2.2 口令
2.2.1 密码认证登录
安全基线项目名称 安全基线编号 安全基线项说明 密码认证登录安全基线要求项 SBL-H3CSwitch-02-02-01 通过控制台和远程终端,需要密码才能登录. 口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 检测操作步骤 1、参考配置操作 user-interface aux 0 8 authentication-mode password user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 authentication-mode password //或authentication-mode scheme user privilege level 0 set authentication password cipher xxx 2、补充说明 无。 基线符合性判定依据 1、 判定条件 用配置中没有的用户名去登录,结果是不能登录 2、 参考检测操作
2.2.2 设置访问级密码
安全基线项目名称 安全基线编号 安全基线项说明 设置访问级密码安全基线要求项 SBL-H3CSwitch-02-02-02 用户可以无条件切换到比当前低的用户级别,但是当使用AUX 或VTY 用户界面登录,并且从低级别往高级别切换时,需要输入级别切换密码(级别切换密码可以通过 super password 命令设置)。如果输入的密码错误或者没有配置级别切换密码,切换操作失败。因此,在进行切换操作前,请先配置级别切换密码。 检测操作步骤 1、参考配置操作
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 加密口令安全基线要求项 SBL-H3CSwitch-02-02-03 静态口令必须使用不可逆加密算法加密后保存于配置文件中。 1、参考配置操作 user-interface aux 0 8 user privilege level 0 set authentication password cipher xxx 第 4 页 共 11 页
user-interface vty 0 4 user privilege level 0 set authentication password cipher xxx super password level 1 cipher password1 super password level 2 cipher password2 super password level 3 cipher password3 基线符合性判定依据 1. 判定条件 用户的加密口令在config文件中显示的密文。 2. 参考检测操作 display current-configuration 备注
第 5 页 共 11 页
第3章 日志安全要求
3.1 日志安全
3.1.1 配置远程日志服务器
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 配置远程日志服务器安全基线要求项 SBL-H3CSwitch-03-01-01 设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。 1、参考配置操作 [h3c] info-center enable [h3c] info-center loghost xxxxx channel loghost 2、补充说明 在系统模式下进行操作。 基线符合性判定依据 1. 判定条件 是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。 2. 参考检测操作 display current-configuration 3. 补充说明 无。 备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。建议核心设备必选,其它根据实际情况启用
第 6 页 共 11 页
第4章 IP协议安全要求
4.1 IP协议
4.1.1 使用SSH加密管理
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 使用SSH加密管理安全基线要求项 SBL-H3CSwitch-04-01-01 对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,关闭TELNET协议。 1、 参考配置操作 # 设置用户界面VTY 0 到VTY 4 支持SSH 协议。
安全基线项目名称 安全基线编号 系统远程管理服务只允许特定地址访问安全基线要求项 SBL-H3CSwitch-04-01-02 第 7 页 共 11 页
H3C交换机安全配置基线
