美国国家安全局发布网络基础设施安全指南

1.网络体系架构与设计采用多层防御

(1）在网络周边配置和安装安全设备；

(2）将网络中的类似系统逻辑组合在一起，以防止其他类型系统的对抗性横向移动；

(3）取消所有后门网络连接，并在使用多个网络接口连接设备时谨慎使用；

(4）采用严格的外设访问控制策略；

(5）实现网络访问控制(NAC)解决方案，以识别和验证连接到网络的唯一设备；

(6）限制和加密虚拟专用网(VPN)。

2.定期进行安全维护

报告认为，过时的硬件和软件可能包含已知的漏洞，并为对手利用网络提供了一种简单的机制。通过定期将硬件和软件升级到供应商支持的更新版本，可以缓解这些漏洞。对此，报告建议：

(1）验证软件和配置的完整性；

(2）维护正确的文件系统和引导管理；

(3）维护软件和操作系统的及时升级更新；

(4）对开发商提供的过时或不受支持的硬件设备应立即升级或更换，以确保网络服务和安全支持的可用性。

3.采用认证、授权和审计来实施访问控制并减少维护

报告认为，集中式认证、授权和审计(AAA)服务器可提高访问控制的一致性，减少配置维护，降低管理成本。对此，报告建议：

(1）实现集中式服务器；

(2）配置集中式的认证、授权和审计(AAA)；

(3）运用最小特权原则；

(4）限制身份验证尝试的次数。

4.创建具有复杂口令的唯一本地账户

报告认为，本地账户对于网络设备的管理至关重要。对此，报告建议：

(1）使用唯一的用户名和账户设置；

(2）更改默认口令；

(3）删除不必要的账户；

(4）采用个人账户；

(5）使用最安全的算法存储设备上的所有口令；

(6）为所有级别的访问(包括用户访问和特权级别访问)分配唯一和复杂的口令；

(7）为每个设备上的每个账户和特权级别分配唯一、复杂和安全口令；

(8）根据需要更改口令。

5.实施远程记录和监控

6.实施远程管理和网络业务

7.配置网络应用路由器以对抗恶意滥用

8.正确配置接口端口