华为交换机安全基线

华为交换机安全基线华为设备安全配置基线第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei-aaa]local-user admin privilege level 15[Huawei-aaa]local-user admin service-type ssh[Huawei-aaa]local-user user password cipher user123[Huawei-aaa]local-user user privilege level 4[Huawei-aaa]local-user user service-type ssh5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令dis cur命令查看：#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type sshlocal-user user password cipher "=LP!6$^-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

华为设备安全配置基线目录概述目的规范配置华为路由器、交换机设备，保证设备基本安全。

适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

适用版本华为交换机、路由器。

帐号管理、认证授权安全要求帐号管理1.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei-aaa]local-user admin privilege level 15[Huawei-aaa]local-user admin service-type ssh[Huawei-aaa]local-user user password cipher user123[Huawei-aaa]local-user user privilege level 4[Huawei-aaa]local-user user service-type ssh5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令dis cur命令查看：…#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type sshlocal-user user password cipher "=LP!6$^-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

华为交换机安全配置基线（Version 1.0）2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证（可选） (5)7.4 日志审计 (6)7.4.1 RADIUS记账（可选） (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全（可选） (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。

华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时，需要遵循的一套安
全配置准则和最佳实践，以确保交换机的安全性和可靠性。

以下是
一些常见的华为交换机安全基线配置要点：
1. 管理口安全：禁用默认管理口，为管理口设置强密码，并限制访
问管理口的IP地址范围。

2. 字典攻击防护：启用密码强度检查功能，配置登录失败锁定策略，限制登录尝试次数。

3. AAA认证和授权：使用AAA认证机制，确保用户身份验证的安全性。

采用RBAC角色权限控制，为不同的用户分配不同的权限。

4. SSH安全：优先使用SSH协议进行交换机访问和管理，并配置安全性较高的SSH版本和密码加密算法。

5. 网络访问控制：配置ACL访问控制列表，限制允许通过交换机的IP地址、端口、协议和服务。

6. 网络流量监测和报警：启用网络流量监测功能，及时发现异常流
量和攻击行为，并设置报警机制。

7. 系统日志和审计：启用系统日志功能，记录关键操作和事件，以便后期追踪和审计。

8. 端口安全：为交换机端口绑定MAC地址，限制端口下连接设备的数量，防止非法设备接入网络。

9. VLAN隔离：使用VLAN隔离不同的用户和设备，限制内部访问和互相通信。

10. 升级和补丁管理：及时升级交换机固件到最新版本，安装安全漏洞的补丁，以防止已知的攻击和漏洞利用。

以上只是一些常见的华为交换机安全基线配置要点，具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。

建议在配置安全策略前，参考华为官方文档、安全手册和最佳实践指南，确保正确和合适地配置华为交换机的安全性。

华为设备（交换机）安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误！未定义书签。

2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

Huawei防火墙安全配置基线XXXXXX备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (5)2.2.1口令复杂度要求 (5)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (7)3.1日志安全 (7)3.1.1记录用户对设备的操作 (7)3.1.2记录与设备相关的安全事件 (7)3.1.3开启记录NAT日志 (8)3.1.4配置记录流量日志 (9)3.1.5配置日志容量告警阈值 (9)3.2告警配置要求 (10)3.2.1配置对防火墙本身的攻击或内部错误告警 (10)3.2.2配置TCP/IP协议网络层异常报文攻击告警 (10)3.2.3配置DOS和DDOS攻击告警 (11)3.2.4配置关键字内容过滤功能告警* (12)3.3安全策略配置要求 (12)3.3.1访问规则列表最后一条必须是拒绝一切流量 (12)3.3.2配置访问规则应尽可能缩小范围 (13)3.3.3访问规则进行分组* (13)3.3.4配置NAT地址转换 (14)3.3.5隐藏防火墙字符管理界面的bannner信息 (15)3.3.6关闭非必要服务 (15)3.4攻击防护配置要求 (16)3.4.1拒绝常见漏洞所对应端口或者服务的访问 (16)3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能* (17)3.4.3限制ICMP包大小* (17)第4章IP协议安全要求 (19)4.1功能配置 (19)4.1.1使用SNMP V2或V3版本对防火墙远程管理 (19)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1外网口地址关闭对ping包的回应 (21)5.1.2对防火墙的管理地址做源地址限制 (21)5.1.3配置consol口密码保护功能 (22)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了XXXXXX管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。

H3C交换机安全配置基线 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIH3C交换机安全配置基线1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 ..................................................................................................... 错误!未定义书签。

目的 .......................................................................................................... 错误!未定义书签。

适用范围 .................................................................................................. 错误!未定义书签。

适用版本 .................................................................................................. 错误!未定义书签。

实施 .......................................................................................................... 错误!未定义书签。

例外条款 .................................................................................................. 错误!未定义书签。

第2章帐号管理、认证授权安全要求 ........................................................... 错误!未定义书签。

华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................... 错误!未定义书签。

2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

2009-07-24发布2009-07-24实施中国联通公司发布目录前言 (II)1 范围 (1)2 定义与缩略语 (1)2.1 定义 (1)2.2 缩略语 (1)3 安全配置要求 (1)3.1 password的加密 (1)3.2 Super 密码的使用 (1)3.3 用户口令设置 (2)3.4 用户权限设置 (2)3.5 VTY的数量限制 (2)3.6 VTY的访问限制 (2)3.7 禁用Telnet方式访问系统 (3)3.8 SSH的使用 (3)3.9 SNMP服务设置 (3)3.10 SNMP服务的共同体字符串设置 (4)3.11 SNMP服务的访问控制设置 (4)3.12 登录超时设置 (4)3.13 禁用不使用的端口 (4)3.14 禁用AUX端口 (5)3.15 禁用FTP服务 (5)3.16 启用STP服务 (5)3.17 启用OSPF (5)3.18 交换机802.1X认证配置 (6)3.19 日志审计 (6)4 审批与修订 (6)前言为确保中国联通信息系统的网络支撑和内网信息安全，指导各省级分公司做好华为路由交换系统的安全维护相关工作，在研究国际先进企业最佳实践的基础上，结合中国联通内网信息安全现状和实际需求，特制定本配置指南。

本文档为首次发布，其他相关要求将根据需要陆续发布。

本文档由中国联合网络通信有限公司管理信息系统部提出并归口管理。

本文档起草单位：中国联合网络通信有限公司、系统集成公司。

本文档主要起草人：李爽，冯磊。

本文档解释单位：中国联合网络通信有限公司管理信息系统部。

1范围本文档规定了中国联通范围内安装的华为路由交换设备应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行华为路由交换设备的安全配置。

本指南适用于中国联通华为路由交换系统，适用版本：华为路由交换本指南适用于中国联通集团总部、各直属单位、各省级分公司。

2定义与缩略语2.1定义下列定义适用于本文档：路由器：是用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。

一、拿到一台新的华为设备，我们首先要进行本地配置，比如配置密码，开启远程控制，配置用户设置权限等。

系统默认是没有开启telnet远程的，很多配置是需要我们在本地配置中开启的。

下面我们讲解华为设备的安全登录设置。

注：我们使用的是华为ensp模拟器进行讲解。

1.1、不同网络设备的需求和工作模式互不相同，其具体配置方法也会有较大的不同。

但所有的交换机/路由器都有一些共同的部分，可以把这些部分作为基本的模板用于最初的配置。

配置图如下：1、在路由器AR1设置本地登录用户视图(console端口)登录密码<Huawei>system-view //进入系统视图[Huawei]user-interface console 0//进入用户视图[Huawei-ui-console0]authentication-mode password //配置用户视图密码，最长16位Please configure the login password (maximum length 16):wltx //输入密码wltx[Huawei-ui-console0]set authentication password cipher 123 //修改用户视图验证密码，可跟56位密文[Huawei-ui-console0]return //回到用户视图，如前面的是<Huawei>，说明回到了用户视图。

<Huawei>save//保存配置The current configuration will be written to the device.Are you sure to continue? (y/n)[n]:y //按y确认保存<Huawei>quit //退出Configuration console exit please press any key to log onLogin authenticationPassword: //再次登录用户视图需要输入密码此时登录则需要输入密码才能进入用户视图，如果要取消安全认证，则执行以下命令。

1.判断题在处理或者修改客户网络中的数据时,需先向客户申请书面授权；但是如果所实施的操作不会对客户网络运行造成任何影响,就没有必要向客户申请了;对错考生答案：错回答正确试题分数:2.0 当前得分: 2.0 2.判断题员工需定期进行电脑/终端进行病毒查杀,当发现或怀疑电脑/存储介质感染病毒时,禁止接入客户网络;对错考生答案：对回答正确试题分数:2.0 当前得分: 2.0 3.判断题在客户网络上安装任何工具或软件都必须获得客户的书面授权; 在紧急情况如客户无法联系的情况下,在客户设备上安装的临时软件必须在完成工作任务后第一时间立即删除;对错考生答案：错回答正确试题分数:2.0 当前得分: 2.04.判断题团队成员一起在客户场所工作,为了不打扰客户,在保证不泄漏账号和密码的前提下,大家可以共享账户;对错考生答案：错回答正确试题分数:2.0 当前得分: 2.0 5.判断题网络安全违规问责的定级标准主要是依据违规所导致的结果;对错考生答案：错回答正确试题分数:2.0 当前得分: 2.0 6.判断题所有现网变更操作都必须获得“三个审批”客户审批、项目组审批,技术审批;对错考生答案：对回答正确试题分数:2.0 当前得分: 2.0 7.判断题现场服务结束后,应清理本次服务过程中所有增加的跟客户相关的临时性内容如删除过程数据,取消登录账号等,如果由于后续工作需要,某些临时性内容需要保留,必须获得客户的书面批准;对错考生答案：对回答正确试题分数:2.0 当前得分: 2.0 8.判断题对客户设备进行有风险的操作时例如软件升级、重要硬件更换、网络结构变更等,应事先书面向客户说明,征得客户同意后,方能执行；操作内容应该基于实验室或者网络模拟数据;对错考生答案：对回答正确试题分数:2.0 当前得分: 2.0 9.判断题网络安全行为红线是有条件的强制要求,在与业务有冲突时,以满足业务需要为先;对错考生答案：错回答正确试题分数:2.0 当前得分: 2.0 10.判断题网络安全行为红线规定：商用或转维后,禁止保留或使用管理员账号及其它非授权账号;所以工程转维或商用后,网络账户密码应移交给客户,并要求客户更改初始密码并签字确认;对错考生答案：对回答正确试题分数:2.0 当前得分: 2.0 11.单选题“关于网络安全基线的管理要求”中提到：是所辖业务网络安全保障的第一责任人; 都要对自己所做的事情和产生的结果负责,不仅要对技术和服务负责,也要承担法律责任;a.各级业务主管,员工;b.项目经理, 主管;c.各级业务主管,主管;d.项目经理,员工;考生答案：a 回答正确试题分数:2.0 当前得分: 2.0 12.单选题员工利用同事电脑中客户网络的登录账户密码,远程接入客户网络解决问题;据调查发现,该登录账户是客户半年前授予该维护人员的,有效期才10天; 下列说法错误的是：a.加强客户授权管理含授权书、账户、密码等b.定期清除到期客户权限,并提醒客户取消到期授权c.属于客户网络的访问控制存在管理漏洞是客户的责任,华为不承担责任d.与客户一起商讨解决方案,重新授予登录权限,帐号密码需专人专用,过期失效,出现问题能做到可追溯、可定位考生答案：c 回答正确试题分数:2.0 当前得分: 2.0 13.单选题以下关于数据使用,说法不正确的是：a.客户网络数据使用仅限在授权范围内,禁止用于其它目的,禁止以任何形式公开客户网络数据信息;b.项目结束后,若客户未明确要求,可以保存一些客户网络数据在工作电脑上,以便日后用于对外交流,研讨等引用;c.在对外交流、研讨、展示的资料中如涉及客户网络数据,须获取客户授权或者去敏感化,公开渠道获得的除外;d.在案例学习、知识分享中如涉及客户网络数据,须去敏感化,不得直接使用;考生答案：b 回答正确试题分数:2.0 当前得分: 2.0 14.单选题在服务交付过程中,针对第三方设备,下列说法不正确的是：a.在服务交付过程中,严禁工程师操作客户机房中其它厂家的设备设备搬迁项目、我司提供的配套设备、管理服务项目等其它厂家设备操作责任界面属于华为除外b.对于第三方设备应根据责任矩阵履行,不得随意操作或更改第三方设备;c.第三方安全软件在使用时如有必要进行修改,可以进行修改以满足业务需求;d.搬迁第三方厂家的设备,需要对含存储介质中的设备按客户的要求进行处理;考生答案：c 回答正确试题分数:2.0 当前得分: 2.0 15.单选题下面不符合要求的客户授权方式是:a.邮件b.会议纪要c.传真d.口头承诺e.服务申请考生答案：d 回答正确试题分数:2.0 当前得分: 2.0 16.单选题有关现场服务的要求以下描述错误的是：a.进行现场服务时,必须经过客户同意并要求客户陪同,应使用客户给予的临时账号和密码,不与他人共用账户和密码;b.超过客户预先审批过的操作范围,如有额外操作但预计无风险的,可以实施后再向客户说明;c.现场服务结束后,应清理本次服务过程中所有增加的临时性工作内容如删除过程数据,取消登录账号等,如果由于后续工作需要,某些临时性工作内容需要保留,必须获得客户的书面批准;d.现场服务结束后,需要客户在服务报告中签字确认是否已经更改登录口令;考生答案：b 回答正确试题分数:2.0 当前得分: 2.0 17.单选题关于帐号密码管理,下面不属于网络安全违规的是:a.在提供的产品或服务中预留未公开账号;b.攻击、破坏客户网络,破解客户账户密码;c.泄漏和传播客户网络的账号和密码;d.经客户书面授权,使用客户账号和密码;考生答案：d 回答正确试题分数:2.0 当前得分: 2.0 18.单选题下列关于网络安全的问题反馈和求助渠道的描述,错误的是：a.网络安全问题反馈是网络安全相关岗位的责任,跟一般岗位员工没有关系;b.在施工过程中, 分包商应监控并严格落实按相关产品安全规范施工,并配合华为的检查;如果发现问题,第一时间整改;c.在施工过程不确定时,可联系其华为项目组的主管,或请联系华为项目经理明确,确认要求后再施工;d.如果在施工中遇到突发网络安全事件,分包商员工应第一时间将情况通知给其对应华为项目组的主管,或直接联系华为项目经理;考生答案：a 回答正确试题分数:2.0 当前得分: 2.0 19.单选题出于问题定位目的,将运营商网络中包含个人信息的数据传回总部分析,以下不正确的是：a.征得运营商同意,并且根据当地国的法律履行必要程序;b.数据传入到总部后,必须采取适当的组织和技术措施保证数据安全;c.解决问题优先,怎么快怎么传;d.不清楚如何处理的情况下,先先咨询主管和网络安全部门意见;考生答案：c 回答正确试题分数:2.0 当前得分: 2.0 20.单选题在服务交付过程中,下面不属于网络安全违规行为的是:a.在提供的产品或服务中植入恶意代码、恶意软件、后门,预留任何未公开接口和账号;b.未经客户书面授权,访问客户系统,收集、持有、处理、修改客户网络中的任何数据和信息;c.客户授权到期后,删除和销毁持有的客户网络数据;d.未经客户书面授权,传播、使用共享账号和密码;考生答案：c 回答正确试题分数:2.0 当前得分: 2.0 21.多选题任何人不得从事任何危害客户网络安全和信息安全的行为,如：a.未经客户同意,访问客户网络和数据,收集、持有、处理、修改客户网络中的任何数据和信息;b.制造、复制、传播计算机病毒或者以其他方式攻击客户网络等通信设施;c.利用网络从事危害任何国家安全、社会公共利益,窃取或者破坏他人信息、损害他人合法权益的活动;d.该要求同样适用于相关华为及供应商、工程合作方、顾问;考生答案：abcd 回答正确试题分数:4.0 当前得分: 4.0 22.多选题以下关于分包商服务交付网络安全规范要求,说法正确的是a.分包商员工只能使用从Support网站下载的软件和工具,或分包合同中指定的工具软件;如果没有support软件下载权限,可联系华为工程师获取软件和工具;b.维修分包商按照华为维修操作指导进行维修和信息删除、存储介质移出,并遵从信息安全保密条款c.分包商员工必须遵从客户及华为管理服务项目组的相关安全管理规定d.分包商员工进行客户网络数据采集、转移、存储、使用和处理必须得到客户授权、华为项目组授权,防止客户网络数据信息泄露和滥用;考生答案：abcd 回答正确试题分数:4.0 当前得分: 4.0 23.多选题为客户网络和业务的安全运营提供保障支持是华为的重要社会责任;员工应熟悉和遵守所有适用的法律法规、客户的操作规范及华为内部的流程制度,否则他们会面临华为内部的纪律处分,也可能会面临相应的民事甚至刑事责任;公司BCG中不会容忍的行为是：a.未经客户授权,访问客户系统和设备,收集、持有、处理、修改客户网络和设备中的数据和信息,泄露和传播客户的数据和信息;b.在产品的开发、交付或服务中不植入任何恶意代码、恶意软件、后门、制造或传播病毒等行为;c.在网络配置时,误将系统的启动配置文件删除,系统版本升级并重启后导致链路中断;d.攻击、破坏客户网络或利用客户网络从事任何危害国家安全、社会公共利益,窃取或者破坏信息、损害他人合法权益的活动;考生答案：ad 回答正确试题分数:4.0 当前得分: 4.0 24.多选题进出必须遵从客户或相关机构的管理规定；华为自建的NOC和RNOC,应制定满足客户要求的管理规定,并严格遵守;a.客户机房b.客户网管中心c.客户办公区域d.敏感区域如政府机关、军队等考生答案：abcd 回答正确试题分数:4.0 当前得分: 4.0 25.多选题关于工具软件的使用要求,下列说法正确的是：a.工具软件发布部门在工具软件发布前要完成物理产品线网络安全红线认证工作,在发布时候要根据工具软件安全红线测试结果明确工具软件使用范围;b.Support网站、产品目录为工具软件合法的发布及下载平台,所有工具含一线定制工具要在合法平台发布,员工仅能从Support网站、产品目录下载工具软件,并且在工具软件要求范围内使用;c.禁止员工从非法渠道私自下载/使用工具软件,如从Internet下载/使用第三方软件、通过非法途径从研发获取/使用工具软件;d.紧急情况下出于业务处理和客户需求满足的需要,可以从internet下载第三方软件使用,但事后需及时向工具管理和网络安全办公室报备;考生答案：abc 回答正确试题分数:4.0 当前得分: 4.0 26.多选题下面哪些操作需要提前获得客户的书面授权：a.查看设备数据b.采集设备数据c.修改设备数据d.接入客户网络考生答案：abcd 回答正确27.多选题华为对分包商的网络安全要求,以下说法正确的是a.需遵守所在国家的网络安全法规b.需遵守华为交付流程及网络安全红线c.需持续加强网络安全意识和安全规范的培训d.加强网络安全现场行为自检;考生答案：abcd 回答正确试题分数:4.0 当前得分: 4.0 28.多选题工程师Z被公司委任处理客户设备丢包问题,客户要求必须尽快解决;Z的错误做法是：a.客户需求紧急,马上接入客户系统抓包,解决问题;b.首先向客户申请,获得允许接入客户系统的书面授权;c.若多次联系客户书面授权未果,自行接入客户系统处理;d.认为与客户关系良好,先接入客户系统再申请书面授权;考生答案：acd 回答正确29.多选题关于远程接入过程管理,以下说法正确的是：a.远程接入前,必须获得客户书面授权,需明确授权范围和时限;远程接入的操作方案应得到项目组和专家的审批;b.问题定位过程中,如需收集客户网络信息, 必须向客户说明范围、目的及安全措施,并获得其书面授权;c.通过远程接入后安装在客户网络上的软件、版本、补丁、license均需来自华为公司的正式渠道,包括support网站、正式邮件、3MS案例库;d.远程服务结束后,应通知客户关闭设备侧远程服务环境,包括从网络中断开远程服务连接、停止远程服务软件的运行等,并应提醒客户更改远程服务过程中使用过的密码;e.远程服务结束后,应及时删除从客户网络中获取的数据和信息,如要保留,需获取客户的书面授权;f.对服务器的使用必须有严格的记录,各使用人应将使用情况记录在纸面文档或IT系统中;考生答案：abcde 回答错误试题分数:4.0 当前得分: 0.0 30.多选题关于个人数据及隐私保护,下列说法正确的是：a.最终用户在处理个人数据方面的权利和自由,特别是隐私权,受法律保护;b.要尽量避免和减少个人数据的使用,尽可能依照法律要求使用匿名或化名;c.应采取适当的技术措施和组织措施来保护个人数据,以防止任何非法形式的处理;d.无恶意侵犯个人数据及隐私,一旦违法,可以不承担法律责任;考生答案：abc 回答正确试题分数:4.0 当前得分: 4.0 31.多选题对业务系统中的数据安全与信息保密要求表述正确的有：a.在IT系统中创建问题单或处理问题单时,禁止填写客户业务账号和密码信息b.维护过程中,系统密码等重要信息应通过电话、加密邮件、传真方式通知对方c.网络优化交付过程中,VIP体验跟踪、VIP问题处理和VIP区域网络优化所涉及的客户个人信息和跟踪消息,必须在规定的范围内使用d.处理数据中心业务层数据时,数据迁移和维护环节涉及的信息邮件信息、公文信息、工资人事信息等,禁止私自拷贝和保留,更不能散布其中的任何信息e.管理服务项目中,客户报表和网络信息等文档的发送范围必须严格控制考生答案：acde 回答正确试题分数:4.0 当前得分: 4.0 32.多选题出于保障网络运营和服务的目的,在遵循某些要求的前提下可以采集、处理个人数据;这些要求包括：a.事先获得客户书面授权,保存同意或授权记录;b.通过产品资料向客户公开该功能,以明显字体描述：收集和处理数据种类、目的、处理方式、期限、下一任数据接受者如有;c.采集应遵循目的相关性、必要性、最小限度和及时更新原则,尽可能地使用匿名或化名;d.源自网络安全敏感国家的个人数据应依照法律规定不向外转移到包括中国在内的其它国家或地区;考生答案：abcd 回答正确试题分数:4.0 当前得分: 4.0 33.多选题以下关于数据转移,说法正确的是：a.严格遵照客户授权目的进行客户网络数据转移操作;b.未经客户同意不得将客户网络数据含个人数据传出客户网络;c.有紧急业务处理需要时,为不影响业务,也可以将敏感国家的客户网络数据含个人数据传回中国;d.对于源自EEA欧洲经济区和其它安全敏感国家的个人数据转移,要遵从当地法律法规;考生答案：abd 回答正确试题分数:4.0 当前得分: 4.0 34.多选题有关系统账号管理和访问权限控制描述正确的是：a.提醒客户对访问权限进行必要的限制,遵循分权分域、最小权限原则b.确保每个人员有唯一的用户身份证明和密码,仅供本人使用c.提醒客户定期对设备所有密码进行更新,并保证密码的复杂度d.定期对设备账号进行清理,清除不用的账号考生答案：abcd 回答正确试题分数:4.0 当前得分: 4.0 35.多选题以下关于数据存储,说法正确的是：a.对于包含客户网络数据的纸件、存储介质或设备,须妥善保管,避免泄露或遗失;b.对于客户网络数据的存储管理,应严格控制访问权限,例行维护;c.做好数据备份,防病毒等操作;d.员工离开敏感区域之前,其携带含客户网络数据的设备或存储介质,需要删除或转存到当地服务器或其它有管理措施的存储介质中;考生答案：abcd 回答正确。

安全基线项目项目简介：安全基准项目主要帮助客户降低由于安全控制不足而引起的安全风险。

安全基准项目在NIST、CIS、OVAL等相关技术的基础上，形成了一系列以最佳安全实践为标准的配置安全基准。

二. 安全基线的定义2.1 安全基线的概念安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。

信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。

不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。

2.2 安全基线的框架在充分考虑行业的现状和行业最佳实践，并参考了运营商下发的各类安全政策文件，继承和吸收了国家等级保护、风险评估的经验成果等基础上，构建出基于业务系统的基线安全模型如图2.1所示：图 2.1 基线安全模型基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现层三层架构：1. 第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防护的要求，是一个比较宏观的要求。

2. 第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块，这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。

3. 第三层是系统实现层，将第二层模块根据业务系统的特性进一步分解，如将操作系统可分解为Windows、Solaris等系统模块，网络设备分解为华为路由器、Cisco路由器等系统模块……这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求，称为Windows安全基线、华为路由器安全基线等。

下面以运营商的WAP系统为例对模型的应用进行说明：首先WAP系统要对互联网用户提供服务，存在互联网的接口，那么就会受到互联网中各种蠕虫的攻击威胁，在第一层中就定义需要防范蠕虫攻击的要求。

华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................ 错误！未定义书签。

2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

IT主流设备安全基线技术规范1范围本规范适用于中国xx电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。

2规范性提及文件下列文件对于本规范的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本规范。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。

――中华人民共和国计算机信息系统安全维护条例――中华人民共和国国家安全法――中华人民共和国激进国家秘密法――计算机信息系统国际联网保密管理规定――中华人民共和国计算机信息网络国际联网管理暂行规定――iso27001标准/iso27002指南――公通字[2021]43号信息安全等级维护管理办法――gb/t21028-2021信息安全技术服务器安全技术要求――gb/t20269-2021信息安全技术信息系统安全管理要求――gb/t22239-2021信息安全技术信息系统安全等级维护基本建议――gb/t22240-2021信息安全技术信息系统安全等级维护定级指南3术语和定义安全基线：指针对it设备的安全特性，挑选最合适的安全控制措施，定义相同it设备的最高安全布局建议，则该最高安全布局建议就称作安全基线。

管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。

生产控制大区可以分为控制区(安全区i)和非控制区(安全区ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。

根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。

4总则4.1指导思想紧紧围绕公司打造出经营型、服务型、一体化、现代化的国内领先、国际知名企业的战略总体目标，为二要弘扬南网方略，确保信息化建设，提升信息安全防水能力，通过规范it主流设备安全基线，创建公司管理信息大区it主流设备安全防水的最低标准，同时实现公司it主流设备整体防护的技术措施标准化、规范化、指标化。

10安全关于本章本章主要介绍安全管理的相关概念和相关配置，主要包括：端口隔离、用户静态绑定、AAA配置、802.1X和MAC认证。

10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。

S2700SI系列交换机不支持此功能。

10.2 用户静态绑定用户静态绑定信息由用户手工配置，支持的绑定方式包括IP+PORT、MAC+PORT、IP+MAC+PORT、IP+PORT+VLAN、MAC+PORT+VLAN、IP+MAC+PORT+VLAN。

S2700SI系列交换机不支持此功能。

10.3 AAA配置AAA是Authentication，Authorization，Accounting（认证、授权和计费）的简称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。

在S2700系列交换机中仅是支持用户管理功能。

10.4 802.1X介绍802.1X的基本配置包括全局和接口802.1X参数配置。

10.5 MAC认证介绍MAC地址认证的基本配置包括全局配置和接口配置，使用MAC地址认证的特性。

10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。

S2700SI系列交换机不支持此功能。

端口隔离模式可以配置为二层三层都隔离或者二层隔离三层互通，最常用的就是同一个小组成员两两之间不能二层互通，却可以通过访问公共资源。

如打印机、服务器等。

10.1.1 双向隔离提供配置隔离模式和双向隔离的新建、查询、修改、删除的功能。

背景信息●同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。

●交换机支持64个隔离组，编号为1～64。

操作步骤●配置隔离模式说明●缺省情况下，端口隔离模式为L2(二层隔离三层互通)。

●隔离模式选择应用后，会把双向隔离和单向隔离的配置都应用于该模式。

●切换下方的双向隔离和单向隔离标签不影响隔离模式的配置功能。

●S2700（除S2700-52P-PWR-EI）系列交换机不支持此功能。

华为交换机安全加固配置适用6506-7806SNMP安全（SNMP communitySNMP ACL：严格限制对设备SNMP进程访问的源IP地址，目前应该只允许网络管理地址段对设备的SNMP进程进行访问。

）acl number 2001 match-order autorule 0 permit source 61.139.59.4 0rule 1 permit source 61.139.59.5 0rule 2 permit source 61.139.59.92 0quitsnmp-agent community read gasj acl 2001display current-configuration configuration acl-basic （查看）远程终端访问安全acl number 2000 match-order auto rule 5 permit source 61.139.59.0 0.0.0.255rule 10 permit source 61.157.237.0 0.0.0.255rule 15 permit source 61.157.235.0 0.0.0.255rule 20 permit source 125.66.18.0 0.0.0.255rule 25 permit source 222.214.70.0 0.0.0.255rule 30 permit source 222.215.0.0 0.0.0.255rule 35 permit source 61.157.236.0 0.0.0.255rule 40 permit source 61.139.14.245 0rule 45 permit source 61.139.29.102 0rule 50 permit source 221.237.191.67 0rule 55 permit source 221.237.191.72 0rule 60 permit source 222.213.4.10 0rule 65 permit source 222.213.4.11 0quituser-interface vty 0 4acl 2000 inbounddisplay cur conf user-interface（查看）SNMP设置snmp-agentsnmp-agent local-engineid 800007DB000FE2395BB06877snmp-agent community read gasjsnmp-agent community read Rw1cigg!snmp-agent sys-info version allsnmp-agent target-host trap address udp-domain 61.139.59.4 udp-port 161 params securityname publicsnmp-agent trap enable configurationsnmp-agent trap enable systemsnmp-agent trap enable standardsnmp-agent trap enable vrrpsnmp-agent trap enable bgpsnmp-agent trap enable flash。