H3C交换机安全配置基线

H3C交换机安全配置基线（Version 1.0）
2012年12月
目录
1 引言 (1)
2 适用范围 (1)
3 缩略语 (1)
4 安全基线要求项命名规则 (2)
5 文档使用说明 (2)
6 注意事项 (3)
7 安全配置要求 (3)
7.1 账号管理 (3)
7.1.1 运维账号共享管理 (3)
7.1.2 删除与工作无关账号 (3)
7.2 口令管理 (4)
7.2.1 静态口令加密 (4)
7.2.2 静态口令运维管理 (4)
7.3 认证管理 (5)
7.3.1 RADIUS认证（可选） (5)
7.4 日志审计 (6)
7.4.1 RADIUS记账（可选） (6)
7.4.2 启用信息中心 (6)
7.4.3 远程日志功能 (7)
7.4.4 日志记录时间准确性 (7)
7.5 协议安全 (7)
7.5.1 BPDU防护 (8)
7.5.2 根防护 (8)
7.5.3 VRRP认证 (8)
7.6 网络管理 (9)
7.6.1 SNMP协议版本 (9)
7.6.2 修改SNMP默认密码 (9)
7.6.3 SNMP通信安全（可选） (10)
7.7 设备管理 (10)
7.7.1 交换机带内管理方式 (10)
7.7.2 交换机带内管理通信 (11)
7.7.3 交换机带内管理超时 (11)
7.7.4 交换机带内管理验证 (12)
7.7.5 交换机带内管理用户级别 (12)
7.7.6 交换机带外管理超时 (13)
7.7.7 交换机带外管理验证 (13)
7.8 端口安全 (13)
7.8.1 使能端口安全 (13)
7.8.2 端口MAC地址数 (14)
7.8.3 交换机VLAN划分 (14)
7.9 其它 (15)
7.9.1 交换机登录BANNER管理 (15)
7.9.2 交换机空闲端口管理 (15)
7.9.3 禁用版权信息显示 (16)
附录A 安全基线配置项应用统计表 (17)
附录B 安全基线配置项应用问题记录表 (19)
附录C 中国石油NTP服务器列表 (20)
1 引言
本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。

本文档旨在对信息系统的安全配置审计、加固操作起到指导性作用。

本文档主要起草人：靖小伟、杨志贤、张志伟、滕征岑、裴志宏、刘磊、叶铭、王勇、吴强。

2 适用范围
本文档适用于中国石油使用的H3C系列交换机，明确了H3C系列交换机在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

3 缩略语
4 安全基线要求项命名规则
安全基线要求项是安全基线的最小单位，每一个安全基线要求项对应一个基本的可执行的安全规范明细，安全基线要求项命名规则为“安全基线–一级分类–二级分类–类型编号–明细编号”，如SBL-Switch-H3C-01-01，代表“安全基线–交换机– H3C –账号类–运维账号共享管理“。

5 文档使用说明
1> 随着信息技术发展，路由器与交换机在功能上逐渐融合，具有共同点，部分路由器上配有交换板卡，可以实现服务器与终端计算机接入；部分交换机配有路由引擎，可以实现路由功能。

虽然两者具有一定共同点，但从路由器与交换机在生产环境中的应用定位出发，本系列文档分为路由器安全基线（侧重于路由协议等）和交换机安全基线（侧重于局域网交换与端口安全等）。

2> H3C交换机可以通过命令行、Web、NMS等多种方式管理，本文档中涉及的操作，均在命令行下完成。

3> 命令行中需要用户定义的名称与数值，文档中均以<>标出，用户根据需要自行定义。

例如local-user <name1>，表示创建账号名称为name1的本地用户，password cipher < password1>，表示本地用户name1的密码为passowrd1。

4> 由于各信息系统对于H3C系列交换机的要求不尽相同，因此对于第7章安全配置要求中的安全基线要求项，各信息系统根据实际情况选择性进行配置，并填写附录A《安全基线配置项应用统计表》。

5> 在第7章安全配置要求中，部分安全基线要求项提供了阈值，如“交换机带内管理设置登录超时，超时时间不宜设置过长，参考值为5分钟。

”，此阈值为参考值，通过借鉴GCC、中国石油企标、国内外大型企业信息安全最佳实践等资料得出。

各信息系统如因业
务需求无法应用此阈值，在附录A《安全基线配置项应用统计表》的备注项进行说明。

6 注意事项
由于H3C系列交换机普遍应用于重要生产环境，对于本文档中安全基线要求项，实施前需要在测试环境进行验证后应用。

在应用安全基线配置项的过程中，如遇到技术性问题，填写附录B《安全基线配置项应用问题记录表》。

在应用安全基线配置前需要备份交换机的配置文件，以便出现故障时进行回退。

7 安全配置要求
7.1 账号管理
7.1.1 运维账号共享管理
7.1.2 删除与工作无关账号
7.2 口令管理
7.2.1 静态口令加密
7.2.2 静态口令运维管理
7.3 认证管理
7.3.1 RADIUS认证（可选）
7.4 日志审计
7.4.1 RADIUS记账（可选）
7.4.2 启用信息中心
7.4.3 远程日志功能
7.4.4 日志记录时间准确性
7.5 协议安全
7.5.1 BPDU防护
7.5.2 根防护
7.5.3 VRRP认证
7.6 网络管理
7.6.1 SNMP协议版本
7.6.2 修改SNMP默认密码
7.6.3 SNMP 通信安全（可选）
7.7 设备管理
7.7.1 交换机带内管理方式
7.7.2 交换机带内管理通信
7.7.3 交换机带内管理超时
7.7.4 交换机带内管理验证
7.7.5 交换机带内管理用户级别
7.7.6 交换机带外管理超时
7.7.7 交换机带外管理验证
7.8 端口安全
7.8.1 使能端口安全
7.8.2 端口MAC地址数
7.8.3 交换机VLAN划分
7.9 其它
7.9.1 交换机登录BANNER管理
7.9.2 交换机空闲端口管理
7.9.3 禁用版权信息显示
附录A 安全基线配置项应用统计表
附录B 安全基线配置项应用问题记录表
附录C 中国石油NTP服务器列表。