中国电信互联网及相关网络路由器设备安全防护要求V1.0.0
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国电信安全策略体系文档
文档编号: SOC 02-02-003
中国电信互联网及相关网络
路由器设备安全防护要求
版本号:1.0.0
发布日期:
中国电信集团公司
网络运行维护事业部
修订记录
修订日期修订内容修订人
目次
前言 (1)
1引言 (2)
1.1目的 (2)
1.2范围 (2)
2防护策略划分 (3)
3管理平面防护策略 (4)
3.1管理口防护 (4)
3.2账号与口令 (4)
3.3认证 (5)
3.4授权 (5)
3.5审计.................................................................................... 错误!未定义书签。
3.6远程管理 (6)
3.7SNMP安全 (6)
3.8系统日志 (6)
3.9NTP (7)
3.10banner信息 (7)
3.11未使用的管理平面服务 (7)
4数据转发平面防护策略 (8)
4.1流量控制 (8)
4.2典型垃圾流量过滤 (8)
4.3ToFab (8)
5控制平面防护策略 (10)
5.1ACL控制 (10)
5.2路由安全防护 (10)
5.3协议报文防护 (10)
5.4引擎防护策略 (11)
前言
为进一步落实《中国电信互联网及相关网络安全策略总纲》要求,促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规范化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本防护要求(以下简称“要求”)。
各省公司可以根据实际情况,在本要求的基础上制定相应的实施细则并具体实施。
本文档起草单位:中国电信集团公司网络运行维护事业部
本文档解释单位:中国电信集团公司网络运行维护事业部
1 引言
1.1 目的
为促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规范化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本要求。
1.2 范围
本要求适用于中国电信的互联网与相关网络及系统,主要包括IP承载网,以及承载在其上的各种业务网、业务平台和支撑系统。IP承载网包括中国电信ChinaNet、CN2、城域网、DCN等网络;业务网包括C网分组域、软交换等;业务平台包括C网业务平台、全球眼、互联星空等;支撑系统包括DNS、网管系统、认证系统等。
2 防护策略划分
根据国内外运营商网络及结合中国电信的实际情况,可将路由交换设备的安全域逻辑划分为管理平面、控制平面、转发平面等三大平面,每个平面的具体安全策略不同。具体如下:
管理平面:管理平面防护的主要安全策略是保护设备远程管理及本地服务的安全性,降低设备受到网络攻击或被入侵的可能性。
转发平面:数据转发平面的主要安全策略是对异常流量进行控制,防止因网络蠕虫、拒绝服务攻击等流量在网络中的泛滥,造成网络的拥塞或不可用。
控制平面:控制平面的主要安全策略是保证设备系统资源的可用性,使得设备可以正常的实现数据转发、协议更新。
3 管理平面防护策略
管理平面防护的主要目的是保护路由器远程管理及本地服务的安全性,降低路由器受到网络攻击或被入侵的可能性。管理平面防护的措施主要包括以下几方面:
3.1管理口防护
编号内容
1 设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。
2 设备应配置console口密码保护。
3.2账号与口令
本地认证
编号内容
1 应对不同的用户分配不同的账号,避免不同用户间账号共享。
2 应禁止配置与设备运行、维护等工作无关的账号;
应禁止使用设备默认账号与口令并严格控制本地认证账号数量。
3 对于采用静态口令认证技术的设备:应支持口令长度及复杂度验证机制(强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成,自动拒绝用户设置不符合复杂度要求的口令。);口令应以密文形式存放,并采用安全可靠的单向散列加密算法(如md5、sha1等);口令定期更改,最长不得超过90天。
认证服务器认证
编号内容
1 建议使用动态口令认证技术。
2 口令定期更改,最长不得超过90天。
3 应为设备配置用户连续认证失败次数上限,当用户连续认证失败次数超过上限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号
重新认证。
4 设备应通过对用户组的认证实现对用户组及组内账号、口令的相关控制。
3.3认证
编号内容
1 除本地认证外,设备原则上还应通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证。
3.4授权
编号内容
1 设备原则上应采用预定义级别的授权方法,实现对不同用户权限的控制。
2 除本地授权外,设备原则上应通过与认证服务器(RADIUS服务器或TACACS 服务器)联动的方式实现对用户的授权。对用户授权时,建议采用逐条授权的方式,尽量避免或减少使用一次性授权的方式。
3 原则上应采用对命令组或命令进行授权的方法,实现对用户权限细粒度的控制的能力。
3.5记账
编号内容
1 原则上应采用与认证服务器 (RADIUS或TACACS服务器)联动的方式,实现对用户登录日志的记录和审计。记录和审计范围应包括但不限于:用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。
2 原则上应采用与认证服务器 (RADIUS或TACACS服务器)联动的方式,实现对用户操作行为的记录和审计,记录和审计范围应包括但不限于:账号创建、删除和权限修改,口令修改,设备配置修改,执行操作的行为和操作结果等。