等保测评整改-汇聚层交换机安全策略检查及加固报告.docxVIP

密 级：秘密文档编号： 工程代号： XXX网站系统 汇聚层交换机平安策略检查及加固报告 XXX 2012年10月12日 目录 TOC \o 1-5 \h \z . 平安检查概述4 \o Current Document 1检查目标4 \o Current Document 检查范围4 \o Current Document 检查流程5 .设备信息5 \o Current Document .检查内容记录6 \o Current Document .平安加固项7 \o Current Document 关闭未使用的端口7 \o Current Document 2 设置Telnet访问ACL限制7 \o Current Document 设置系统登录信息警告8 \o Current Document 设置syslog日志服务器（可选）8文档信息表 文档基本信息 工程名称 XXX信息中心等级保护测评工程 当前工程阶段 实施阶段 文档名称 XXX网站系统-汇聚层交换机平安策略检查及加固报告 文档版本 是否为正式交付件 文档创立日期 2012/10/12 当前修订日期 文档存放路径 文档审批要求 文档审批信息 审阅人 职务 审阅时间 审阅意见 文档修订信息 版本 修正章节 日期 作者 变更记录 平安检查概述 为了保障XXX网站系统的网络平安、通畅和高效的运营，XXX针对XXX 数据中心汇聚层交换机的平安策略进行平安检查，并根据检查结果给出相应的 加固建议。 1.1检查目标 本次汇聚层交换机平安策略检查服务，主要通过完整详细的采集交换机设 备的基本信息与运行状态数据，再对本次交换机平安策略检查采集的数据进行 系统的整理与分析，然后对XXX网络平安提出相关建议报告。对现有网络存在 的问题记录；及时的反应。 ＞采集汇聚层交换机设备的运行参数，通过系统整理与分析，判断设备 的运行状态。 ＞检查汇聚层交换机的运行环境，分析和判断交换机设备运行环境是否 满足当前平安运行的必要条件。 ＞检查平安设备、配置的冗余性，确保网络系统具有抵御设备故障的能 力和高可用性。 ＞检查交换机的log日志记录，调查前期交换机设备运行状态情况，寻找 故障隐患。 1.2检查范E本次XXX网站系统汇聚层交换机平安策略检查的范围主要包括： ＞设备运行状况及账户平安策略设置；＞ 检查日志记录情况和存储设置； ＞检查路由协议平安状况；＞检查设备冗余情况及设备配置备份策略； ＞检查访问控制平安策略设置和各种服务运行状况。 1.3检查流程本次XXX网站系统汇聚层交换机平安检查的流程分为以下四个阶段: 第一阶段 工作内容 网络环境调研 调查XXX网网络环境，汇集交换机所在区 域以及防火墙防护功能的了解 第二阶段 工作内容 设备信息采集 检查交换机设备信息，包括设备系统版本、 CUP利用率、路由协议、平安策略、日志设 置等 第三阶段 工作内容 采集数据分析 对采集到的交换机的版本、路由协议、平安 策略等信息进行分析、判断，评估存在的安 全风险 第四阶段 工作内容 生成汇总报告 根据对交换机检查的过程、平安策略和评估 出存在的平安风险，生产汇总报告，并提出 平安加固方案 设备信息 序号 名称 设备信息 1 设备名称 服务器区汇聚交换机 2 设备型号 H3C S7506E 3 IP地址 10. 64. 7. 14 4 系统版本 version 5.20, Release 6605P03 三.检查内容记录 有未使用的物理端口 检查发现汇集交换机vlan-interface400接口物理状态为“up”，协议状体为 “down”，接口没有设备接入，这样会导致非法用户接入网络。 没有设置Telnet远程访问控制 对交换机端的远程telnet访问控制可以限制登录到网络设备的IP地址，如 果没有对登录VTY端口的IP地址进行限制，意味着所有网段都可以登录网络设 备进行配置修改或者登录尝试，增加网络设备的威胁。 建立VTY访问控制列表，将平常用于管理设备的的管理网段或者终端加入 到VTY的访问控制列表中，做到只有管理员可以telnet登陆到交换机进行相关 操作。 未设置系统登录信息警告 设置Modem登陆用户登陆进入用户视图时的欢迎和警告信息，可设置一些 提示登陆用户的操作规范或者操作警告信息。 未设置syslog日志服务器 网络设备的日志记录了设备的工作状况和操作记录，通过查看日志记录可以 了解在一定时间内的操作记录和事件记录。借助第三方软件（syslog日志软件） 架设一个日志服务器，专门用来存放网络设备的日志文件，可以记录设备长时间 内的日志文件。 四.平安加固项 汇聚交换机的平安加固项是根据对交换机平安策略检查出的漏洞所做的，具 体加固的内容应根据用户实际情况而