等保测评整改-接入层交换机安全策略检查及加固报告.docx

密 级：秘密 文档编号： 项目代号： XXX网站系统 接入层交换机安全策略检查及加固报告 XXX 2012年10月12日 目录 TOC \o 1-5 \h \z \o Current Document H.安全检查概述 4 I \o Current Document | 1.1检查目标 4 | 1.2检查范围 4 \o Current Document | 1.3检查流程 5 I \o Current Document ，二.设备信息 5 I I \o Current Document |三.检查内容记录 6 \o Current Document i四.安全加固项 7 \o Current Document I 4.1设置账户密码加密和登陆超时 7 \o Current Document 1 4.2 设置Telnet访问ACL限制 7 \o Current Document | 4.3设置系统登录信息警告 8 \o Current Document 4.4 设置syslog日志服务器（可选） 8 文档信息表 文档基本信息 项目名称 XXX信息中心等级保护测评项目 当前项目阶段 实施阶段 文档名称 XXX网站系统-接入层交换机安全策略检查及加固报告 文档版本 是否为正式交付件 文档创建日期 2012/10/12 当前修订日期 文档存放路径 文档审批要求 文档审批信息 审阅人 职务 审阅时间 审阅意见 文档修订信息 版本 修正章节 日期 作者 变更记录 安全检查概述 为了保障XXX网站系统的网络安全、通畅和高效的运营，XXX针对XXX 数据中心服务器区接入层交换机的安全策略进行安全检查，并根据检查结果给 出相应的加固建议。 1.1检查目标 本次服务器区接入交换机安全策略检查服务，主要通过完整详细的采集交 换机设备的基本信息与运行状态数据，再对本次交换机安全策略检查采集的数 据进行系统的整理与分析，然后对XXX网络安全提出相关建议报告。对现有网 络存在的问题记录；及时的反馈。 ＞采集接入层交换机设备的运行参数，通过系统整理与分析，判断设备 的运行状态。 ＞检查接入层交换机的运行环境，分析和判断交换机设备运行环境是否 满足当前安全运行的必要条件。 ＞检查安全设备、配置的冗余性，确保网络系统具有抵御设备故障的能 力和高可用性。 ＞检查交换机的log日志记录，调查前期交换机设备运行状态情况，寻找 故障隐患。 1.2检查范 1.2 检查范 本次XXX网站系统接入层交换机安全策略检查的范围主要包括: ＞设备运行状况及账户安全策略设置； ＞检查日志记录情况和存储设置； ＞检查路由协议安全状况； ＞检查设备冗余情况及设备配置备份策略； ＞检查访问控制安全策略设置和各种服务运行状况。 1. 3检查流程 本次XXX网站系统接入层交换机安全检查的流程分为以下四个阶段: 第一阶段 工作内容 网络环境调研 调查XXX网网络环境，服务器区接入交换 机所在区域以及防火墙防护功能的了解 第二阶段 工作内容 设备信息采集 检查交换机设备信息，包括设备系统版本、 CUP利用率、路由协议、安全策略、日志设 置等 第三阶段 工作内容 采集数据分析 对采集到的交换机的版本、路由协议、安全 策略等信息进行分析、判断，评估存在的安 全风险 第四阶段 工作内容 生成汇总报告 根据对交换机检查的过程、安全策略和评估 出存在的安全风险，生产汇总报告，并提出 安全加固方案 二.设备信息 序号 名称 设备信息 1 设备名称 服务器区接入交换机 2 设备型号 H3C S5120-24P-EI 3 IP地址 10. 64. 7. 135 4 系统版本 version 5.20, Release 2202P06 三.检查内容记录 登陆账户使用明文加密 系统账户使用弱口令会使网络设备很容易被非法用户登录，并对网络设备的 配置信息进行修改，甚至造成网络设备不可用。检查发现local-user admin账户 的密码使用明文加密。 未对登陆账户设置登陆超时功能 检查发现未对local-user账户设置登陆超时限制。 未设置Telnet远程访问控制 对交换机端的远程telnet访问控制可以限制登录到网络设备的IP地址，如 果没有对登录VTY端口的IP地址进行限制，意味着所有网段都可以登录网络设 备进行配置修改或者登录尝试，增加网络设备的威胁。 建立VTY访问控制列表，将平常用于管理设备的的管理网段或者终端加入 到VTY的访问控制列表中，做到只有管理员可以telnet登陆到交换机进行相关 操作。 未设置系统登陆信息警告 检查发现Modem登陆用户登陆进入用户视图时没有响应的欢迎和警告信息, 设置警告信息是为了提示登陆用户的操作规范或者操作警告信息。 四.