服务器安全方案

1.安全策略总体安全目标网络安全策略的总体目标是保护网络不受攻击，控制异常行为影响网络高效数据转发，以及保护服务器区的计算资源。安全分析在本次项目中，上海中心局域网内的安全威胁分析基于：网络基础拓扑架构在逻辑上分成了5个功能区服务器区各应用系统服务器按功能分为三层结构应用系统访问关系应用系统服务器内部安全分析应用系统服务器按应用类型被分为业务展现层（Web层），应用/业务逻辑层（AP层）和数据库层（DB层）。安全风险存在于：低安全级别服务器对高安全级别服务器上不适当的访问；授权客户端对服务器的不适当访问；非授权客户端对服务器的不适当访问；不同应用系统服务器之间非授权的不适当访问；恶意代码对服务器的不良影响。应用系统之间安全分析应用系统之间的互访，安全风险主要存在于：•不同应用系统服务器之间非授权的不适当访问；•应用系统不同安全等级服务器之间不适当的互访;客户端与服务器之间安全分析客户端访问服务器，主要的安全风险存在于：•非授权客户端不适当的访问服务器；•授权客户端不适当的访问高安全级别的服务器；客户端之间安全分析在业务类客户端和管理类客户端之间，安全风险存在于：•客户端访问另一类客户端上的非授权数据；•客户端利用另一类客户端达到对非授权服务器的非法访问；恶意代码安全分析恶意代码在网络中的传播，可能对所有的应用系统产生严重的影响。网络设备自身安全分析网络设备自身的安全风险主要有：网络设备的物理安全；网路设备操作系统Bug和对外提供的网络服务风险；网络管理协议SNMP非授权访问的风险；设备访问密码安全；设备用户安全风险；安全技术网络分区上海数据中心局域网安全设计基于分行基础设施总体架构设计中使用的模块化设计方案，是基于业界企业级网络参考架构和安全架构进 行的，包括CiscoSAFE和IBMeBusinessreferencemodel模型，在设计中考虑了网络的扩展性、可用性、管理性、高性能等因素，也重点覆盖了安全性设计。通过网络分区，明确不同网络区域之间的安全关系，也可以对每一个区域进行安全的评估和实施，不必考虑对其他区域的影响，保障了网络的高扩展性、可管理性和弹性。达到了一定程度的物理安全性。VLAN在局域网内采用VLAN技术，出了在网络性能、管理方面的有点外，在网络安全上，也具有明显的优点：限制局域网中的广播包；隔离不同的网段，使不同VLAN之间的设备互通必须经过路由，为安全控制提供了基础；提供了基础的安全性，VLAN之间的数据包在链路层上隔离，防止数据不适当的转发或窃听。ACLACL通过对网络数据源地址、源端口、目的地址、目的端口全部或部分组合的控制，能够限制数据在网络中的传输。在网络中应用ACL，能够达到这样一些目的：阻断网络中的异常流量应用系统间访问控制SNMP网管工作站控制设备本身防护防火墙专用的硬件防火墙，是网络中重要的安全设备，为网络提供快速、安全的保护。专用的软硬件，设备自身安全性很高；提供网络地址转换（NAT或PAT）功能，把内部地址转换为外部地址，以保护内部地址的私密性；提供严格的安全管理策略，除了明确定义允许通过的数据，其他数据都是被拒绝的；多层次的安全级别，为不同的安全区域提供差异化的安全级别，如DMZ区域；提供多样的系统安全策略和日志功能。安全策略设计网络分区根据人民银行网络基础架构的设计结构，上海中心局域网被划分为5个功能区域。通过网络结构的功能分区，在网络安全上实现了以下目标：实现不同功能的设备处在不同的分区内，实现了数据链路层上物理隔离;各分区有单一的出入口；分区之间互访必须经过网络层路由；为其他安全控制策略的部署奠定了基础。应用系统内部安全策略在服务器区内，根据确定的应用系统内部三层架构，服务器的应用类型被分为业务展现层（Web层），应用/业务逻辑层（AP层）和数据库层（DB层），对应的安全控制策略如下：通过应用类型分层保护不同级别服务器的安全；划分VLAN，各分层分别位于不同的VLAN中；在三个应用类型分层中，安全级别的定义是接入层（川©6层）安全级别最低，应用/业务逻辑层（AP层）安全级别较高，数据库层（DB层）安全级别最高；应用类型分层之间，通过单向的ACL允许较低级别的服务器访问较高级别的服务器。应用系统之间的安全策略根据应用系统内部三层架构和应用系统之间关系，制定了应用系统之间的安全访问规则。对应的安全控制策略如下：・划分VLAN，隔离各应用系统和各应用系统内部处在不同安全层次上的服务器；・根据确定的类规则在VLAN上部署ACL。客户端与服务器之间的安全策略客户端与服务器之间的安全控制，主要采用了部署专用硬件防火墙和设置客户端和服务器之间的严格的访问规则来实现。安全控制设计如下：在服务器区边界部署专用硬件防火墙，防火墙采用双机主备工作模式，保障系统可靠性；在防火墙上部署严格的安全控制策略，对数据流执行双向控制；确定客户端和服务器之间的访问规则，部署在服务器区边界防火墙上。客户端之间的安全策略在上海支付中心局域网内客户端区，存在着管理类客户端和业务类客户端，两者之间的安全策略设计如下：在客户端区划分VLAN，管理类客户端和业务类客户端分属不同的VLAN；在管理类客户端和业务类客户端的VLAN上部署ACL，限制两类客户端之间的互访。预防恶意代码的安全策略网络中的恶意代码包括病毒、蠕虫、木马等，这类恶意代码发作时，对网络安全有严重的影响。预防恶意代码的安全控制策略如下：・根据已知的各类恶意代码，识别其传输特征，编写相应的ACL；・把ACL部署在关键的控制点上，这些控制点包括：>各功能区的出口交换机上（防火墙默认情况下已经可以拒绝这些恶意代码）；在必要时，也可以部署在功能区内各VLAN上，达到更进一步控制恶意代码传播的目的。ACL单向部署，控制从区内出（out）的流量。＞在内联接入区的互联路由器广域网端口上，ACL单向部署，控制这些端口出（。口土）和入（也）的流量。1.4.6网络设备自身安全策略网络设备自身安全防护，安全策略设计如下：物理安全：＞安装环境温度、湿度、空气洁净度需要满足设备正常运行条件；＞禁止非授权人员物理接触设备。网络服务安全：关闭设备上确认有软件Bug的网络服务和可能对自身产生安全威胁的服务；加密设备密码；用户安全，只允许经授权的用户在设备上执行权限范围内的操作，（且对操作有相应的授权、认证和审计）网管SNMP安全，对SNMP访问设置ACL控制，只允许许可范围内的IP地址通过SNMP管理设备。分区安全策略的部署核心区安全策略的部署核心区作为中心局域网高速交换区，不做过多的安全策略，只要求部署交换机自我保护策略。服务器区安全策略的部署控制客户端对服务器的访问各区域对服务器区访问要受到严格控制，控制策略在防火墙上双向实施，控制策略参照下面的表格。业务1类WEB业务2类WEBOAWEB基础设施类网管安管类Internet业务客户端允许访问禁止访问禁止访问禁止访问允许访问禁止访问OA客户端禁止访问允许访问允许访问禁止访问允许访问允许访问安全控制策略具体描述如下：业务1类客户端能访问业务1类WEB服务器。限定客户ip地址段、应用系统ip地址集、端口号集。业务1类客户端能访问网管安管类服务器。不限制源IP地址，限制目标的ip地址集、端口。管理类客户端能访问业务2类WEB、管理类WEB服务器和网管安管类服务器。不限制源IP地址，限制目标的ip地址集、端口。管理类客户端能访问Internet。不限制目标的IP地址、端口，限制源IP地址应用系统服务器之间的访问控制根据人行安全规范和应用系统访问需求，应用系统间必须增加访问控制，控制策略在服务器交换机上使用访问控制列表实施，控制策略参照下。业务1和业务2互访，业务1和基础设施互访。限定访问源应用系统主机IP地址集，目的应用系统主机IP地址集，目的端口集。业务2、管理类和基础设施能相互访问。仅对应用系统类别IP地址段进行限制。网管安管和业务1互访，网管安管和业务2互访，网管安管和管理类互访，网管安管和基础设施互访。不限制源IP地址，限制目标的ip地址集、端口集。预防恶意代码服务器区不做恶意代码防范，防恶意代码工作实施在其他边缘区域，保证恶意代码不会侵犯到服务器区。网络设备自身安全保护为了防止对网络设备的非法入侵，服务器区交换机和服务器区防火墙应做好自我保护。安全策略特例当应用系统安全策略在部署中与上述原则有冲突时，须提出申请需求，总行将根据应用需求修改安全策略方案。生产区安全策略的部署生产区划分VLAN，隔离业务类客户端和管理类客户端，在两类客户端的VLAN上部署ACL，限制两类客户端之间的互访。在生产区的出口交换机（汇聚交换机）连接核心区核心交换机端口上，部署防恶意代码ACL，方向为out，单向部署。在生产区的网络设备上，根据网络设备自身安全策略设计，配置相应的安全管理命令。运行管理区安全策略的部署运行管理区安全策略在上联防火墙上实现。外联接入区安全策略的部署外联接入区安全策略在外联防火墙上实现。内联接入区安全策略在防火墙上实现内联接入区安全策略在互联路由器上实现。AAA部署AAA需求AAA(认证Authentication，授权Authorization，审计Accounting)认证(Authentication)：验证用户的身份与可使用的网络服务；授权(Authorization):依据认证结果开放网络服务给用户；审计(Accounting)：记录用户对各种网络服务的用量，并提供给审计系统。为了保障网络、应用系统的安全性，除了在网络边界进行防护之外，还需要采用其他的安全服务的辅助手段，以实现全方位的安全防护。本次建设将通过架设AAAServer达到更高的安全性。中国人行银行清算上海备份中心针对网络设备，网络安全设备和远程接入服务器设备的AAA建设思路是：所有的设备的正常登录都需要通过ACS进行；从安全性及可扩展性来考虑，本次建设采用tacacs+/hwtacas协议，实现于ACS平台，充分保障各个节点设备的用户访问合法性。对于支持TACACS+的设备，则由ACS再对其进行命令集和访问设备的指定，保证特定的用户获得访问特定设备和具有特定权限的目的；开启ACS的account信息，对相关的操作进行审计。实施方案AAAclient端在本系统中，客户端发送AAA认证数据包给服务器，数据包包含用户ID和password,服务器对数据包进行验证给出结果。验证过程加密传输。AAA服务器在通过用户的认证请求后，按照该用户的权限来决定用户是否可以享受申请的服务内容，并对其行为进行审计。默认情况下，aaa服务为关闭状态，需手工输入命令开启；authentication、authorization及accounting必须指定所使用协议为tacacs+；aaaserver地址指向ACSserver。为防止ACSserver异常后紧急登陆设备进行操作，需将console访问方式改为local，即本地认证。AAAServer端AAAserver端通过部署CiscoAcs来实现。Acs将进行用户等级分类、设备等级分类、权限分配等设置，构建一个十分严格、安全的访问体系。用户组客户端访问设备，主要的安全级别：超级用户-superuser：具有对所有网络设备登录和配置任何命令的权限；用户组1-usergroup1：资深维护人员，能够访问纳入本平台管理的所有网络设备，对于普通网络设备，具有较高的配置权限，对于关键网络设备，具有查看状态和极少的配置权限；用户组2-usergroup2：一般维护人员，对于和其工作职责所关联的网络设备，具有查看状态和极少的配置权限；设备组所有需要管理的网络设备分为二个组:・关键设备组一一coredevice・关键设备组二一accessdevice具体设备组分类表：设备组设备名用途设备位置关键设备组一SHDC_C0RE_SW_01核心区交换机1CORE区域关键设备组一SHDC_C0RE_SW_02核心区交换机2CORE区域关键设备组二SHDC_APP1_SW_01应用一区汇聚交换机1APP1区域关键设备组二SHDC_APP1_SW_02应用一区汇聚交换机2APP1区域关键设备组二SHDC_APP1_FW_01应用一区域防火墙1APP1区域关键设备组二SHDC_APP1_FW_02应用一区域防火墙2APP1区域关键设备组二SHDC_APP2_SW_01应用二区域汇聚交换机1APP2区域关键设备组二SHDC_APP2_SW_02应用二区域汇聚交换机2APP2区域关键设备组二SHDC_APP2_FW_01应用二区域防火墙1APP2区域关键设备组二SHDC_APP2_FW_02应用二区域防火墙2APP2区域关键设备组二SHDC_FRT1_SW_01前置一区域汇聚交换机1FRT1区域关键设备组二SHDC_FRT1_SW_02前置一区域汇聚交换机2FRT1区域关键设备组二SHDC_FRT1_LB_01前置一区域负载均衡1FRT1区域关键设备组二SHDC_FRT1_LB_02前置一区域负载均衡2FRT1区域关键设备组二SHDC_FRT1_FW_01前置一区域防火墙1FRT1区域关键设备组二SHDC_FRT1_FW_02前置一区域防火墙2FRT1区域关键设备组二SHDC_FRT2_SW_01前置二区域汇聚交换机1FRT2区域关键设备组二FRT2区域关键设备组二SHDC_FRT2_LB_01前置二区域负载均衡1FRT2区域关键设备组二SHDC_FRT2_LB_02前置二区域负载均衡2FRT2区域关键设备组二SHDC_FRT2_FW_01前置二区域防火墙1FRT2区域关键设备组二SHDC_FRT2_FW_02前置二区域防火墙1FRT2区域关键设备组二SHDC_DB_SW_01数据库区域汇聚交换机1DB区域关键设备组二SHDC_DB_SW_02数据库区域汇聚交换机2DB区域关键设备组二SHDC_DB_FW_01数据库区域防火墙1DB区域关键设备组二SHDC_DB_FW_02数据库区域防火墙2DB区域关键设备组二SHDC_0M_SW_01运行管理区域汇聚交换机10M区域关键设备组二SHDC_0M_FW_01运行管理区域防火墙10M区域关键设备组二SHDC_ECN_SW_01外联接入区域汇聚交换机1ECN区域关键设备组二SHDC_ECN_SW_02外联接入区域汇聚交换机2ECN区域关键设备组二SHDC_ECN_FW_01外联接入区域防火墙1ECN区域关键设备组二SHDC_ECN_FW_02外联接入区域防火墙2ECN区域关键设备组二SHDC_ICN_SW_01内联接入区域汇聚交换机1ICN区域

关键设备组二SHDC_ICN_SW_02内联接入区域汇聚交换机2ICN区域关键设备组二SHDC_ICN_RT_01远程数据中心接入区域ASR路由器1ICN区域关键设备组二SHDC_ICN_RT_02远程数据中心接入区域ASR路由器2ICN区域关键设备组二SHDC_ICN_RT_03系统远程管理通道区域路由器1ICN区域关键设备组二SHDC_ICN_RT_04CCPC子区域路由器1ICN区域关键设备组二SHDC_ICN_RT_05CCPC子区域路由器2ICN区域图表40ACS设备组分类表命令组对网络设备进行管理的命令级别分为三个组，分别为：level15、level10、level5。level15的命令集只分配给超级用户，具有对所有网络设备登录和配置任何命令的权限。level10级别对应的管理权限需要能使用大部分配置命令、查看系统配置参数、网络运行状态、进行网络故障诊断，但不能使用涉及AAA安全置模式权限：aaaenablelineradius-serverroutertacacs-server参数的命令，对单台网络设备的参数配置应不能影响网络的全局数据路由通讯。该权限分配的设想是在置模式权限：aaaenablelineradius-serverroutertacacs-serverAuthentication,AuthorizationandAccountingModifyenablepasswordparametersConfigureaterminallineModifyRADIUSqueryparametersEnablearoutingprocessModifyTACACSqueryparameters在网络核心设备组上，另外设置level5的用户，其管理权限的分配是在level1用户权限的基础上，增加进行日常网络运行维护所需要的基本权限：configureterminal进入全局配置模式，才能进入需要的子配置模式；需要在全局配置模式下的一些常用配置命令，如“iproute”等controllerControllerconfigurationmodeexecExecmode（能查看系统配置参数、进行网络故障诊断等，对应于level15的exec命令集，但除去所有的debug命令）interfaceInterfaceconfigurationmodeinterfaceinterface-dlciFrameRelaydlciconfigurationmodeinterface-dlci相关的网管用户，命令级别和设备组的排列见下表:用户类型关键设备组一关键设备组二超级用户Level15Level15用户组1Level5Level10用户组2denyLevel5图表41ACS用户等级分配表应急步骤在console口通过静态口令和密码来进行登录，如果无法使用ACS方式登录到网络设备，则在紧急情况下，可以通过进入机房，登录Console口，使用静态口令和密码进行配置,在路由器界面下需要做额外的配置。测试使用动态口令测试登陆网络设备是否成功使用不同权限用户登陆网络查看命令权限ACS服务器故障时，使用本地口令登陆网络设备ACS数据库备份与恢复数据库备份对于ACS的数据库(serverdatabase)和日志数据库(logdatabase)的备份，可以设置认证服务器定时按照所选方式将日志数据库保存到归档的文件中。对ACS服务器中的用户、用户组及系统相关配置进行备份，备份的目录更改为D盘下，这样保证即使损伤系统崩溃，数据资料不受影响。数据库恢复管理员可手工操作ACSServer从指定的目录的备份文件恢复用户配置、用户组配置及系统相关配置，实现ACS的数据库恢复。在console□通过静态口令和密码来进行登录，如果无法使用ACS方式登录到网络设备，则在紧急情况下，可以通过进入机房，登录Console口，使用静态口令和密码进行配置,在路由器界面下需要做额外的配置。操作系统安全加红色代表可以实施，蓝色代表了解后再讨论确定）WINDOWS操作系统加固编号机器名内部IP地址域名服务器IP操作系统Windows2008Server网关IPCPU内存检查日期检查人编号检查内容检查结果加固建议补丁安装情况1操作系统是否已经安装相关的补丁是无2操作系统是否已经安装了全部的HOTFIX是无3应用程序是否及时进行补丁的更新，包括Office和IE等是无账户策略4密码是否符合复杂性要求否开启密码复杂性要求5密码长度是否符合要求否启用密码最小长度，最小8位6是否设置了密码最长使用期限否启用密码最长使用期限（不小于30天）7是否设置了帐户锁定阀值否开启帐户锁定，一般5次8是否设定了帐户锁定时间否启用帐户锁定时间9是否设置了复位帐户锁定计数器否启用帐户锁定复位时间10是否将审核策略更改为成功和失败否审核策略更改的成功和失败事件11是否将审核登录事件更改为成功和失败否审核对登录事件的成功和失败事件12是否将审核对象访问设置为失败否审核对象访问的失败事件安全设置13当登录时间用完时自动注销用户（启用）是无14在挂起会话之前所需的空闲时间（小于等于30分钟）是无15发送未加密的密码到第三方SMB服务器：（禁用）是无

16允许对所有驱动器和文件夹进行软盘复制和访问（禁用）是无17故障恢复控制台:允许自动系统管理级登录（禁用）是无18清除虚拟内存页面文件（启用）否建议启用清除虚拟内存页面文件该项影响：系统在关机时会清除虚拟内存页面文件19允许系统在未登录前关机（禁用）是无20交互式登录：不显示上次的用户名（启用）否建议在登录时不显示上次的用户名注册表安全21抑制Dr.WatsonCrashDump:HKLM\Software\Microsoft\DrWatson\CreateCrashDump(REG_DWORD)0否建议设置CreateCrashDump键值为0该项影响：系统崩溃时不会生成Dump文件22禁止在任何驱动器上自动运行任何程序：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255否建议创建并设置NoDriveTypeAutoRun键值为255该项影响：在驱动器上无法自动运行任何程序23用星号掩藏任何的口令输入：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds(REG_DWORD)1否建议创建并设置HideSharePwds键值为124禁止自动执行系统调试器：HKLM\Software\Microsoft\WindowsNT\CurrentV?rsion\AeDebug\Auto(REG_DWORD)0否建议创建并设置AeDebug\Auto键值为0该项影响：无系统调试功能25禁止自动登录：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)0否建议创建并设置AutoAdminLogon键值为0该项影响：开机不会自动登录至U系统，需要用户名密码的认证26禁止在蓝屏后自动启动机器：HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot(REG_DWORD)0否建议设置CrashControl\AutoReboot键值为0该项影响：系统蓝屏后自动启动机器27禁止CD自动运行：HKLM\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)0否建议设置CDrom\Autorun键值为0该项影响:CD无自动运行功能tt28删除服务器上的管理员共享：HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer(REG_DWORD)0否建议创建并设置AutoShareServer键值为0该项影响：默认的管理共享关闭29源路由欺骗保护：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting(REG_DWORD)2否建议创建并设置DisableIPSourceRouting键值为2该项影响：防止源路由欺骗攻击30帮助防止碎片包攻击：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery(REG_DWORD)1否建议创建并设置EnablePMTUDiscovery键值为1该项影响：防止碎片包攻击31管理keep-alive时间：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime(REG_DWORD)300000否建议创建并设置KeepAliveTime键值为300000该项影响：通过设置适当的Keep-alive时间减少被攻击的可台P能匕32防止SYNFlood攻击：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect(REG_DWORD)2否建议创建并设置SynAttackProtect键值为2该项影响：防止SYNFlood攻击33SYN攻击保护-管理TCP半开sockets的最大数目：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen(REG_DWORD)100或500否建议创建并设置TcpMaxHalfOpen键值为100或500该项影响：防止SYN攻击关闭的服务34Alerter-禁止否建议禁用该服务该项影响：关闭警报服务，使用NetAlertRaise或NetAlertRaiseEx应用程序编程接口(API)的应用程序将无法利用Messenger服务的消息框向用户或计算机通知管理警报。35Clipbook-禁止否建议禁用该服务该项影响:剪贴簿查看器将无法与远程计算机共享信息，但仍可用于查看本地剪贴簿。36ComputerBrowser-禁止否建议禁用该服务该项影响:浏览器列表将无法更新或维护(无法使用网上邻居，但是可以在运行那里输入IP进行访问，不需要访问其他计算机共享资源，可以考虑禁止)

37InternetConnectionSharing-禁止否建议禁用该服务该项影响:像Internet共享、名称解析、寻址和/或入侵防范等网络服务将不可用38Messenger-禁止否建议禁用该服务该项影响:计算机或当前登录的用户将无法发送或接收Messenger通知39RemoteRegistryService-禁止否建议禁用该服务该项影响:只允许在本地计算机中修改注册表40RoutingandRemoteAccess-禁止是无41SimpleMailTrasferProtocol(SMTP)-禁止是系统无此服务无42SimpleNetworkManagementProtocol(SNMP)Service-禁止是系统无此服务无43SimpleNetworkManagementProtocol(SNMP)Trap-禁止是系统无此服务无44Telnet-禁止否建议禁用该服务该项影响：远程用户将不能通过Telnet客户端访问程序45WorldWideWebPublishingService-禁止否建议禁用该服务该项影响:操作系统将无法处理任何形式的Web请求（如果不需要iis服务可以停止掉）其他安全设置46所有的磁盘卷使用NTFS文件系统是无47已经安装第二方个人版防火墙否建议安装第三方个人版防火墙48已经安装防病毒软件是无49防病毒软件的特征码和检查引擎已经更新到最新否及时更新特征码和检查引擎50防病毒软件已设置自动更新否及时更新防病毒软件51系统时间是否正确是无52文件夹共享是否有过大的权限和帐号是删除所有共享的Everyone用户,按用户添加最小权限该项影响：恶意用户可以对系统数据进行非法操作

53有无异常的计划任务否无54有无设置屏保密码否建议设置屏幕保护密码55有无打开审计功能否建议打开审计功能56有无设置审计文件大小或保留时间否建议对文件大小或保留时间开启审计57有无打开不需要的端口（如80、25、110）否无58有无禁用Netbios否建议禁用Netbios该项影响：防止系统信息的泄露（会造成无法解析netbios）59只有本地登录的用户才能访问CD-ROM否建议只有本地登录的用户才能访问CD-ROM该项影响：防止远程用户的非法访问图表42WINDOWS操作系统加固交换机加固建议编号物理位置操作系统XXNSHI003生产厂商/型号内部IP地址版本号检查细目CISCO6506人行上海中心机房CISCOIOS12,2<18>SXD1编号检查项目检查内容结果建议措施1系统安全是否定期更新操作系统的版本否定义升级操作系统版本（没必要定期升级，升级后的版本可能不稳定）2口令管理是否修改网络设备的默认口令否建议措施：修改默认密码（可以实施，如修改SNMP的默认密码）3是否设置口令强度和有效期否设置口令强度和有效期（可以定期修改口令）

4是否使用enablesecret是无（可以使用enablesecret密码，密文传送，更加安全）5是否使用servicepassword-encryption是无（如果用enablepassword，可以使用该服务,密码加密；如果用enablesecret就不需要使用该服务）6服务安全是否关闭IP直接广播是无（默认是关闭的）7是否关闭HTTP设置是无（可以关闭，关闭后不能WEB管理该设备）8是否封锁ICMPPING请求否无（可以实施，通过ACL禁止PING，建议不这样做，经常要用PING检查网络）9是否控制Telnet访问是控制TELNET访问（限制访问的IP地址）（已经通过ACL实施）10是否禁止CDP否无（可以禁止CDP协议，但不建议这样做，检查网络时经常CDP协议找到邻居端口）11是否关闭IP源路由否无（不清楚关闭源路由会不会影响其他服务）12是否禁用了不必要的服务否禁用不必要服务（可以禁用HTTP,IP直接广播，其它的服务要视情况而定）

13是否限制远程终端会话是限制远程终端会话（通过ACL实施了特定IP登陆）14策略安全是否建立准入、准出地址过滤策略是设置ACL或在防火墙上实现该功能（实施了ACL限制远程登陆）15是否制定数据包过滤策略否可以在防火墙上实现该功能（需要了解数据包的类型等）16是否配置了强加密和密码加密否设置强加密和密码加密（可以enablesecret实施密码加密）17是否应用Control-planepolice预防DDOS攻击否可以在防火墙上实现该功能（内网内无硬件防火墙，边界处才有防火墙）18是否有完整的系统日志记录功能，包括AAA、SNMPTrapSyslog、本地日志缓存否使用部分日志功能（接受SYSLOG日志）（实施网管平台后可以将网络设备的日志转移到网管服务器上）19是否实施了配置管理，必要时可将路由配置恢复到原先状态是无20OSPF协议使用LOOPBACK是否做ROUTE-ID的标识否无（也可以使用物理口做ROUTE-ID，即现在用的情景）21接入层和汇聚层之间是否采用静态路由是无

22是否存在黑洞路由即孤立的路由否无23其它设备特权用户的权限分离，例如将管理与审计的权限分配给不同的网络设备用户。否设置用户权限分离（管理帐号和查看帐号分离）（可以实施，建议不要实施，因为我们限制了特定IP登录，不再需要分权限了）24动态路由协议是否启用认证功能否启用认证功能（可以实施，可以启用链路上OSPF的明文或密文验证，有效的控制3层设备的接入，但实施时要所有网络设备同时一起启用认证）25使用SSH代替TELNET否使用SSH代替TELNET（不支持SSH登录）26是否设置Syslog日志否接收SYSLOG日志（网管平台实施后，可以收集日志）27VLAN设置是否合理否按部门划分VLAN，按访问需求设置VLAN访问权限（可以实施，重新划分VLAN，通过ACL控制VLAN之间的访问，但工作量较大，需商量）28ACL设置是否合理否控制VLAN访问/可以使用防火墙代理部分ACL功能（通过ACL控制VLAN之间的访问）图表43交换机加固建议路由器加固建议编号生产厂商/型号CISCO7606/r