中国移动华为路由器安全配置规范V2.0

中国移动华为路由器

安全配置规范

S p e c i f i c a t i o n f o r H U A W E I

R o u t e r C o n f i g u r a t i o n U s e d i n

C h i n a M o b i l e

版本号：2.0.0

╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部

目录

1. 范围 (3)

2. 规范性引用文件 (3)

2.1. 内部引用 (3)

2.2. 外部引用 (4)

3. 术语、定义和缩略语 (4)

4. 华为路由器设备配置安全要求 (4)

4.1. 账号管理及认证授权要求 (4)

4.1.1. 账号 (5)

4.1.2. 口令 (7)

4.1.3. 授权 (8)

4.1.4. 认证 (8)

4.2. 日志要求 (10)

4.3. IP协议安全要求 (13)

4.3.1. 基本协议安全 (13)

4.3.2. 路由协议安全 (17)

4.3.3. SNMP协议安全 (18)

4.3.4. MPLS安全 (20)

4.4. 设备其他安全要求 (21)

5. 编制历史 (24)

前言

为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团吉林有限公司。

本标准解释单位：同提出单位。

本标准主要起草人：王金星、常伟、陈敏时、周智、曹一生。

1.范围

本规范适用于中国移动通信网、业务系统和支撑系统的华为路由器。本规范明确了华为路由器安全配置方面的基本要求。本规范作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。供中国移动内部和厂商共同使用。

2.规范性引用文件

2.1. 内部引用

本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的华为路由器安全配置要求。以下分项列出本规范对《通用规范》设备配置要求的修订情况。

本规范新增的安全配置要求，如下：

本规范还针对直接引用《通用规范》的配置要求，给出了在华为路由器上的具体配置方法和检测方法。

2.2. 外部引用

《中国移动通用安全功能和配置规范》

3.术语、定义和缩略语

（对于规范出现的英文缩略语或符号在这里统一说明。）

4.华为路由器设备配置安全要求

本规范提出的安全功能要求和安全配置要求，在未特别说明的情况下，均适用于华为路由器设备。本规范从帐号管理及认证授权、日志、IP协议和其他四个方面提出安全配置要求。

4.1. 账号管理及认证授权要求

认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。

对于存在字符或图形界面（WEB界面）的人机交互的设备，应提供账号管理及认证授权功能，并应满足以下各项要求。

4.1.1. 账号

4.1.2. 口令

4.1.3. 授权

4.1.4. 认证

4.2. 日志要求

本部分对华为路由器设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化

4.3. IP协议安全要求

IP协议安全分为基本协议安全、路由协议安全、SNMP协议安全、MPLS安全。基本协议安全配置可防止非法访问，过滤不必要的数据流量。路由协议安全配置主要针对各类动态路由协议，防止未认证设备将外来路由引入本地。SNMP是目前路由器广泛应用的管理协议，SNMP安全配置可防止未许可的SNMP访问，避免设备信息的外泄

4.3.1. 基本协议安全

4.3.2. 路由协议安全

4.3.3. SNMP协议安全

4.3.4. MPLS安全

4.4. 设备其他安全要求

5.编制历史