附件一：中国电信业务平台分等级安全基线规范（试行）.doc

《附件一：中国电信业务平台分等级安全基线规范（试行）.doc》由会员分享，可在线阅读，更多相关《附件一：中国电信业务平台分等级安全基线规范（试行）.doc（301页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流附件一：中国电信业务平台分等级安全基线规范（试行）.精品文档.中国电信业务平台分等级安全基线规范（试行）2011年12 月目录前言7适用范围7引用文献7术语、定义和缩略语8一、平台等级划分方案10二、各等级平台安全运维基线要求10三、业务平台安全基线规范细则12（一）安全防护管理121 安全域划分与防护规范131.1.概述131.1.1.背景131.1.2.划分目的131.2.安全域划分的必要性和原则131.2.1.安全域划分的必要性141.2.2.安全域划分原则141.3.安全域划分151.3.1.安全域划分总体思路及示例151.3.2.安

2、全域划分方法151.4.安全域防护182 安全配置基线规范242.1.主机系统安全配置规范242.1.1.Windows系统安全配置规范242.1.2.Linux系统安全配置规范242.1.3.HP-UX系统安全配置规范242.1.4.Solaris系统安全配置规范242.1.5.AIX系统安全配置规范242.2.数据库安全配置规范242.2.1.MS SQL Server安全配置规范242.2.2.Oracle安全配置规范242.2.3.MySQL安全配置规范252.2.4.Informix安全配置规范252.3.中间件安全配置规范252.3.1.Apache安全配置规范252.3.2.TO

3、MCAT安全配置规范252.3.3.IIS安全配置规范252.3.4.WebSphere安全配置规范252.3.5.Weblogic安全配置规范252.4.网络设备安全配置规范252.4.1.华为路由器安全配置规范252.4.2.CISCO路由器/交换机安全配置规范262.4.3.CISCO防火墙安全配置规范262.4.4.Juniper路由器安全配置规范262.4.5.NetScreen防火墙安全配置规范262.4.6.H3C交换机安全配置规范262.4.7.中兴交换机安全配置规范263主机端口安全规范273.1.高危端口273.2.数据库端口273.3.远程管理端口283.4.其他端口28

4、4 应用系统安全规范305 设备账号口令规范315.1.操作系统账号口令安全315.1.1.Windows系统315.1.2.Linux系统315.1.3.HP-UX系统325.1.4.Solaris系统335.1.5.AIX系统335.2.数据库账号口令安全345.2.1.Oracle345.2.2.MS SQL server355.2.3.Sybase355.2.4.DB2365.3.中间件账号口令安全365.3.1.FTP365.3.2.Apache375.3.3.IIS375.3.4.Tomcat375.3.5.WebLogic38（二）容灾备份规范391 业务平台灾备能力要求391.

5、1备份功能391.1.1软件及数据备份功能391.1.1.1文件备份功能391.1.1.2目录备份功能391.1.1.3逻辑分区备份功能391.1.2硬件冗余功能391.1.2.1基础设施冗余391.1.2.2核心设备的冗余391.1.2.3配件资源冗余401.2恢复功能401.2.1软件及数据恢复401.2.1.1文件恢复功能401.2.1.2目录恢复功能401.2.1.3逻辑分区恢复功能401.2.2硬件恢复功能401.3管理功能401.3.1管理员身份鉴别401.3.2报警功能411.3.2.1事件实时报警411.3.2.2报警方式411.3.3审计功能411.3.3.1可审计事件411

6、.3.3.2审计跟踪管理411.4备份数据安全保护411.4.1还原数据所在区域保护411.4.2完整性校验412业务平台主要灾备应用及策略选择422.1日常维护中突发故障处理422.1.1设备自动切换422.1.2设备手动切换422.1.3系统人工切换422.1.4人工恢复数据422.1.5市电保障422.2升级割接432.2.1系统割接前备份432.2.2可主备分离的升级割接432.2.3无法实施主备分离的升级割接432.2.4无热备设备的升级割接432.2.5系统遭到攻击或者人为损害432.3备份及恢复策略考虑因素442.3.1备份因素分析442.3.1.1业务平台重要性442.3.1.

7、2硬件设备、基础运行系统（操作系统、中间件、数据库）重要性442.3.2恢复因素分析442.3.2.1灾难危害程度442.3.2.2恢复方案选择443 业务平台主要备份策略453.1基础设施冗余策略453.2硬件设备冗余策略453.3软件及数据备份策略463.4系统级的集中备份策略483.4.1远程集中备份系统483.4.2系统异地灾备484 业务平台恢复时间计算484.1确定容灾切换时间目标（RTO）及容灾切换点目标（RPO）484.2容灾切换时间和切换点目标规范49（三）应急预案规范501.1.应急资源配套501.1.1.人员和组织保障501.1.2.网络保障501.2.应急预案制定511

8、.2.1.应急预案的编制要求511.2.2.应急预案主要内容511.2.3.应急预案的更新521.3.应急预案演练531.3.1.应急预案的培训531.3.2.应急预案的演练531.3.3.应急预案演练要求531.3.4.应急预案演练内容53附录一 Windows配置规范54附录二 Linux配置规范78附录三 HP-UX配置规范87附录四 Solaris配置规范104附录五 AIX配置规范120附录六 MS SQL Server配置规范132附录七 Oracle配置规范140附录八 MySQL配置规范149附录九 Informix配置规范155附录十 Apache配置规范166附录十一 II

9、S配置规范173附录十二 Tomcat配置规范182附录十三 WebSphere配置规范187前言21适用范围21引用文献21术语、定义和缩略语22一、平台等级划分方案24二、各等级平台安全运维基线要求24三、业务平台安全基线规范细则26（一）安全防护管理261 安全域划分与防护规范271.1.概述271.1.1.背景271.1.2.划分目的271.2.安全域划分的必要性和原则271.2.1.安全域划分的必要性281.2.2.安全域划分原则281.3.安全域划分291.3.1.安全域划分总体思路及示例291.3.2.安全域划分方法291.3.2.1.网络外部域301.3.2.2.网络接入域31

10、1.3.2.3.核心保护域311.3.2.4.运营支撑域321.4.安全域防护321.4.1安全域防护总体要求321.4.2安全域防护思路321.4.3安全域防护原则331.4.4安全域防护策略34（1）要求运营支撑域中的终端要安装正版操作系统和应用软件，并及时更新系统补丁，在条件允许的情况下要求操作系统升级到最新补丁。37（2）要求终端上安装正版防病毒客户端软件，定时更新杀毒引擎和病毒库，实时监控主机的工作状况和网络访问情况，一旦发现有病毒发作，立即执行相应的操作，并进行告警处理。37（3）要求该域中的终端在纳入操作审计管理，设备上要开启日志审计功能，每次操作有记录保留可查。37（4）要求运

11、营支撑域中的终端设备禁止访问互联网，只允许访问特定的业务平台服务器。终端和终端、终端和服务器之间的文件复制、拷贝和传送都要经过严格的病毒扫描和过滤。不得在运营支撑域中的终端上安装与生产无相关的软件。37（5）建议对登录操作系统和数据库系统的用户，采用动态口令认证系统实现身份认证，采用发放给用户的令牌和用户口令作为认证依据，通过应用服务器、接口主机中安装的认证代理与口令认证服务器联动实现动态身份认证。372 安全配置基线规范382.1.主机系统安全配置规范382.1.1.Windows系统安全配置规范382.1.2.Linux系统安全配置规范382.1.3.HP-UX系统安全配置规范382.1.

12、4.Solaris系统安全配置规范382.1.5.AIX系统安全配置规范382.2.数据库安全配置规范382.2.1.MS SQL Server安全配置规范382.2.2.Oracle安全配置规范382.2.3.MySQL安全配置规范392.2.4.Informix安全配置规范392.3.中间件安全配置规范392.3.1.Apache安全配置规范392.3.2.TOMCAT安全配置规范392.3.3.IIS安全配置规范392.3.4.WebSphere安全配置规范392.3.5.Weblogic安全配置规范392.4.网络设备安全配置规范392.4.1.华为路由器安全配置规范392.4.2.C

13、ISCO路由器/交换机安全配置规范402.4.3.CISCO防火墙安全配置规范402.4.4.Juniper路由器安全配置规范402.4.5.NetScreen防火墙安全配置规范402.4.6.H3C交换机安全配置规范402.4.7.中兴交换机安全配置规范403主机端口安全规范413.1.高危端口413.2.数据库端口413.3.远程管理端口423.4.其他端口424 应用系统安全规范445 设备账号口令规范455.1.操作系统账号口令安全455.1.1.Windows系统455.1.2.Linux系统455.1.3.HP-UX系统465.1.4.Solaris系统475.1.5.AIX系统4

14、75.2.数据库账号口令安全485.2.1.Oracle485.2.2.MS SQL server495.2.3.Sybase495.2.4.DB2505.3.中间件账号口令安全505.3.1.FTP505.3.2.Apache515.3.3.IIS515.3.4.Tomcat515.3.5.WebLogic52（二）容灾备份规范531 业务平台灾备能力要求531.1备份功能531.1.1软件及数据备份功能531.1.1.1文件备份功能531.1.1.2目录备份功能531.1.1.3逻辑分区备份功能531.1.2硬件冗余功能531.1.2.1基础设施冗余531.1.2.2核心设备的冗余531.

15、1.2.3配件资源冗余541.2恢复功能541.2.1软件及数据恢复541.2.1.1文件恢复功能541.2.1.2目录恢复功能541.2.1.3逻辑分区恢复功能541.2.2硬件恢复功能541.3管理功能541.3.1管理员身份鉴别541.3.2报警功能551.3.2.1事件实时报警551.3.2.2报警方式551.3.3审计功能551.3.3.1可审计事件551.3.3.2审计跟踪管理551.4备份数据安全保护551.4.1还原数据所在区域保护551.4.2完整性校验552业务平台主要灾备应用及策略选择562.1日常维护中突发故障处理562.1.1设备自动切换562.1.2设备手动切换56

16、2.1.3系统人工切换562.1.4人工恢复数据562.1.5市电保障562.2升级割接572.2.1系统割接前备份572.2.2可主备分离的升级割接572.2.3无法实施主备分离的升级割接572.2.4无热备设备的升级割接572.2.5系统遭到攻击或者人为损害572.3备份及恢复策略考虑因素582.3.1备份因素分析582.3.1.1业务平台重要性582.3.1.2硬件设备、基础运行系统（操作系统、中间件、数据库）重要性582.3.2恢复因素分析582.3.2.1灾难危害程度582.3.2.2恢复方案选择583 业务平台主要备份策略593.1基础设施冗余策略593.2硬件设备冗余策略593.

17、3软件及数据备份策略603.4系统级的集中备份策略623.4.1远程集中备份系统623.4.2系统异地灾备624 业务平台恢复时间计算624.1确定容灾切换时间目标（RTO）及容灾切换点目标（RPO）624.2容灾切换时间和切换点目标规范63（三）应急预案规范641.1.应急资源配套641.1.1.人员和组织保障641.1.2.网络保障641.2.应急预案制定651.2.1应急预案的编制要求651.2.2应急预案主要内容651.2.3应急预案的更新661.3.应急预案演练671.3.1.应急预案的培训671.3.2.应急预案的演练671.3.3.应急预案演练要求671.3.4.应急预案演练内容

18、67附录一 Windows配置规范681、概述681.1 适用范围681.2术语和定义682、补丁及防护软件682.1 补丁安装682.2 防护软件692.3 防病毒管理703、系统服务713.1 关闭不必要的服务713.2 加固SNMP服务723.3 关闭Windows自动播放功能744、账户口令策略744.1 禁用Guest（来宾）帐户744.2 修改管理员帐号名称754.3 停用不使用的帐号764.4 按照用户分配账号764.5 密码策略774.6 账户锁定策略784.7 用户权限设置794.8 共享文件夹策略804.9 限制匿名用户连接805、IP安全配置策略815.1 启用系统自带防

19、火墙815.2 启用SYN攻击防护826、日志与审核策略836.1 审核策略836.2 设置系统日志856.3 设置IIS日志867、文件系统877.1 使用NTFS文件系统878、安全增强898.1 删除匿名用户空连接898.2 删除默认共享898.3 屏幕保护策略908.4 会话超时策略91附录二 Linux配置规范921、概述921.1适用范围921.2术语和定义922、Linux企业版安全配置规范922.1 口令帐号922.1.1 检查空口令帐号922.1.2 检查Root帐号932.1.3 检查帐号超时注销932.1.4 root用户远程登录限制932.1.5 检测密码策略942.1

20、.6 检查Grub/Lilo密码942.2 系统服务952.2.1 关闭不需要的服务952.2.2 openssh安全配置952.2.3 SNMP团体字962.2.4 禁用ctlraltdel组合键962.2.5 检查root 路径962.2.6 检查信任主机972.3 文件系统检查972.3.1 检查系统umask设置972.3.2 保留历史命令的条数982.3.3 检查关键文件的属性982.3.4 检查关键文件的权限992.4 检查磁盘分区剩余空间992.5 检查日志审核99附录三 HP-UX配置规范1011、概述101适用范围101术语和定义101符号和缩略语1012、HP-UX设备安全

21、配置要求1012.1 账号管理、认证授权1022.1.1 避免账号共享1022.1.2 删除不需要的帐号1022.1.3 限制root登录1032.1.4 口令策略1032.1.5 帐号锁定策略1042.1.6 登录超时策略1052.2 文件安全配置要求1052.2.1 关键文件权限要求1052.2.2 UMASK权限要求1062.2.3 限制FTP用户登录1062.3 日志配置要求1072.3.1 配置安全事件日志1072.3.2 配置syslog服务器1082.3.3 配置inetd日志1092.4 IP协议安全配置要求1092.4.1 SSH服务安全配置1092.4.2 主机访问限制11

22、02.4.3 网络参数优化配置1112.4.4 关闭路由转发功能1122.5 服务安全配置要求1132.5.1 关闭不必要的inetd服务1132.5.2 关闭其它不必要的服务1142.5.3 配置NTP服务器1152.6 设备其他安全配置要求1162.6.1 物理端安全配置1162.6.2 补丁管理117附录四 Solaris配置规范1183、概述1181.1适用范围1181.2术语和定义1181、Solaris安全配置规范1181.1 补丁安装1181.2 口令帐号1191.2.1 检测密码复杂度1191.2.2 检查密码有效期1201.2.3 检测密码记忆次数1211.2.4 检测密码锁

23、定策略1221.2.5 检查帐号超时注销1231.3 系统服务检查1231.3.1 关闭不需要的服务1231.3.2 SSH替代Telnet服务1241.3.3 关闭不需要的端口1251.3.4 检查SNMP团体字1261.3.5 同步时间服务器1271.3.6 限制远程登录主机1281.4 路由协议安全1291.4.1 关闭ICMP重定向1291.4.2 关闭包转发1291.5 文件系统检查1301.5.1 检查系统umask设置1301.5.2 检查重要文件权限1311.6 日志审计1311.7 禁止root远程登录1321.8 检查登录超时配置1321.9 内核调整132附录五 AIX配

24、置规范1341、概述1341.1适用范围1341.2术语和定义1342、AIX安全配置规范1342.1 账号管理、认证授权1342.1.1 避免账号共享1342.1.2 删除、锁定不需要的帐号1352.1.3 限制root直接登录1352.1.4 密码策略要求1362.1.5 账户锁定1372.1.6 账户超时1372.2 文件系统安全要求1372.2.1 关键文件权限要求1372.2.2 Umask配置要求1382.3 日志配置要求1392.3.1 登录日志审计1392.3.2 设备安全事件审计1402.3.3 配置日志服务器1402.4 服务安全配置要求1412.4.1 关闭不需要inet

25、d服务1412.4.2 关闭NFS服务1412.4.3 关闭其他不必要的服务1422.4.4 SSH服务安全要求1422.5 IP安全要求1432.5.1 禁止无关主机访问1432.5.2 网络参数安全要求1432.6 设备其他安全配置要求1442.6.1 配置时间同步服务器144附录六 MS SQL Server配置规范1461、帐户策略1461.1避免共享帐号1461.2删除无关帐号1471.3数据库权配置其所需的最小权限1471.4使用数据库角色来管理对象的权限1481.5密码复杂度要求1492、审计策略1502.1 审计登录日志1502.2 审计数据库安全事件1503、其他安全策略15

26、13.1 停用不必要的存储过程1513.2 加密通讯协议1533.3 安装最新补丁包154附录七 Oracle配置规范1541、补丁安装1542、帐户策略1552.1、账户密码1552.2、限制超级管理员远程登录1563、密码策略1574、网络连接限制1575、文件安全1586、日志审核1587、禁止远程操作系统认证1598、数据字典防护1599、SQL92安全设置16010、public角色包执行权限16011、监听器保护16111.1 监听器口令保护16111.2 开启监听器日志16211.3 监听器管理限制162附录八 MySQL配置规范1631、概述1632、安全配置要求1632.1、

27、账号1632.2、口令1652.3、权限设置1652.4、日志审计1662.5、安全补丁1672.6、网络连接168附录九 Informix配置规范1691 范围1692 INFORMIX安全配置要求1692.1账号1692.2口令1712.3授权1742.4日志1762.5其他178附录十 Apache配置规范1801、概述180适用范围180术语和定义1802、Apache安全配置规范1802.1 账号安全要求1802.2 日志安全要求1812.3 禁止Apache访问Web目录之外的任何文件1822.4 禁止Apache列表显示文件1822.5 自定义错误信息要求1832.6 拒绝服务攻

28、击防范1832.7 隐藏Apache的版本号1842.8 关闭TRACE1842.9 禁用CGI1852.10 监听地址绑定1862.11 权限增强186附录十一 IIS配置规范1871、概述1872、IIS服务安全配置要求1872.1 账号管理、认证授权安全功能要求1872.1.1 口令1872.2 日志要求1892.3 IP协议安全配置操作1912.4 设备其他安全功能要求1912.4.1 文件系统及访问权限1922.4.2 IIS服务组件194附录十二 Tomcat配置规范1961、说明1962、补丁安装1963、删除文档和示例程序1964、检查控制台口令1975、设置SHUTDOWN字

29、符串1976、设置运行身份1987、禁止列目录1998、日志审核1999、自定义错误信息200附录十三 WebSphere配置规范2011、说明2011.1 目的2012、账号管理、认证授权2012.1 帐号2012.1.1 应用程序角色2012.1.2 控制台帐号安全2022.1.3 口令管理2022.2 认证授权2022.2.1、控制台安全2022.2.2、全局安全性与Java2安全2033、日志配置操作2033.1 日志配置2033.1.1、日志与记录2034、备份容错2045、设备其他配置操作2055.1 安全管理2055.1.1、控制台超时设置2055.1.2、示例程序删除2055.

30、1.3、错误页面处理2055.1.4、文件访问限制2065.1.5、目录列出访问限制2065.1.6、控制目录权限2075.1.7、补丁管理2075.1.8、变更管理207附录十四 Weblogic配置规范2081、账号管理、认证授权2081.1 账号2081.1.1 账号锁定策略2081.2 口令2081.2.1 密码复杂度2082、日志配置操作2092.1 日志配置2092.1.1 审核登录2093、IP协议安全配置2103.1 IP协议2103.1.1、支持加密协议2103.1.2、限制应用服务器Socket数量2103.1.3、禁用Send Server Header2114、设备其他

31、配置操作2124.1 安全管理2124.1.1 定时登出2124.1.2 更改默认端口2124.1.3 错误页面处理2124.1.4 目录列表访问限制213附录十五 华为路由器配置规范2141、概述214适用范围214术语和定义214符号和缩略语2142、华为路由器设备安全配置要求2142.1 账号、口令管理与认证授权2142.1.1 避免账户共享2142.1.2 删除无关账户2152.1.3 密码策略2162.1.4 加密口令2162.1.5 配置认证服务器2172.2 日志安全要求2182.2.1 审计远程登录日志2182.2.2 审计维护操作日志2182.2.3 审计安全事件2192.2

32、.4 配置远程日志服务器2202.3 IP协议安全要求2202.3.1 端口配置URPF（单播反向路径查找）2202.3.2 使用SSH加密管理2212.3.3 管理IP限制2222.3.4 过滤已知蠕虫端口2232.4 路由协议安全2242.4.1 加密路由协议2242.4.2 禁止接收不安全的路由2252.5 SNMP安全2262.5.1 关闭SNMP协议2262.5.2 修改SNMP默认通行字2272.5.3 使用SNMPV2或以上版本2272.5.4 SNMP访问控制2282.6 其他安全要求2282.6.1 MPLS安全2282.6.2 关闭未使用的端口2292.6.3 账户登录超时

33、2302.6.4 consol口密码保护2302.6.5 关闭不需要的服务2312.6.6 关闭Arp代理231附录十六 CISCO路由器配置规范2331、概述233适用范围233术语和定义233符号和缩略语2332、思科路由器设备安全配置要求2332.1 账号、口令管理与认证授权2332.1.1 避免账户共享2332.1.2 删除无关账户2342.1.3 登录超时2352.1.4 加密口令2362.1.5 consol口密码保护2372.1.6 配置认证服务器2382.2 日志安全要求2392.2.1 审计远程登录日志2392.2.2 审计维护操作日志2402.2.3 设备时间同步2412.

34、3 访问控制要求2422.3.1 防止地址欺骗2422.3.2 限制路由器访问2432.3.3 过滤已知蠕虫端口2442.4 路由协议安全2462.4.1 开启路由认证功能2462.4.2 防止BGP路由振荡2482.4.3 防止路由信息泄露2492.5 其他安全要求2492.5.1 关闭不需要的功能2492.5.2 修改SNMP密码2512.5.3 限制地址SNMP访问2522.5.4 禁止SNMP写功能2522.5.5 关闭AUX接口2532.5.6 修改BANNER信息2542.5.7 使用SSH加密传输协议254附录十七 CISCO防火墙配置规范2581、思科防火墙设备安全配置要求25

35、81.1 账号管理、认证授权基线2581.1.1 账户基线2581.1.2 口令基线2581.1.3 授权基线2591.1.4 认证2591.2 日志基线2591.3 IP协议安全基线要求2601.3.1 基本协议安全基线2601.3.2 路由协议安全基线2611.3.3 SNMP协议安全基线2611.4 其他安全基线261附录十八 Juniper路由器配置规范2631、概述263适用范围263术语和定义263符号和缩略语2632、juniper路由器设备安全配置要求2632.1 账号管理、认证授权2632.1.1 禁止账号共享2632.1.2 删除不必要帐号2642.1.3 帐号分级（授权）

36、2642.1.4 口令复杂策略2652.1.5 修改root密码2662.1.6 配置认证服务器2672.1.7 账户登录超时设置2672.2 日志要求2682.2.1 审计登录日志2682.2.2 审计账户日志2692.2.3 审计安全事件2692.2.4 配置日志审计服务器2702.2.5 审计配置更改日志2702.2.6 开启时间同步服务器2712.3 IP协议安全要求2722.3.1 访问控制2722.3.2 路由协议安全2742.3.3 加密路由协议2742.3.4 限制路由接收、扩散范围2752.3.5 MPLS安全2762.4 SNMP协议安全2762.4.1 Snmp访问安全限

37、制2762.4.2 关闭SNMP可写权限2772.4.3 使用snmp v2以上版本2772.5 设备其他安全2782.5.1 定期备份配置文件2782.5.2 关闭不需要的服务2792.5.3 限制连接数量2792.5.4 对蠕虫端口过滤280附录十九 NetScreen防火墙配置规范2821、概述2822、NetScreen防火墙设备安全配置要求2822.1 内部适用性安全要求2822.1.1 帐号2822.1.2 口令2842.1.3 授权2852.1.4 日志2852.1.5 访问控制2862.2 增强安全要求2872.2.1 认证2872.2.2 Banner定义2882.2.3 登

38、录IP289附录二十 H3C交换机配置规范2901、概述290适用范围290术语和定义290符号和缩略语2902、H3C交换机设备安全配置要求2902.1 账号、口令管理与认证授权2902.1.1 密码认证登录2902.1.2 配置默认级别2912.1.3 设置访问级密码2922.1.4 加密口令2932.2 日志安全要求2932.2.1 配置远程日志服务器2932.3 IP协议安全要求2942.3.1 使用SSH加密管理2942.3.2 管理IP限制2952.4 SNMP安全2952.4.1 修改SNMP默认通行字2952.4.2 使用SNMPV2或以上版本2962.4.3 SNMP访问控制

39、2972.5 其他安全要求2972.5.1 关闭未使用的端口2972.5.2 账户登录超时2982.5.3 关闭不需要的服务298附录二十一 中兴交换机配置规范3001、概述300范围300术语和定义3002、中兴ZTE交换机安全配置规范3002.1 帐号安全加固操作3002.1.1 删除无用帐号3002.1.2 配置帐号权限3012.1.3 配置密码加密3012.2 与认证系统连动配置3022.2.1 启用TACACS服务器配置3022.2.2 启用RADIUS服务器连接配置3022.2.3 操作日志记录配置3032.3 网络安全加固操作3032.3.1 部署远程触发黑洞过滤3032.3.2

40、 典型垃圾流量过滤3032.3.3 关闭代理ARP3042.3.4 协议控制引擎防护3042.3.5 启用路由协议认证功能3052.3.6 SNMP接入安全3052.3.7 SNMP团体串安全3062.3.8 远程登陆接入IP安全3062.3.9 远程登陆会话时长控制3072.3.10 Console会话时长控制3072.3.11 Syslog安全3072.3.12 NTP部署3082.4 交换机专用安全特性3082.4.1 控制端口MAC地址学习及数量3082.4.2 单端口环路检测3092.4.3 端口广播和未知报文抑制3092.4.4 MAC地址漂移开关起用310前言为进一步提高业务网络

41、安全维护水平，解决目前平台及业务数量不断增加、安全隐患风险不断加大与人员配套相对乏力的问题，从而保障重点业务平台网络安全、稳定、高效运行，明确相应的差异化维护原则，使得平台的投入、产出相一致，最大化发挥维护效益。本规范针对上述情况，提出中国电信业务平台分等级安全基线规范（试行）。首先以电信核心业务流程为出发点，按照不同的安全要求级别，将业务平台划分安全等级，然后针对不同安全等级的业务平台提出了详细的安全要求，同时为业务平台建设和维护单位提供了相应的配置基线和指南。本规范主要包括以下几方面内容：平台等级划分方案、各等级平台安全运维基线要求、业务平台安全基线规范细则等。本规范由江苏省电信，福建省电信，浙江省电信，广西省电信，广东省电信，中国电信北京研究院协助编制。规范编写成员：渠凯，陈军，王渭清，杨晓光，魏渊，陈凯，李深，潘梁，邓志红，陈聪，林贵东，庞浩本规范的最终解释权归中国电信集团公司网络