华为交换机安全基线.docx

华为设备安全配置基线

目录

概述

目的

规范配置华为路由器、交换机设备，保证设备基本安全。

适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

适用版本

华为交换机、路由器。

帐号管理、认证授权安全要求

帐号管理

用户帐号分配*

1、安全基线名称：用户帐号分配安全

2、安全基线编号：SBL-HUAWEI-02-01-01

3、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：[Huawei]aaa

[Huawei-aaa]local-useradminpasswordcipheradmin123[Huawei-aaa]local-useradminprivilegelevel15

[Huawei-aaa]local-useradminservice-typessh[Huawei-aaa]local-useruserpasswordcipheruser123[Huawei-aaa]local-useruserprivilegelevel4[Huawei-aaa]local-useruserservice-typessh

5、安全判定条件：

配置文件中，存在不同的账号分配

网络管理员确认用户与账号分配关系明确

6、检测操作：

使用命令discur命令查看：

…

#

aaa

authentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefault

domaindefault_admin

local-useradminpasswordcipher=LP!6$^-IYNZPO3JBXBHA!!local-useradminprivilegelevel15

local-useradminservice-typessh

local-useruserpasswordcipher=LP!6$^-IYNZPlocal-useruserprivilegelevel4

local-useruserservice-typessh#

对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

删除无关的帐号*

1、安全基线名称：删除无关的账号

2、安全基线编号：SBL-HUAWEI-02-01-02

3、安全基线说明：应删除与设备运行、维护等工作无关的账号。

4、参考配置操作：

5

5、安全判定条件：

[Huawei]aaa

[Huawei-aaa]undolocal-useruser5、安全判定条件：

配置文件存在多个账号

网络管理员确认账号与设备运行、维护等工作无关

6、检测操作：

使用discur|includelocal-user命令查看：[Huawei]discur|includelocal-user

local-useradminpasswordcipher=LP!6$^-IYNZPO3JBXBHA!!local-useradminprivilegelevel15

local-useradminservice-typessh

若不存在无用账号则说明符合安全要求。口令

静态口令以密文形式存放

1、安全基线名称：静态口令以密文形式存放

2、安全基线编号：SBL-HUAWEI-02-02-01

3、安全基线说明：配置本地用户和super口令使用密文密码。

4、参考配置操作：[Huawei]aaa

[Huawei-aaa]local-useradminpasswordcipheradmin123[Huawei]superpasswordcipheradmin123

5、安全判定条件：

配置文件中没有明文密码字段。

6、检测操作：

查看本地用户密码：

[Huawei]discur|includelocal-user

local-useradminpasswordcipher=LP!6$^-IYNZPO3JBXBHA!!local-useradminprivilegelevel15

local-useradminservice-typessh

查看super密码：[Huawei]discur|includesuper

superpasswordlevel3ciphermPZr=2!Z@u:|l#3M^#3Icf##

密码复杂度

1、安全基线名称：密码复杂