

本指南适用于中国联通华为路由交换系统，适用版本：华为路由交换本指南适用于中国联通集团总部、各直属单位、各省级分公司。

2定义与缩略语2.1定义下列定义适用于本文档：路由器：是用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。

X X银行H3C交换机系列安全配置基线(V1.0)目录1适用声明 (2)2访问控制 (3)2.1 远程连接源地址限制 (24)3安全审计 (3)3.1 开启设备的日志功能 (6)4入侵防范 (7)4.1 配置防ARP欺骗攻击 (7)4.2 配置常见的漏洞攻击和病毒过滤功能 (4)4.3 配置ACL规则 (3)5网络设备防护 (8)5.1 限制管理员远程直接登录 (8)5.2 连接空闲时间设定 (9)5.3 远程登陆加密传输 (10)5.4 配置CONSOLE口密码保护功能和连接超时 (12)5.5 按照用户分配账号 (13)5.6 删除设备中无用的闲置账号 (14)5.7 修改设备上存在的弱口令 (15)5.8 配置和认证系统联动功能 (16)配置和认证系统联动功能 (16)5.9 配置NTP服务 (17)5.10 修改SNMP的COMMUNITY默认通行字 (18)5.11 使用SNMPV2或以上版本 (19)5.12 设置SNMP的访问安全限制 (20)5.13 系统应关闭未使用的SNMP协议及未使用RW权限 (21)5.14 关闭不必要的服务 (21)5.15 配置防源地址欺骗攻击 (22)5.16 禁止设备未使用或者空闲的端口 (23)1 适用声明2 访问控制2.1配置ACL规则2.2配置常见的漏洞攻击和病毒过滤功能3 安全审计3.1开启设备的日志功能4 入侵防范4.1配置防ARP欺骗攻击5 网络设备防护5.1限制管理员远程直接登录5.2连接空闲时间设定5.3远程登陆加密传输5.4配置console口密码保护功能和连接超时5.5按照用户分配账号5.6删除设备中无用的闲置账号5.7修改设备上存在的弱口令5.8配置和认证系统联动功能5.9配置NTP服务5.10修改SNMP的community默认通行字5.11使用SNMPV2或以上版本5.12设置SNMP的访问安全限制5.13系统应关闭未使用的SNMP协议及未使用RW权限5.14关闭不必要的服务5.15配置防源地址欺骗攻击5.16禁止设备未使用或者空闲的端口5.17远程连接源地址限制。

IT主流设备安全基线技术规范1范围本规范适用于中国xx电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。

2规范性提及文件下列文件对于本规范的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本规范。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。

――中华人民共和国计算机信息系统安全维护条例――中华人民共和国国家安全法――中华人民共和国激进国家秘密法――计算机信息系统国际联网保密管理规定――中华人民共和国计算机信息网络国际联网管理暂行规定――iso27001标准/iso27002指南――公通字[2021]43号信息安全等级维护管理办法――gb/t21028-2021信息安全技术服务器安全技术要求――gb/t20269-2021信息安全技术信息系统安全管理要求――gb/t22239-2021信息安全技术信息系统安全等级维护基本建议――gb/t22240-2021信息安全技术信息系统安全等级维护定级指南3术语和定义安全基线：指针对it设备的安全特性，挑选最合适的安全控制措施，定义相同it设备的最高安全布局建议，则该最高安全布局建议就称作安全基线。

管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。

生产控制大区可以分为控制区(安全区i)和非控制区(安全区ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。

根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。

4总则4.1指导思想紧紧围绕公司打造出经营型、服务型、一体化、现代化的国内领先、国际知名企业的战略总体目标，为二要弘扬南网方略，确保信息化建设，提升信息安全防水能力，通过规范it主流设备安全基线，创建公司管理信息大区it主流设备安全防水的最低标准，同时实现公司it主流设备整体防护的技术措施标准化、规范化、指标化。

网络安全基线我们知道，网络安全是当今社会中最重要的问题之一。

随着互联网的普及和信息技术的发展，网络攻击和数据泄露的风险也大大增加。

为了保护个人和组织的信息安全，制定和实施网络安全基线成为一种必要的措施。

网络安全基线是指一组最低标准和要求，用于确保网络系统和数据的安全性。

它是组织在网络环境中保护信息和资源的基础。

具体而言，网络安全基线包括以下方面：1. 访问控制：网络安全基线要求制定和实施适当的访问控制策略。

这包括限制用户对系统和数据的访问权限、禁止不必要的服务和端口、定期审查权限，并实施强密码策略等。

2. 网络设备和安全配置：基线要求对网络设备进行安全配置，包括更新和打补丁、关闭不必要的服务和功能、启用防火墙和安全日志记录等。

此外，网络设备的管理和监控也是保障网络安全的重要环节。

3. 恶意软件防护：网络环境中恶意软件的威胁不容忽视。

基线要求组织建立和更新反病毒软件和防恶意软件解决方案，并定期进行恶意软件扫描和清除。

4. 安全审计和监控：网络安全基线要求实施有效的安全审计和监控措施。

这包括实施安全事件日志记录、网络流量监测、入侵检测和响应系统等，以及定期的安全评估和漏洞扫描。

5. 人员培训和策略：网络安全基线要求组织进行网络安全培训，提高员工对网络安全的认识和意识。

此外，还需要建立相关的安全策略和流程，包括应急响应计划、数据备份和恢复策略等。

通过制定和应用网络安全基线，组织能够降低网络风险，减少数据泄露和恶意攻击的可能性。

网络安全基线提供了一套统一的标准和要求，帮助组织确保网络和数据的安全性。

但需要注意的是，网络安全基线是一个动态的过程，需要根据威胁环境的变化和技术的发展进行不断的更新和改进。

H3C设备安全配置基线目录第1章概述................................................................................................................................1.1目的....................................................................................................................................1.2适用范围............................................................................................................................1.3适用版本............................................................................................................................第2章帐号管理、认证授权安全要求 ....................................................................................2.1帐号管理............................................................................................................................2.1.1用户帐号分配* ..........................................................................................................2.1.2删除无关的帐号* ......................................................................................................2.2口令....................................................................................................................................2.2.1静态口令以密文形式存放 ........................................................................................2.2.2帐号、口令和授权 ....................................................................................................2.2.3密码复杂度 ................................................................................................................2.3授权....................................................................................................................................2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 ...........................................第3章日志安全要求 ................................................................................................................3.1日志安全............................................................................................................................3.1.1启用信息中心 ............................................................................................................3.1.2开启NTP服务保证记录的时间的准确性................................................................3.1.3远程日志功能* ..........................................................................................................第4章IP协议安全要求............................................................................................................4.1IP协议 ...............................................................................................................................4.1.1VRRP认证 ..................................................................................................................4.1.2系统远程服务只允许特定地址访问 ........................................................................4.2功能配置............................................................................................................................4.2.1SNMP的Community默认通行字口令强度 ............................................................4.2.2只与特定主机进行SNMP协议交互 ........................................................................4.2.3配置SNMPV2或以上版本 ........................................................................................4.2.4关闭未使用的SNMP协议及未使用write权限...................................................... 第5章IP协议安全要求............................................................................................................5.1其他安全配置....................................................................................................................5.1.1关闭未使用的接口 ....................................................................................................5.1.2修改设备缺省BANNER语 ........................................................................................5.1.3配置定时账户自动登出 ............................................................................................5.1.4配置console口密码保护功能..................................................................................5.1.5端口与实际应用相符 ................................................................................................概述目的规范配置H3C路由器、交换机设备，保证设备基本安全。