在操作设备前请仔细阅读,避免出现网络安全事件。
密码配置
为充分保证安全,建议您设置的各类密码满足以下要求:
- 建议密码满足最小复杂度要求,即包含英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)、特殊字符`~!@#$%^&*()-_=+\|[{}];:'",中的两种。
- 密码不要与用户名或用户名的倒序相同。
- 密码长度建议最少6位。
- 请妥善保管密码并定期修改。
加密算法
算法包括AES、RSA、HMAC、SHA2等,具体采用哪种加密算法请根据场景而定。请优先遵循以下建议,否则会造成无法满足您安全防御的要求。
- 对称加密算法建议使用AES(128位及以上密钥)。
- 非对称加密算法建议使用RSA(2048位及以上密钥)。
- 哈希算法建议使用SHA2(256及以上密钥)。
- HMAC(基于哈希算法的消息验证码)算法建议使用HMAC-SHA2。
对于相同的算法,推荐您优先使用高强度的密钥。
特性声明
- 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
- 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
- 进行文件传输时,因为FTP、TFTP、SFTPv1协议存在安全风险,建议您使用安全性高的SFTPv2;登录远程设备时,因为Telnet和STelnetv1协议存在安全风险,建议您使用安全性高的STelnetv2。
- SNMP存在SNMPv1、SNMPv2c和SNMPv3三个版本。鉴于SNMPv3协议比SNMPv1/SNMPv2c有更多安全保证,建议使用SNMPv3协议。
- 认证协议,使用HMAC-MD5协议存在安全风险,推荐使用更安全的HMAC-SHA协议。
- HTTP协议安全性较差,建议您使用安全性高的HTTPS。
- 请在法律法规允许的目的和范围内使用。
以下特性可能涉及到采集用户通信内容,本公司无法单方采集或存储用户通信内容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使用、存储用户通信内容的过程中,您应采取足够的措施以确保用户的通信内容受到严格保护。
- 对路由器的端口镜像流量是检测设备流量统计和分析的主要依据,但在使用过程中可能涉及采集用户通信内容,您也可以选择是否执行此操作。检测设备在统计完数据流量后会自动将镜像流量丢弃。
- 采集器主要接收处理设备上报的日志信息,内容包括流量统计、异常攻击等,不会采集用户通信信息。为了分析攻击流量的特征,在管理员的操作下,系统可以抽样抓取现网的流量进行分析,在抓包的过程中通过抽样比确保客户的原始通信内容不能被完整复原,详细的隐私保护请参见“隐私声明”。
隐私声明
本产品是网络攻击检测防御系统,在进行攻击流量分析时,提供了抓包分析的功能,主要为了提取攻击特征,方便进行攻击防御,可能会涉及用户的原始通信报文。
为了给客户提供流量检测、攻击清洗服务,本产品会给客户发送邮件或者短信通知,所以需要填写相关的联系信息,如果客户不需要这些通知,也可以不填写。
本产品通过下面的措施保护客户的隐私:
- 本产品所存储的联系信息仅用于攻击的告警通知或报表发送,不会发送和流量攻击无关的其他信息,不会用于其他用途。
- 本产品不会自动进行抓包,只有管理员定制了抓包任务,才会进行抓包。
- 本产品默认只抓取报文头部,如果需要抓取更长的报文,需要管理员手动调整设置。
- 本产品抓包时,默认抓包采样比为1024:1(即每1024个报文抓取1个来分析),最大支持128:1,无法通过抓包报文批量还原出用户的通讯内容(语音、短信、电邮等)。
- 本产品的抓包报文以文件方式存储,抓包文件保留一定期限自动删除,默认保存3个月,最长保存12个月。
- 本产品的抓包功能是为了攻击取证和攻击指纹提取,以便缓解攻击,不处理不分析报文内容信息。
- 本产品的抓包文件是DDoS设备抓取网络报文发送给ATIC的,ATIC在任何情况下都不会向其它第三方系统发送。
请您在使用本产品的过程中遵从所适用的相关法律法规,并采取合理的措施以确保用户的个人数据受到充分的保护,例如合理分配管理员权限、配置合理的抓包规则、抓包任务及抓包文件保留时间等。
证书使用
- 设备出厂时默认安装的证书,实际使用时,建议企业替换成自己的证书。建议购买商业证书来保证安全性。
- 登录ATIC管理平台时,浏览器可能会提示“此网站的安全证书有问题”。此时可以选择继续浏览,但是为提高安全性,建议在浏览器中安装正确的CA证书。
- 证书通常存在有效期,请记录每本证书的有效期,并在失效日之前申请新的证书。
网络部署
- 请将ATIC系统部署在可信的企业网络中,企业应该有完善的网络准入检查和身份认证机制,确保ATIC系统不被黑客控制。
- 网络部署时,建议通过ACL或VLAN等机制来进行网络、业务隔离。例如将ATIC服务器部署在独立的VLAN内,关闭无关网络通信,减少受攻击、数据泄漏的概率。
- 为了保障ATIC系统的安全,抵御网络攻击,可以通过在ATIC管理中心前部署防火墙、专业防护设备等方式,提高ATIC管理中心部署环境的安全性。
- 为了避免软件冲突或相互影响,在ATIC服务器上禁止启用规划之外的服务、禁止安装其他应用软件。
软件安装和升级
为了保证所获取软件的完整性,请使用软件数字签名(OpenPGP)验证工具验证软件。OpenPGP验证工具使用:
Support-E下载地址:
- 进入网站主页:http://support.huawei.com/enterprise。
- 单击“工具”,搜索“OpenPGP”,获取所需要的工具,进行验证。
Support下载地址:
- 进入网页:http://support.huawei.com/carrier/digitalSignatureAction。
- 单击“下载”按钮,下载“OpenPGP签名验证指南”压缩包,并解压。
- 继续解压文件夹中的“VerificationTools.zip”。
- 打开解压后的文件夹“VerificationTools”,获取到验证工具,进行验证。
第三方软件
ATIC系统使用了以下第三方软件:
- JDK是Java开发运行工具,您可以访问https://www.oracle.com/java/index.html,获取相关文档。
- Tomcat是一个开源软件,您可以访问http://tomcat.apache.org,获取相关文档。
- MySQL是开源数据库软件,您可以访问http://www.mysql.com,获取相关文档。
- 单击ATIC管理中心界面右上角的
,在“关于”界面下方,点击“开源软件声明”即可查看。
操作维护
技术工程师在进行任何维护操作之前,必须得到客户的书面授权。例如将问题定位数据传出客户网络,必须得到客户的书面授权。禁止执行超出授权范围之外的操作。
请谨慎对系统中的文件、日志、配置进行修改、删除等操作。同时,在操作之前先完成备份。
公网IP地址使用的声明
出于特性介绍及配置示例的需要,产品资料中会使用真实设备的MAC地址、公网的IP地址,如无特殊说明出现的真实设备的MAC地址、公网的IP地址均为示意,不指代任何实际意义。