网络设备安全规范和指南

网络设备安全规范和指南

1. 目的

本规范旨在确定网络设备最低的安全配置标准；本指南旨在为网络管理员选购和配置网络设备提供帮助。

2. 范围

本规定适用于运营平台所有网络设备的选型和配置。

3. 规范

3.1. 选用其硬件平台，操作系统，服务和应用具备适当安全的网络设备；

3.2. 将每个网络设备在本公司的信息管理系统中进行登记。至少记录如下信息：

* 设备所在位置和联系人

* 硬件和操作系统版本

* 主要功能和应用

* 特权口令

3.3. 为每个网络设备配置合适的DNS记录；

3.4. 保证网络设备口令符合<<口令安全规范和指南>>的规定, 以安全的加密形式存放口令,

使用强健的SNMP 通信字符串；

3.5. 禁止在网络设备上创建本地用户帐号，应使用TACACS+, RADIUS 验证用户身份；

3.6. 禁用不必要的服务和应用；

3.7 设备间的信任关系只有在业务必需的情况下建立，必须作相应记录；

3.8. 限定只有网管工作站才能登录网络设备或使用SNMP协议获取设备信息；

3.9. 在支持SSH协议的网络设备配置SSH;

3.10. 使用安全的连接协议（SSH, IPSEC）执行远程设备管理；

3.11. 及时安装网络设备厂家和信息安全人员推荐的补丁和修复；

3.12. 为连接服务器的交换机配置端口安全；

3.13. 将安全相关的事件记录到特定的日志里。安全相关的事件包括（但不限于）如下事件：

* 用户登录失败；

* 获取特权访问失败；

* 违反访问策略；

3.1

4. 每天查看重要网络设备的日志，所有网络设备的日志至少每两周查看一次。

3.15. 改变现有设备的配置和配置新设备必须遵守变更管理制度；

3.16. 新设备必须在经过严格的安全审计后才允许投入产品环境；

3.17. 在网络设备上粘贴警告：“禁止非法访问本设备。你必须在得到明确的许可后才允许

访问或配置该设备。在该设备上执行的一切活动都会被记录，违反本规定会受到本公司的惩罚，甚至承担相应的法律责任。”

3.18. 定期审计网络设备；

3.19. 尽可能为重要网络设备配备备用设备；

4．指南

4.1. 禁用下列事项或确认设备的默认配置已经禁用了下列事项：

* IP 定向广播；

* 源地址无效的数据包；

* 源路由；

* Small 服务，路由器上的WEB 服务；

* ARP proxy;

* 与ISP网络连接的CISCO路由器/交换机上的CDP协议；

* IP 重定向；

4.2. 配置默认ACL规则为DROP ALL ；

4.3. 严格限制DNS-TCP, DNS-UDP, ICMP协议数据包；

4.4. 集中存放网络设备产生的日志；

4.5. 订阅网络设备厂家及著名安全网站的安全邮件列表