【正文】 )aaa accounting mands 15 default startstop group tacacs+Router(config)endRouter12. 補充操作說明使用 TACACS+ server基線符合性判定依據(jù)1． 判定條件配置了 AAA 模板的上述具體條目2. 檢測操作使用 show runningconfig 命令，如下例：router1show runn | include aaa Building configuration...Current configuration:!aaa newmodelaaa accounting mands 1 default startstop group tacacs+aaa accounting mands 15 default startstop group tacacs+13 / 44補充說明備注 開啟 NTP 服務(wù)保證記錄的時間的準確性安全基線項目名稱記錄的時間的準確性安全基線要求項安全基線編號SBLCiscoRouter030103 安全基線項說明 開啟 NTP 服務(wù)，保證日志功能記錄的時間的準確性。檢測操作步驟 1. 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodel Router(config)aaa accounting connection default startstop group tacacs+Router(config)aaa accounting exec default startstop group tacacs+ Router(config)endRouter12. 補充操作說明使用 TACACS+ server基線符合性判定依據(jù)1. 判定條件配置了 AAA 模板的上述具體條目2. 檢測操作使用 show runningconfig 命令，如下例：router1show runn | include aaa Building configuration...Current configuration:!aaa newmodelaaa authentication login default group tacacs+aaa authorization exec default group tacacs+ 12 / 44aaa sessionid mon補充說明備注 記錄用戶對設(shè)備的操作安全基線項目名稱用戶對設(shè)備記錄安全基線要求項安全基線編號SBLCiscoRouter030102 安全基線項說明 與記賬服務(wù)器(如 TACACS 服務(wù)器)配合，設(shè)備應(yīng)配置日志功能，記錄用戶對設(shè)備的操作，如帳號創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，讀取和修改業(yè)務(wù)用戶的話費數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。默認存在 rsa 密鑰對 sshd 就啟用，不存在 rsa 密鑰對 sshd 就停用。檢測操作步驟 1． 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodelRouter(config)aaa authentication login default group tacacs+Router(config)aaa authentication enable default group tacacs+Router(config)tacacsserver host Router(config)tacacsserver key Ir31yh8nw9swDRouter(config)endRouter2. 補充操作說明與外部 TACACS+ server 聯(lián)動，遠程登錄使用 TACACS+ serverya 驗證；口令強度由 TACACS+ server 控制基線符合性判定依據(jù)備注8 / 44 授權(quán) 用 IP 協(xié)議進行遠程維護的設(shè)備使用 SSH 等加密協(xié)議安全基線項目名稱IP 協(xié)議進行遠程維護的設(shè)備安全基線要求項安全基線編號SBLCiscoRouter020301 安全基線項說明 對于使用 IP 協(xié)議進行遠程維護的設(shè)備，設(shè)備應(yīng)配置使用 SSH 等加密協(xié)議。且 5 次以內(nèi)不得設(shè)置相同的口令。檢測操作步驟 1. 參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config)service passwordencryptionRouter(config) enable secret 2mAnyrOUtEsRouter(config) no enable passwordRouter(config) end2． 補充操作說明基線符合性判定依據(jù)1. 判定條件配置文件無明文密碼字段2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!6 / 44service passwordencryptionenable secret 5 $1oxphetTb$rTsF$EdvjtWbi0qA2gusername ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb3. 補充說明如果不加密,使用 show runningconfig 命令,可以看到未加密的密碼備注 帳號、口令和授權(quán)安全基線項目名稱帳號、口令和授權(quán)安全基線要求項安全基線編號SBLCiscoRouter020202 安全基線項說明 設(shè)備通過相關(guān)參數(shù)配置，與認證系統(tǒng)聯(lián)動，滿足帳號、口令和授權(quán)的強制要求。 口令 靜態(tài)口令以密文形式存放安全基線項目名稱靜態(tài)口令安全基線要求項安全基線編號SBLCiscoRouter020201 安全基線項說明 靜態(tài)口令必須使用不可逆加密算法加密，以密文形式存放。遠程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠程登錄后，再通過 enable 命令進入相應(yīng)級別再后執(zhí)行相應(yīng)操作。 刪除無關(guān)的帳號*安全基線項目名稱無關(guān)的帳號安全基線要求項安全基線編號SBLCiscoRouter020102 安全基線項說明 應(yīng)刪除與設(shè)備運行、維護等工作無關(guān)的帳號。避免用戶帳號和設(shè)備間通信使用的帳號共享。2 / 44第 2 章 帳號管理、認證授權(quán)安全要求 帳號管理 用戶帳號分配*安全基線項目名稱用戶帳號分配安全基線要求項安全基線編號SBLCiscoRouter020101 安全基線項說明 應(yīng)按照用戶分配帳號。本標準發(fā)布之日起生效。 適用版本Cisco 路由器。 適用范圍本配置標準的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。1 / 44Cisco 路由器安全配置基線中國移動通信有限公司 管理信息系統(tǒng)部2022 年 04 月2 / 44版本 版本控制信息 更新日期 更新人 審批人 創(chuàng)建 2022 年 1 月 更新 2022 年 4 月備注：1. 若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。3 / 44目 錄第 1 章 概述 ...........................................................................................................................................1 目的 ...........................................................................................................................................1 適用范圍 ...................................................................................................................................1 適用版本 ...................................................................................................................................1 實施 ...........................................................................................................................................1 例外條款 ...................................................................................................................................1第 2 章 帳號管理、認證授權(quán)安全要求 ...............................................................................................2 帳號管理 ...................................................................................................................................2 用戶帳號分配 *................................................................................................................2 刪除無關(guān)的帳號 *............................................................................................................3 限制具備管理員權(quán)限的用戶遠程登錄 *........................................................................4 口令 ...........................................................................................................................................5 靜態(tài)口令以密文形式存放 ..............................................................................................5 帳號、口令和授權(quán) ..........................................................................................................6 密碼復(fù)雜度 ......................................................................................................................7 授權(quán) ...........................................................................................................................................8 用 IP 協(xié)議進行遠程維護的設(shè)備使用 SSH 等加密協(xié)議 ................................................8第 3 章 日志安全要求 .........................................................................................................................11 日志安全 .....................................