网络设备管理规定.docx

X 指挥系统
网络设备管理规定
止私 自修改权限分配。
➢ 用户的口令尤其是超级用户的口令应该满足 ISO17799 密码安全质量指南的 标准，主要为：
➢ 密码口令不得少于 6 位；
➢ 避免使用连续的同一字符；
➢ 不要只使用数字或只使用字母；
➢ 要求密码口令需要定期更换（建议最多三个月为一周期）；
➢ 禁止用户在下次登录时改变临时密码口令；
➢ 对已用过的密码作记录，避免再次使用；
配置文件
建立配置文件的管理制度，对各网络设备的配置文件进行分类存档与管 理。
配置文件应存储指定网络设备的所有配置信息。网络设备中的运行配置 文件和启动配置文件应保持一致，如有因正常需求而变动，应该及时做到配 置文件的更新。
通过 TFTP 或 FTP 的方式可以将设备的配置文件下载到本地管理主机上 进行备份与归档分类，备份副本应不少于 2 份，以避免损坏与遗失。
在设备配置文件损坏时可再通过 TFTP 与 FTP 的方式从管理主机上载到 设备的 FLASH 中进行配置文件的备份恢复。
信息文档
网络设备的拓扑结构、 IP 地址等信息文档属于的机密信息， 应纳入单位 安全管理的有关办法。
设备日志管理
网络设备通常可以设置日志功能，日志可以直接登录到设备上查看，也 可以设置将日志发送到某台指定的 UNIX 主机上查看。日志中具体包含的内 容可以在命令行配置方式下设定。
在日志文件中可以查看到曾经登录过该设备的用户名、时间和所作的命 令操作等详细信息，为及时发现潜在攻击者及各种不良行为提供判定依据。
网络管理员必须定期查看所管设备的日志文件，发现异常情况要及时处 理和报告上级主管，尽早消除网络安全隐患。
设备软件版本
网络设备的软件版本（IOS 或 VRP 等）过低可能会与网络环境中存在的 各系统之间出现兼容性问题，同时会带来的一系列安全性和稳定性隐患，为 此在保证设备正常运行的前提下要求统一升级到较新的版本。
设备远程登录
具有允许远程登录的功能的网络设备应落实相应的网络安全措施，并且 对访问记录进行必要的审计。
通常在网络设备上可以设置相应的 ACL （规则），限定外网主机登陆内 网后所给与的 IP 以及网段，同时通过对内网访问策略的制定以限制该类用 户的权限，从而降低攻击者通过远程登入设备侵入内网后所造成的进一步破 坏的可能性。
设备 MIB 库管理
网络设备一般采用 SNMP 协议提供网络管理功能。
因 MIB 库中包含了网络管理相关的所有信息，故MIB 库的读／写密码必 须设定为非缺省值，防止其中的信息被潜在攻击者获取，威胁网络安全。同
时，允许对MIB 库进行读／写操作的主机也可通过 ACL 设置限定在指定网段 范围内。
设备变更流程
网络设备的安装、配置、变更、撤销等操作必须严格建立相应的业务流 程并按照流程进行操作。不能由网络管理员独自进行，保障运行中的网络设 备处于可控状态。
对网络设备的变更全过程进行严密的控制，在流程中明确规定对网络设 备执行一项变更操作必须经过相关的技术评估，有主管审批，变更实施完成 后要进行测试，将变更过程可能带来的风险降到最低点。
路由器的安全管理
系统管理员在路由器的安全管理应该遵守以下要求：
1. 启用对远程登录用户的 IP 地址校验功能， 保证用户只能从特定的 IP 设备上远程登录路由器进行操作；
2. 启用对用户口令的加密功能，禁止对本地保存的用户口令进行明文 存放，防止用户口令泄密；
3. 对于使用 SNMP 进行网络管理的路由器必须使用 SNMP V2 以上版 本，并启用 MD5 等校验功能；
4. 在每次配置等操作完成或者临时离开配置终端时必须退出系统；
5. 设置控制口和远程登录口的 idle timeout 时间，让控制口或远程登录 口在空闲一定时间后自动断开；
6. 一般情况下关闭路由器的 Web 配置服务， 如果实在需要， 应该临时 开放，并在做完配置后立刻关闭；
7. 关闭路由器上不需要开放的服务，如 Finger、NTP、CDP、Echo、Discard、 Daytime 、Chargen 等；
8.