DB32∕T 2766.2-2015 重要信息系统安全防护技术规范 第2部分交换机

ICS25.040L70备案号：46300-2015江苏省地方标准DB32DB32/T2766.2-2015重要信息系统安全防护技术规范第2部分：交换机Specificationforsecuritytechnologyprotectionofimportantinformationsystems—Part2：Switch2015-06-15发布2015-08-15实施江苏省质量技术监督局发布DB32/T2766.2-2015I目次前言....................................................................II引言...................................................................III1范围.......................................................................12规范性引用文件.............................................................13术语和定义.................................................................14符号和缩略语...............................................................15安全技术防护...............................................................15.1结构安全与网段划分...................................................15.2网络访问控制.........................................................15.3网络安全审计.........................................................25.4网络设备防护.........................................................2附录A（资料性附录）交换机基本要求防护方法实施示例......................4DB32/T2766.2-2015II前言本规范依据GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》编写。本标准附录A是资料性附录。本规范由江苏省经济和信息化委员会提出并归口。本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。本规范起草人：吴兰、黄申、张腾标、赵川、施麟、朱瑞、曹云、冉宏伟。DB32/T2766.2-2015III引言DB32/T1927-2011《政府信息系统安全防护基本要求》中对交换机的安全防护仅提出了基本要求，对如何具体实施未做详细规定。本规范是对DB32/T1927-2011《政府信息系统安全防护基本要求》的细化，规定了重要信息系统中交换机设备的安全防护要求，以帮助信息系统运维单位对信息系统网络中的交换机设备进行安全运维，提高实际建设、整改、运维的操作能力。DB32/T2766.2-20151重要信息系统安全防护技术规范第2部分：交换机1范围本标准规定了重要信息系统中交换机设备的安全防护要求，以帮助信息系统运维单位对信息系统网络中的交换机设备进行安全运维，提高实际建设、整改、运维的操作能力。本标准适用于重要信息系统中核心交换机产品的安全运维与防护。2规范性引用文件下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T21050信息安全技术网络交换机安全技术要求GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T25068.3信息技术安全技术IT网络第3部分：使用安全网关的网间通信安全保护DB32/T1927政府信息系统安全防护基本要求3术语和定义DB32/T1927中界定的术语和定义适用于本文件。4符号和缩略语ACL访问控制列表（AccessControlList）HTTP超文本传输协议（HyperTextTransferProtocol）VTY虚拟终端（VirtualTeletypeTerminal）SNMP简单网络管理协议（SimpleNetworkManagementProtocol）RMON远距离监控（RemoteMonitoring）ARP地址解析协议（AddressResolutionProtocol）VLAN虚拟局域网（VirtualLocalAreaNetwork）5安全技术防护5.1结构安全与网段划分5.1.1基本要求DB32/T1927-2011中4.2.1.5适用于本标准的该项基本要求。5.1.2防护方法应能根据组织实际情况、业务应用重要性和安全区域防护要求，设置VLAN。5.2网络访问控制DB32/T2766.2-201525.2.1基本要求DB32/T1927-2011中4.2.2.1、4.2.2.3和4.2.2.5适用于本标准的该项基本要求。5.2.2防护方法a)应执行自主访问控制策略，通过管理员属性表，控制不同管理员对交换机的配置数据和其他数据的查看、修改，以及对交换机上程序的执行，阻止非授权人员进行上述活动。b)应根据业务应用需求，配置访问控制策略，限制指定端口、地址的通过，对网络流量、网络连接数、终端接入等资源的使用进行限制。c)应在重要网段采取技术措施防止ARP欺骗。d)应能截断非法DHCPserver源头，防止DHCPserver仿冒者攻击。5.3网络安全审计5.3.1基本要求DB32/T1927-2011中4.2.4适用于本标准的该项基本要求。5.3.2防护方法a)审计数据生成核心交换机应启用审计功能，并能够审计以下行为：----登录事件----系统事件----账户管理----网络流量----设备运行状况----配置文件的修改----审计功能的启动和终止b)审计数据查询应为授权管理员提供从交换机审计记录中读取审计信息的能力，提供的审计记录具有唯一、明确的定义和方便阅读的格式。c)审计数据保护应配置核心交换机能保护已存储的审计记录，避免未经授权的删除，并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时，应确保最近的审计记录在一定的时间内不会被破坏。5.4网络设备防护5.4.1基本要求DB32/T1927-2011中4.2.8适用于本标准的该项基本要求。5.4.2防护方法5.4.2.1身份鉴别a)管理员鉴别DB32/T2766.2-20153----在管理员进入系统会话之前，应配置交换机具备鉴别管理员身份的功能，采用口令鉴别或其他鉴别机制。----应确保鉴别口令是不可见的，并在存储和传输时加密保护。----当进行鉴别时，交换机应仅将最少的反馈（如：打入的字符数，鉴别的成功或失败）提供给被鉴别人员。b)失败处理在经过一定次数的鉴别失败后，交换机应锁定该账号，且最多失败次数仅由授权管理员设定。c)超时锁定交换机应配置具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话，需要再次进行身份鉴别才能重新操作，且最大超时时间仅由授权管理员设定。d)会话锁定交换机应配置为管理员提供锁定自己的交互会话的功能，锁定后需要再次进行身份鉴别才能重新管理交换机。e)历史记录应配置交换机具有记录登录历史的功能，为登录人员提供系统登录活动的有关信息，使登录人员识别入侵的企图。成功通过鉴别并登录系统后，应确保交换机能够显示如下数据：----日期、时间、来源和上次成功登录系统的情况----上次成功登录系统以来身份鉴别失败的情况----口令距失效日期的天数5.4.2.2权限管理应在交换机上设置多个角色，详细划分管理员级别并规定相关权限（如监视、维护配置等），限定每个管理员的管理范围和权限，防止非授权登录和非授权操作。5.4.2.3最小服务应在交换机上关闭不必要的服务（如：TCP/UDPSmallservice、BOOTP、IPSourceRouting、ARP-Proxy、IPDirectedBroadcast、WINS和DNS等），实现交换机服务最小化。5.4.2.4远程管理防护应启用交换机对远程会话保密性的保护功能，并按需关闭远程管理以及管理员认为不必要的服务，且缺省是关闭的。5.4.2.5简单网络管理协议（SNMP）防护a)应使用SNMPv3及以上版本对交换机进行网络管理。b)应设置交换机强度和复杂度满足要求的SNMPCommunity参数（8位以上，由数字、字母和特殊字符组成）。c)应配置交换机访问控制列表（ACL）保护SNMP访问权限。d)应设置交换机对SNMP访问的认证功能，能够监测并阻断对管理信息模块（MIB）的非授权访问，能够防范针对SNMP的拒绝服务攻击。SNMP认证失败时，交换机应向陷阱消息接收工作站发送认证失败消息。DB32/T2766.2-20154附录A（资料性附录）交换机基本要求防护方法实施示例交换机基本要求防护方法实施示例见表A.1。表A.1交换机基本要求防护方法实施示例序号项目防护方法实施示例15.1结构安全与网段划分5.1.2a)配置交换机将指定端口划入VLAN：interfaceFastEthernet0/1switchmodeaccessswitchaccessvlan2interfacerangeFastEthernet0/2-23switchmodeaccessswitchaccessvlan325.2网络访问控制5.2.2a)以管理员账户登录交换机，配置让Level7的用户在特权模式下具有clearcounters和reload权限：privilegeexeclevel7clearcountersprivilegeexeclevel7reloadusernametest1privilege7secretxxxxusernameadminprivilege15secretxxx(管理员登录)lineconsole0loginlocallinevty04loginlocal35.2.2b)限制指定IP地址、80端口的通过：access-list103permittcpip192.168.2.00.0.0.255192.168.3.00.0.0.255eq80应用到VLAN：interfacevlan3ipaccess-group103out4限制网络流量mlsqosaccess-list1permit192.168.1.1class-mapxiansu_outmatchaccess-group1policy-mapxiansu_outclassxiansu_outtrustdscppolice10000001000000exceed-actiondropinterfacef0/1service-policyinputxiansu_outDB32/T2766.2-20155表A.1交换机基本要求防护方法实施示例（续）序号项目防护方法实施示例55.2网络访问控制5.2.2b)限制网络连接数ipnattranslationmax-entrieshost10.1.1.1200在接口上配置802.1x：aaaauthenticationdot1xdefaultgroupradiusdot1xsystem-auth-controlinterfacerangeFastEthernet0/2–10swtichportaccessvlan10dot1xport-controlauto65.2.2c)使用MAC地址表配置绑定：Switch(config)#mac-address-tablestatic00-04-61-7E-AD-9Dvl