电信网和互联网安全防护基线配置要求及检测要求-网络设备（报批稿）.pdf

1、b中 华 人 民 共 和 国 通 信 行 业 标 准YD/T 电信网和互联网安全防护基线配置要求及检测要求网络设备Baseline Requirements of Security Configuration for Telecom Networkand InternetNetwork Equipment（报批稿）-发布-实施中华人民共和国信息产业部发布YDYD/T I目次目次.I前言.II电信网和互联网安全防护基线配置要求及检测要求 网络设备.11范围.12规范性引用文件.13缩略语.14网络设备安全防护基线配置要求及检测要求.24.1网络设备安全防护基线配置及检测总体要求.24.2Cisc

2、o 路由器/交换机.44.3HUAWEI 路由器/交换机.254.4Juniper 路由器/交换机.35YD/T II前言本标准是“电信网和互联网安全防护体系”系列标准之一，该系列标准的结构及名称预计如下：1、电信网和互联网安全防护管理指南2、电信网和互联网安全等级保护实施指南3、电信网和互联网安全风险评估实施指南4、电信网和互联网灾难备份及恢复实施指南5、固定通信网安全防护要求6、移动通信网安全防护要求7、互联网安全防护要求8、增值业务网消息网安全防护要求9、增值业务网智能网安全防护要求10、接入网安全防护要求11、传送网安全防护要求12、IP 承载网安全防护要求13、信令网安全防护要求14

3、、同步网安全防护要求15、支撑网安全防护要求16、非核心生产单元安全防护要求17、电信网和互联网物理环境安全等级保护要求18、电信网和互联网管理安全等级保护要求19、固定通信网安全防护检测要求20、移动通信网安全防护检测要求21、互联网安全防护检测要求22、增值业务网消息网安全防护检测要求23、增值业务网智能网安全防护检测要求24、接入网安全防护检测要求25、传送网安全防护检测要求26、IP 承载网安全防护检测要求YD/T III27、信令网安全防护检测要求28、同步网安全防护检测要求29、支撑网安全防护检测要求30、非核心生产单元安全防护检测要求31、电信网和互联网物理环境安全等级保护检测要

4、求32、电信网和互联网管理安全等级保护检测要求33、域名系统安全防护要求34、域名系统安全防护检测要求35、网上营业厅安全防护要求36、网上营业厅安全防护检测要求37、WAP 网关系统安全防护要求38、WAP 网关系统安全防护检测要求39、电信网和互联网信息服务业务系统安全防护要求40、电信网和互联网信息服务业务系统安全防护检测要求41、增值业务网 即时消息业务系统安全防护要求42、增值业务网 即时消息业务系统安全防护检测要求43、域名注册系统安全防护要求44、域名注册系统安全防护检测要求45、移动互联网应用商店安全防护要求46、移动互联网应用商店安全防护检测要求47、互联网内容分发网络安全防

5、护要求（本标准）48、互联网内容分发网络安全防护检测要求49、互联网数据中心安全防护要求50、互联网数据中心安全防护检测要求51、移动互联网联网应用安全防护要求52、移动互联网联网应用安全防护检测要求53、公众无线局域网安全防护要求54、公众无线局域网安全防护检测要求55、电信网和互联网安全防护基线配置要求及检测要求 网络设备（本标准）YD/T IV56、电信网和互联网安全防护基线配置要求及检测要求 安全设备57、电信网和互联网安全防护基线配置要求及检测要求 操作系统58、电信网和互联网安全防护基线配置要求及检测要求 数据库59、电信网和互联网安全防护基线配置要求及检测要求 中间件60、电信网

6、和互联网安全防护基线配置要求及检测要求 WEB 应用系统61、电信和互联网用户个人电子信息保护通用技术要求和管理要求62、电信和互联网用户个人电子信息保护检测要求本标准与YD/T xxxx-xxxx电信网和互联网安全防护基线配置要求及检测要求 安全设备、YD/Txxxx-xxxx电信网和互联网安全防护基线配置要求及检测要求 操作系统、YD/T xxxx-xxxx电信网和互联网安全防护基线配置要求及检测要求 中间件、YD/T xxxx-xxxx电信网和互联网安全防护基线配置要求及检测要求 WEB应用系统、YD/T xxxx-xxxx电信网和互联网安全防护基线配置要求及检测要求 数据库配套使用。随

7、着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国联合网络通信集团有限公司、工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、华为技术有限公司本标准主要起草人：张尼、李正、刘镝、魏薇、陈军、曹一生、樊洞阳YD/T 1电信网和互联网安全防护基线配置要求及检测要求 网络设备1范围本标准规定了路由器/交换机在安全配置方面的基本要求及参考操作。本标准适用于安全防护体系中使用路由器/交换机的所有安全防护等级的网络和系统。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用

8、文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T xxxx-xxxx电信网和互联网安全防护管理指南YD/T xxxx-xxxx电信网和互联网安全等级保护实施指南YD/T xxxx-xxxx电信网和互联网安全风险评估实施指南YD/T xxxx-xxxx电信网和互联网灾难备份及恢复实施指南YD/T 1478-2006电信管理网安全技术要求YD/T xxxx-xxxx电信网和互联网管理安全等级保护要求3缩略语ARPAddress Resolution Pr

9、otocol地址解析协议BGPBorder Gateway Protocol边界网关协议EGPExterior Gateway Protocol外部网关协议FTPFile Transfer Protocol文件传输协议HTTPHypertext transfer protocol超文本传输协议IGPInterior Gateway Protocol内部网关协议IPInternet Protocol网络互联协议LDPLabel Distribution Protocol标签分发协议MD5Message Digest Algorithm 5消息摘要算法NTPNetwork Time Protoco

10、l网络时间协议YD/T 2OSPFOpen Shortest Path First开放式最短路径优先RIPV2Routing Information Protocol路由信息协议RSVPResource Reservation Protocol资源预留协议SNMPSimple Network Management Protocol简单网络管理协议SQLStructured Query Language结构化查询语言SSHSecure Shell安全壳协议TCPTransmission Control Protocol传输控制协议UDPUser Datagram Protocol用户数据包协议R

11、WRead and Write读写操作4网络设备安全防护基线配置要求及检测要求4.1 网络设备安全防护基线配置及检测总体要求电信网和互联网的网络设备的安全防护基线配置及检测应满足帐号口令、认证授权、日志安全、协议安全和其他安全等五个方面的要求，具体配置操作及检测方法应结合具体设备。总体要求主要包括：a)帐号口令1)应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。为了控制不同用户的访问级别，应建立多用户级别。根据用户的业务需求，将用户帐号分配到相应的用户级别。2)应删除与设备运行、维护等工作无关的帐号。3)应配置定时帐户自动登出，如TELNET、SSH、HTT

12、P等管理连接和CONSOLE口登录连接等，登出后用户需再次登录才能进入系统。4)对于采用静态口令认证技术的设备，口令长度应至少8位，并包括数字、小写字母、大写字母、标点和特殊符号4类中至少3类，且与帐号无相关性，同时应定期更换口令，更换周期不大于90天。5)静态口令应使用不可逆加密算法加密后以密文形式存放于配置文件中。6)应配置consol口密码保护功能。7)应修改root密码。b)认证授权1)在设备权限配置能力内，应根据用户的业务需要，配置其所需的最小权限。YD/T 32)系统远程管理服务TELNET、SSH应只允许特定地址访问。3)应通过相关参数配置，与认证系统联动，满足帐号、口令和授权的

13、强制要求。c)日志安全1)应配置日志功能，对用户登录进行记录，并记录用户对设备的操作。2)应配置日志功能，记录对与设备相关的安全事件。3)应配置远程日志功能，所有设备日志均能通过远程日志功能传输到日志服务器，并支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。4)应开启NTP服务，保证日志功能记录的时间的准确性。路由器/交换机与NTPSERVER之间应开启认证功能。5)设置系统的配置更改信息应保存到单独的change.log文件内。d)协议安全1)应配置路由策略，禁止发布或接收不安全的路由信息，只接受合法的路由更新，只发布所需的路由更新。2)应配置路由器，以防止地址欺骗攻击，不使用

14、ARP代理的路由器应关闭该功能。3)对于具备TCP/UDP协议功能的设备，应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。4)网络边界应配置安全访问控制，过滤已知安全攻击数据包，例如UDP1434端口（防止SQL slammer蠕虫）、TCP445、5800、5900（防止Della蠕虫）。5)对于使用IP协议进行远程维护的设备，应配置使用SSH等加密协议。6)启用动态IGP（RIPV2、OSPF、ISIS等）、EGP（BGP、MP-BGP等）协议或者LDP、RSVP标签分发协议时，应配置路由协议认证功能（如MD

15、5加密认证），确保与可信方进行路由协议交互。7)应配置SNMP访问安全限制，设置可接收SNMP消息的主机地址，只允许特定主机通过SNMP访问网络设备。8)应修改SNMP的Community默认通行字，通行字应符合口令强度要求。9)应关闭未使用的SNMP协议及未使用RW权限。10)应配置为SNMP V2或以上版本。如接受统一网管系统管理，应配置为SNMP V3。e)其他安全YD/T 411)应关闭未使用端口和不必要的网络服务或功能，使用的端口应添加符合实际应用的描述。12)应修改路由缺省BANNER语，BANNER应没有系统平台或地址等有碍安全的信息。13)应开启配置文件定期备份功能，定期备份配

16、置文件。4.2 Cisco 路由器/交换机4.2.1帐号口令编号：NE-Cisco-帐号口令-01要求内容：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。操作指南：Router#config tEnter configuration commands,one per line.End with CNTL/Z.Router(config)#service password-encryptionRouter(config)#username ruser1 password 3d-zirc0niaRouter(config)#username ruser1 pr

17、ivilege 1Router(config)#username ruser2 password 2B-or-3BRouter(config)#username ruser2 privilege 1Router(config)#endRouter#检测方法：使用show running-configrouter#show running-configBuilding configuration.Current configuration:!service password-encryptionusername ruser1 password 3d-zirc0niausername ruser1

18、 privilege 1username ruser2 password 2B-or-3Busername ruser2 privilege 1判定条件：I.配置文件中，存在不同的帐号分配。II.网络管理员确认用户与帐号分配关系明确。补充说明：使用共享帐号容易造成职责不清。编号：NE-Cisco-帐号口令-02要求内容：应删除与设备运行、维护等工作无关的帐号。操作指南：YD/T 5Router#config tEnter configuration commands,one per line.End with CNTL/Z.Router(config)#no username ruser3检测

19、方法：使用show running-configrouter#show running-configBuilding configurationCurrent configuration：!username user1 privilege 1 password password1username nobodyuse privilege 1 password password1判定条件：I配置文件存在多帐号。II网络管理员确认所有帐号与设备运行、维护等工作有关。补充说明：删除不用的帐号，避免被利用。编号：NE-Cisco-帐号口令-03要求内容：应配置定时账户自动登出，如TELNET、SSH、H

20、TTP管理连接和CONSOLE口登录连接等。操作指南：1.参考配置操作：I Console登录连接超时。Router#config tEnter configuration commands，one per line.End with CNTL/Z.Router(config)#line con 0Router(config-line)#exec-timeout 5 0II 远程登录连接超时。Router#config tEnter configuration commands，one per line.End with CNTL/Z.Router(config)#line vty 0 4Ro

21、uter(config-line)#exec-timeout 5 02.补充操作说明：本例配置连接超时时间为5分钟。检测方法：使用show running-configrouter#show running-configBuilding configuration.Current configuration：!line con 0login localexec-timeout 10 0YD/T 6exitline vty 0 4login localaccess-class 2 inexec-timeout 10 0exitip ssh timeout 90判定条件：每种登录方式均设置了tim

22、eout值。补充说明：账户永久在线，会造成不合法的登录。编号：NE-Cisco-帐号口令-04要求内容：静态口令应使用不可逆加密算法加密，以密文形式存放。如使用enable secret配置Enable密码，不使用enable password配置Enable密码。操作指南：Router#config tEnter configuration commands，one per line.End with CNTL/Z.Router(config)#enable secret 2-mAny-rOUtEsRouter(config)#no enable passwordRouter(config)

23、#end检测方法：使用show running-configrouter#show running-configBuilding configuration.Current configuration:!service password-encryptionenable secret 5$1oxphetTb$rTsF$EdvjtWbi0qA2gusername ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb判定条件：配置文件无明文密码字段。补充说明：如果不加密，使用show running-config可以看到未加密的密码。编号：NE-Ci

24、sco-帐号口令-05要求内容：应配置consol口密码保护功能。操作指南：YD/T 7启用密码保护命令。Router#config tEnter configuration commands，one per line.End with CNTL/Z.Router(config)#username brian privilege 1 password g00d+pa55w0rdRouter(config)#line con 0Router(config-line)#login localRouter(config-line)#endRouter#检测方法：使用show running-conf

25、igrouter#show running-configBuilding configuration.Current configuration：!service password-encryptionusername myuser1 password mypasswordline con 0login localexec-timeout 10 0exit判定条件：通过consol登录，需要密码。补充说明：不设置密码保护，则无须输入密码就可以登录到设备，并获得低级权限。4.2.2日志安全编号：NE-Cisco-日志安全-01要求内容：应配置远程日志功能，所有设备日志均能通过远程日志功能传输到日

26、志服务器，并支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。操作指南：1.参考配置操作：路由器/交换机侧配置。Router#config tEnter configuration commands，one per line.End with CNTL/Z.Router(config)#logging onRouter(config)#logging trap informationRouter(config)#logging 192.168.0.100Router(config)#logging facility local6Router(config)#logging sour

27、ce-interface loopback0Router(config)#exitRouter#show loggingSyslog logging:enabled(0 messages dropped,11 flushes,0overruns)Console logging:level notifications,35 messages loggedYD/T 8Monitor logging:level debugging,35 messages loggedBuffer logging:level informational,31 messages loggedLogging to 192

28、.168.0.100,28 message lines loggedRouter#2.补充操作说明：假设把router日志存储在192.168.0.100的syslog服务器上。I路由器/交换机侧配置描述如下。启用日志。记录日志级别设定“information”。记录日志类型设定“local6”。日志发送到192.168.0.100。日志发送源loopback0。配置完成可以使用“show logging”验证。II服务器侧配置描述如下。Syslog服务器配置参考。在Syslog.conf上增加一行。#Save router messages to routers.loglocal6.debu

29、g/var/log/routers.log创建日志文件。#touch/var/log/routers.logIII如果使用snmp存储日志配置描述如下。Router#config tEnter configuration commands，one per line.End with CNTL/Z.Router(config)#logging trap informationRouter(config)#snmp-server host 192.168.0.100 traps publicRouter(config)#snmp-server trap-source loopback0Router

30、(config)#snmp-server enable traps syslogRouter(config)#exitRouter#检测方法：使用show loggingRouter#show loggingSyslog logging:enabledConsole logging:disabledMonitor logging:level debugging,266 messages logged.Trap logging:level informational,266 messages logged.Logging to 192.180.2.238SNMP logging:disabled

31、,retransmission after 30 seconds0 messages loggedRouter#判定条件：ISyslog logging和SNMP logging至少有一个为“enabled”。IILogging to后面的主机名或IP指向日志服务器。YD/T 9III通常记录日志数不为0。补充说明：编号：NE-Cisco-日志安全-02要求内容：与记账服务器(如TACACS服务器)配合，应配置日志功能，记录用户对设备的操作，如帐号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户帐号，操作时间，操作内

32、容以及操作结果。操作指南：1.参考配置操作：Router#configure terminalEnter configuration commands，one per line.End with CNTL/Z.Router(config)#aaa new-modelRouter(config)#aaa accounting commands 1 default start-stop group tacacs+Router(config)#aaa accounting commands 15 default start-stop group tacacs+Router(config)#endRo

33、uter1#2.补充操作说明：使用TACACS+server检测方法：使用show running-configrouter1#show runn|include aaaBuilding configuration.Current configuration:!aaa new-modelaaa accounting commands 1 default start-stop group tacacs+aaa accounting commands 15 default start-stop group tacacs+判定条件：配置了AAA模板的上述具体条目。补充说明：编号：NE-Cisco-日志安全-03要求内容：应开启NTP服务，保证日志功能记录的时间的准确性。操作指南：1.参考配置操作：Router#config tEnter configuration commands，one pe