Digi 旗下公司提供种类繁多的产品,我们的客户在数以千计的不同环境中使用这些产品。 下面我们提供了一份电信运营商推荐的安全实践清单,用于确保设备与通信网络之间的安全。根据您从 Digi 购买的设备的不同,其中一些做法可能并不适用,而且其中许多做法仅适用于基于蜂窝的产品。 如果您对这些措施有任何疑问,请联系客户支持。
- 更改设备管理凭证的默认密码。 密码应遵循规定最小字符数、所需字符类型和数量以及过期时限的标准。
- 不要在多个设备上使用相同的密码。 密码应该是唯一的。
- 完成任务后退出任何管理界面。 不使用时不要打开管理界面。
- 如果不需要,请禁用设备上的远程管理。 如果需要远程管理,则限制只能访问已知的 IP 地址。
- 管理路由器时,请尽可能使用 SSL/TSL 或 SSH,而不要使用未加密的普通访问。
- 及时更新固件,确保安全修复/补丁是最新的
- 隔离局域网或任何其他不需要一起通信的网络。
- 限制只有需要的人才能对设备进行管理访问。为其他需要访问设备但不需要管理员级别权限的人建立功能有限的替代用户账户。
- 禁用任何不使用的协议或功能。
- 禁用或限制 DHCP、ping、跟踪路由、telnet 等设置,以降低攻击的可视性。
- 为工作人员制定并遵守可接受的使用政策,说明允许在网络上使用的内容以及工 作人员应遵循的最佳做法。
- 将设备放置在能确保实体安全的位置。 在可能的情况下,设备不应放置在未经授权人员可以实际进入的开放区域。
- 应禁用不使用的有线端口。
- 在可能的情况下,使用中的端口应使用 802.1x 或 MAC 验证,以防止未经授权的设备连接到网络。
- 尽可能选择最安全的功能(例如,使用 AES 而不是 DES)。
- 应准确配置设备上的任何实时时钟。 将设备连接到可靠的 NTP 源。
- 禁用任何文件共享、NAS 或 USB 端口/选项。
- 维护设备配置备份。
- 如果不使用设备上的无线功能,请禁用该功能。
- 将默认 SSID 更改为不易识别设备、公司、品牌或设备位置的名称。
- 如果设备支持无线加密,请使用最强的无线加密。尽可能避免使用无加密或 WEP。
- 禁用无线接入,需要功能时除外。
- 如果设备支持,则禁用 WPS。
已更新:更新日期: 2023 年 3 月 24 日