DB32T 2766.3-2015 重要信息系統(tǒng)安全防護技術規(guī)范 第3部分：路由器

省地DB32Specificationforsecuritytechnologyprotectionofimportantinforma江蘇省質量技術監(jiān)督局發(fā)布 2 2 2 2 2 3 5本規(guī)范起草人：王丹中、黃申、吳蘭、車黎剛、李國琴、DB32/T1927-2011《政府信息系統(tǒng)安全防護基本要求》中對路由器設備的安全防護僅提信息系統(tǒng)中路由器設備的安全技術防護要求和安全防護方法，以幫助和指導重要信息系統(tǒng)管1重要信息系統(tǒng)安全防護技術規(guī)范第3部分：路由器和指導重要信息系統(tǒng)管理、運維和使用等單位對網絡信息系統(tǒng)中的路由器設備進行安全配置、安全管理和安全運維，提高路由器設備的安全技術防本標準適用于重要信息系統(tǒng)中路由器設備的安全管理、安全運維與GB17859計算機信息系統(tǒng)安全保護等GB/T20011信息安全技術路由器安全GB/T22239信息安全技術信息系統(tǒng)安全等級保護MAC介質訪問控制（MediaAccessControl）ACL訪問控制列表（AccessControlList）AUX輔助口（Auxiliary）VTY虛擬終端（VirtualTeletypeTerminal）TACACS+終端訪問控制器訪問控制系統(tǒng)+（TerminalAccessControllerAccessRADIUS遠程認證撥號用戶服務（RemoteAuthenticationDiSNMP簡單網絡管理協議（SimpleNetworkManagementProSSH安全外殼協議（SecureShellPrHTTPS安全超文本傳輸協議（Hype2a）在使用動態(tài)路由選擇協議時，應啟用路由協議認證功能，并不以明文形式保存認證b）對采用遠程接入網絡的用戶，路由器應限制具有撥號訪問權限的用戶數量。b）日志審計內容應記錄事件的時間、用戶、事件類型、事件是否成功等相關信息。c）應采用技術手段對路由器的審計記錄數據進行查詢d）應在路由器發(fā)生錯誤或異常等特定事件時3e）應采用技術或管理手段對路由器的審計記錄進行保護，防止未授權修改、刪除和破f）應采取措施確保審計存儲耗盡、失敗或受到攻擊時，審計記錄在一定的時間內不會a）應為路由器設置身份鑒別信息，對通過不同登錄方式和不同訪問模式使用路由器的——控制臺（Console）口令：應在路由器控制臺端口上設置登錄口令，防止其他未授——輔助端口（AUX）口令：當輔助端口作為備份的控制臺端口或用于遠程訪問時，應c）身份鑒別信息應不易被冒用，存儲在配置文件中的口令應加密存儲，或存儲在a）應具有登錄鑒別失敗處理功能，可采用結束會話、限制非法登錄次數等措施中斷連a）應根據實際需要為管理用戶分配其所需的最小權限，控制不同用戶對路b）應實現路由器特權用戶的權限分離，將管理與審計的權限分配給不同的用戶，限定特權用戶只具有完成工作職責范圍內的權限，a）應對路由器的管理員登錄地址進行限制，應使用專用的管理終端、通信路徑或配置4b）當使用SNMP協議對路由器進行遠程管理時，應修改默認的共用團體字符串（communitystring按b）給出的要求設置51段劃分ipospfauthenticati234IPSourceRouting、ARP-Proxy、IPDinoserviceudp-small-se65在無線路由器的無線網絡安全設置中啟用WPA-PSK/WP677898tacacs-serverhost192enablesecret5$1oxphetusernameadminpassword7Wbi0qA1$rTsF$Edvjt2gpvyh9usernameuser1privilege3usernameuser2privi通過access-list相關命令在