服务器安全方案

《服务器安全方案》由会员分享，可在线阅读，更多相关《服务器安全方案（29页珍藏版）》请在装配图网上搜索。

1、1. 安全策略1.1 总体安全目标网络安全策略的总体目标是保护网络不受攻击，控制异常行为影响网络高 效数据转发，以及保护服务器区的计算资源。1.2 安全分析在本次项目中，上海中心局域网内的安全威胁分析基于：网络基础拓扑架构在逻辑上分成了 5个功能区服务器区各应用系统服务器按功能分为三层结构 应用系统访问关系1.2.1应用系统服务器内部安全分析应用系统服务器按应用类型被分为业务展现层（Web层），应用/业务逻辑 层（AP层）和数据库层（DB层）。安全风险存在于： 低安全级别服务器对高安全级别服务器上不适当的访问； 授权客户端对服务器的不适当访问； 非授权客户端对服务器的不适当访问； 不同应用系统

2、服务器之间非授权的不适当访问； 恶意代码对服务器的不良影响。1.2.2应用系统之间安全分析应用系统之间的互访，安全风险主要存在于： 不同应用系统服务器之间非授权的不适当访问； 应用系统不同安全等级服务器之间不适当的互访；1.2.3客户端与服务器之间安全分析客户端访问服务器，主要的安全风险存在于：非授权客户端不适当的访问服务器；授权客户端不适当的访问高安全级别的服务器；1.2.4客户端之间安全分析在业务类客户端和管理类客户端之间，安全风险存在于： 客户端访问另一类客户端上的非授权数据； 客户端利用另一类客户端达到对非授权服务器的非法访问； 1.2.5恶意代码安全分析恶意代码在网络中的传播，可能对

3、所有的应用系统产生严重的影响1.2.6网络设备自身安全分析网络设备自身的安全风险主要有： 网络设备的物理安全； 网路设备操作系统 Bug 和对外提供的网络服务风险；网络管理协议SNMP非授权访问的风险； 设备访问密码安全； 设备用户安全风险；1.3 安全技术1.3.1网络分区上海数据中心局域网安全设计基于分行基础设施总体架构设计中使用的模块化设计方案，是基于业界企业级网络参考架构和安全架构进 行的，包括Cisco SAFE 和 IBM eBusiness reference model 模型，在设计中考虑了网络的扩展性、可用性、管理性、高性能等因素，也重点覆盖了安全性设计。通过网络分区，明确不

4、同网络区域之间的安全关系，也可以对每一个区域 进行安全的评估和实施，不必考虑对其他区域的影响，保障了网络的高扩展 性、可管理性和弹性。达到了一定程度的物理安全性。1.3.2VLAN在局域网内采用VLAN技术，出了在网络性能、管理方面的有点外，在网络安全上，也具有明显的优点： 限制局域网中的广播包；隔离不同的网段，使不同VLAN之间的设备互通必须经过路由，为安全控制提供了基础；提供了基础的安全性，VLAN之间的数据包在链路层上隔离，防止数据不适当的转发或窃听。1.3.3ACLACL 通过对网络数据源地址、源端口、目的地址、目的端口全部或部分组合的控制，能够限制数据在网络中的传输。在网络中应用AC

5、L，能够达到这样一些目的：阻断网络中的异常流量应用系统间访问控制SNMP网管工作站控制设备本身防护1.3.4防火墙专用的硬件防火墙，是网络中重要的安全设备，为网络提供快速、安全的 保护。 专用的软硬件，设备自身安全性很高； 提供网络地址转换（NAT或PAT）功能，把内部地址转换为外部地址，以 保护内部地址的私密性； 提供严格的安全管理策略，除了明确定义允许通过的数据，其他数据都 是被拒绝的； 多层次的安全级别，为不同的安全区域提供差异化的安全级别，如 DMZ 区域； 提供多样的系统安全策略和日志功能。1.4 安全策略设计1.4.1网络分区根据人民银行网络基础架构的设计结构，上海中心局域网被划分

6、为 5 个功 能区域。通过网络结构的功能分区，在网络安全上实现了以下目标： 实现不同功能的设备处在不同的分区内，实现了数据链路层上物理隔离； 各分区有单一的出入口； 分区之间互访必须经过网络层路由； 为其他安全控制策略的部署奠定了基础。 应用系统内部安全策略 在服务器区内，根据确定的应用系统内部三层架构，服务器的应用类型被分为业务展现层（Web层），应用/业务逻辑层（AP层）和数据库层（DB层）， 对应的安全控制策略如下： 通过应用类型分层保护不同级别服务器的安全；划分VLAN，各分层分别位于不同的VLAN中；在三个应用类型分层中，安全级别的定义是接入层（Web层）安全级别 最低，应用/业务逻

7、辑层（AP层）安全级别较高，数据库层（DB层）安 全级别最高；应用类型分层之间，通过单向的ACL允许较低级别的服务器访问较高级 别的服务器。1.4.2应用系统之间的安全策略根据应用系统内部三层架构和应用系统之间关系，制定了应用系统之间的 安全访问规则。对应的安全控制策略如下：划分VLAN,隔离各应用系统和各应用系统内部处在不同安全层次上的服 务器； 根据确定的类规则在 VLAN 上部署 ACL。1.4.3客户端与服务器之间的安全策略客户端与服务器之间的安全控制,主要采用了部署专用硬件防火墙和设置 客户端和服务器之间的严格的访问规则来实现。安全控制设计如下： 在服务器区边界部署专用硬件防火墙,防

8、火墙采用双机主备工作模式, 保障系统可靠性； 在防火墙上部署严格的安全控制策略,对数据流执行双向控制； 确定客户端和服务器之间的访问规则,部署在服务器区边界防火墙上。1.4.4客户端之间的安全策略在上海支付中心局域网内客户端区,存在着管理类客户端和业务类客户 端,两者之间的安全策略设计如下：在客户端区划分VLAN,管理类客户端和业务类客户端分属不同的VLAN； 在管理类客户端和业务类客户端的VLAN上部署ACL,限制两类客户端之 间的互访。1.4.5预防恶意代码的安全策略网络中的恶意代码包括病毒、蠕虫、木马等,这类恶意代码发作时,对网 络安全有严重的影响。预防恶意代码的安全控制策略如下： 根据

9、已知的各类恶意代码,识别其传输特征,编写相应的 ACL； 把 ACL 部署在关键的控制点上,这些控制点包括： 各功能区的出口交换机上（防火墙默认情况下已经可以拒绝这些恶意代码）；在必要时，也可以部署在功能区内各 VLAN 上，达到更进 一步控制恶意代码传播的目的。ACL单向部署，控制从区内出（out） 的流量。 在内联接入区的互联路由器广域网端口上，ACL单向部署，控制这 些端口出（ou t）和入（in ）的流量。1.4.6网络设备自身安全策略网络设备自身安全防护，安全策略设计如下：物理安全：安装环境温度、湿度、空气洁净度需要满足设备正常运行条件；禁止非授权人员物理接触设备。 网络服务安全：关

10、闭设备上确认有软件 Bug 的网络服务和可能对自身产 生安全威胁的服务； 加密设备密码； 用户安全，只允许经授权的用户在设备上执行权限范围内的操作，（且对 操作有相应的授权、认证和审计） 网管 SNMP 安全，对 SNMP 访问设置 ACL 控制，只允许许可范围内的 IP 地址通过 SNMP 管理设备。1.5 分区安全策略的部署1.5.1核心区安全策略的部署核心区作为中心局域网高速交换区，不做过多的安全策略，只要求部署交换机自我保护策略。1.5.2服务器区安全策略的部署1.5.2.1 控制客户端对服务器的访问各区域对服务器区访问要受到严格控制，控制策略在防火墙上双向实施 控制策略参照下面的表格

11、。业务1类WEB业务2类WEBOA WEB基础设施类网管安管类Internet业务客户端允许访问禁止访问禁止访问禁止访问允许访问禁止访问OA客户端禁止访问允许访问允许访问禁止访问允许访问允许访问安全控制策略具体描述如下： 业务1类客户端能访问业务1类WEB服务器。限定客户ip地址段、应用 系统ip地址集、端口号集。业务1类客户端能访问网管安管类服务器。不限制源IP地址，限制目标 的ip地址集、端口。 管理类客户端能访问业务2类WEB、管理类WEB服务器和网管安管类服 务器。不限制源IP地址，限制目标的ip地址集、端口。 管理类客户端能访问In terne t。不限制目标的IP地址、端口，限制源

12、 IP地址1.5.2.2 应用系统服务器之间的访问控制根据人行安全规范和应用系统访问需求，应用系统间必须增加访问控制， 控制策略在服务器交换机上使用访问控制列表实施，控制策略参照下。 业务1和业务2互访，业务1和基础设施互访。限定访问源应用系统主 机IP地址集，目的应用系统主机IP地址集，目的端口集。 业务2、管理类和基础设施能相互访问。仅对应用系统类别IP地址段进 行限制。 网管安管和业务1互访，网管安管和业务2互访，网管安管和管理类互 访，网管安管和基础设施互访。不限制源IP地址，限制目标的ip地址集、端口集。1.5.2.3 预防恶意代码服务器区不做恶意代码防范，防恶意代码工作实施在其他边

13、缘区域，保证 恶意代码不会侵犯到服务器区。1.5.2.4 网络设备自身安全保护为了防止对网络设备的非法入侵，服务器区交换机和服务器区防火墙应做好自我保护。1.5.2.5 安全策略特例当应用系统安全策略在部署中与上述原则有冲突时，须提出申请需求，总行将根据应用需求修改安全策略方案。1.5.3生产区安全策略的部署生产区划分VLAN,隔离业务类客户端和管理类客户端，在两类客户端的VLAN上部署ACL，限制两类客户端之间的互访。在生产区的出口交换机（汇聚交换机）连接核心区核心交换机端口上，部署防恶意代码ACL，方向为out，单向部署。在生产区的网络设备上，根据网络设备自身安全策略设计，配置相应的安全管

14、理命令。1.5.4运行管理区安全策略的部署运行管理区安全策略在上联防火墙上实现。1.5.5外联接入区安全策略的部署外联接入区安全策略在外联防火墙上实现。1.5.6内联接入区安全策略在防火墙上实现内联接入区安全策略在互联路由器上实现。1. 6 AAA部署1.6.1AAA 需求AAA (认证 Authentication, 授权 Authorization, 审计 Accounting)认证(Authentication):验证用户的身份与可使用的网络服务；授权(Authorization):依据认证结果开放网络服务给用户；审计(Accounting):记录用户对各种网络服务的用量，并提供给审计系

15、 统。为了保障网络、应用系统的安全性，除了在网络边界进行防护之外，还需 要采用其他的安全服务的辅助手段，以实现全方位的安全防护。本次建设将通 过架设AAA Server达到更高的安全性。中国人行银行清算上海备份中心针对网络设备，网络安全设备和远程接入服务器设备的AAA建设思路是： 所有的设备的正常登录都需要通过ACS进行； 从安全性及可扩展性来考虑，本次建设采用tacacs+/hwtacas协议，实现于 ACS 平台，充分保障各个节点设备的用户访问合法性。对于支持TACACS+的设备，则由ACS再对其进行命令集和访问设备的指定，保证特定的用户获得访问特定设备和具有特定权限的目的； 开启ACS的

16、account信息，对相关的操作进行审计。1.6.2实施方案1.6.2.1 AAA client 端在本系统中，客户端发送AAA认证数据包给服务器，数据包包含用户ID和 password，服务器对数据包进行验证给出结果。验证过程加密传输。AAA服务 器在通过用户的认证请求后，按照该用户的权限来决定用户是否可以享受申请 的服务内容，并对其行为进行审计。默认情况下，aaa服务为关闭状态，需手工输入命令开启； authentication 、 authorization 及 accounting 必须指定所使用协议为 tacacs+； aaa server地址指向ACS server。为防止ACS

17、server异常后紧急登 陆设备进行操作，需将console访问方式改为local，即本地认证。1.6.2.2 AAA Server 端AAA server端通过部署Cisco Acs来实现。Acs将进行用户等级分类、设备 等级分类、权限分配等设置，构建一个十分严格、安全的访问体系。1.6.2.3 用户组客户端访问设备，主要的安全级别：超级用户-superuser：具有对所有网络设备登录和配置任何命令的权限；用户组1-usergroupl:资深维护人员，能够访问纳入本平台管理的所有 网络设备，对于普通网络设备，具有较高的配置权限，对于关键网络设 备，具有查看状态和极少的配置权限；用户组2-us

18、ergroup2： 一般维护人员，对于和其工作职责所关联的网络 设备，具有查看状态和极少的配置权限；1.6.2.4 设备组所有需要管理的网络设备分为二个组关键设备组一 一coredevice关键设备组二一accessdevice具体设备组分类表：设备组设备名用途设备位置关键设备组一SHDC C0RE SW 01核心区父换机1CORE区域关键设备组一SHDC C0RE SW 02核心区父换机2CORE区域关键设备组二SHDC APP1 SW O1应用一区汇聚交换机1APP1区域关键设备组二SHDC APP1 SW O2应用一区汇聚交换机2APP1区域关键设备组二SHDC APP1 FW O1应用

19、一区域防火墙1APP1区域关键设备组二SHDC APP1 FW O2应用一区域防火墙2APP1区域关键设备组二SHDC APP2 SW 01应用二区域汇聚交换机1APP2区域关键设备组二SHDC APP2 SW 02应用二区域汇聚交换机2APP2区域关键设备组二SHDC APP2 FW 01应用二区域防火墙1APP2区域关键设备组二SHDC APP2 FW 02应用二区域防火墙2APP2区域关键设备组二SHDC FRT1 SW O1前置一区域汇聚交换机1FRT1区域关键设备组二SHDC FRT1 SW O2前置一区域汇聚交换机2FRT1区域关键设备组二SHDC FRT1 LB O1前置一区域负

20、载均衡1FRT1区域关键设备组二SHDC FRT1 LB O2前置一区域负载均衡2FRT1区域关键设备组二SHDC FRT1 FW O1前置一区域防火墙1FRT1区域关键设备组二SHDC FRT1 FW O2前置一区域防火墙2FRT1区域关键设备组二SHDC FRT2 SW 01前置二区域汇聚交换机1FRT2区域关键设备组二FRT2区域关键设备组二SHDC FRT2 LB 01前置二区域负载均衡1FRT2区域关键设备组二SHDC FRT2 LB 02前置二区域负载均衡2FRT2区域关键设备组二SHDC FRT2 FW 01前置二区域防火墙1FRT2区域关键设备组二SHDC FRT2 FW 02

21、前置二区域防火墙1FRT2区域关键设备组二SHDC DB SW 01数据库区域汇聚交换机1DB区域关键设备组二SHDC DB SW 02数据库区域汇聚交换机2DB区域关键设备组二SHDC DB FW 01数据库区域防火墙1DB区域关键设备组二SHDC DB FW 02数据库区域防火墙2DB区域关键设备组二SHDC 0M SW 01运行管理区域汇聚交换机1OM区域关键设备组二SHDC 0M FW 01运行管理区域防火墙1OM区域关键设备组二SHDC ECN SW 01外联接入区域汇聚交换机1ECN区域关键设备组二SHDC ECN SW 02外联接入区域汇聚交换机2ECN区域关键设备组二SHDC

22、ECN FW 01外联接入区域防火墙1ECN区域关键设备组二SHDC ECN FW 02外联接入区域防火墙2ECN区域关键设备组二SHDC ICN SW 01内联接入区域汇聚交换机1ICN区域关键设备组二SHDC ICN SW 02内联接入区域汇聚交换机2ICN区域关键设备组二SHDC ICN RT 01远程数据中心接入区域ASR路由器1ICN区域关键设备组二SHDC ICN RT 02远程数据中心接入区域ASR路由器2ICN区域关键设备组二SHDC ICN RT 03系统远程管理通道区域路由器1ICN区域关键设备组二SHDC ICN RT 04CCPC子区域路由器1ICN区域关键设备组二SH

23、DC ICN RT 05CCPC子区域路由器2ICN区域图表40 ACS设备组分类表1.6.2.5 命令组对网络设备进行管理的命令级别分为三个组，分别为：levell5、level10、level5。level15 的命令集只分配给超级用户，具有对所有网络设备登录和配置 任何命令的权限。level10 级别对应的管理权限需要能使用大部分配置命令、查看系统配置参数、网络运行状态、进行网络故障诊断，但不能使用涉及AAA安全 参数的命令，对单台网络设备的参数配置应不能影响网络的全局数据路 由通讯。该权限分配的设想是在level15的用户权限中，除去以下的配 置模式权限：aaa enable line

24、Authentication, Authorization and Accounting Modify enable password parametersConfigure a terminal lineradius-server Modify RADIUS query parametersrouterEnable a routing processtacacs-server Modify TACACS query parameters在网络核心设备组上，另外设置level5的用户，其管理权限的分配是在 levell用户权限的基础上，增加进行日常网络运行维护所需要的基本权 限：configu

25、re terminal 进入全局配置模式，才能进入需要的子配置模式；需要在全局配置模式下的一些常用配置命令，如“ip route”等controller Controller configuration modeexec Exec mode（能查看系统配置参数、进行网络故障诊断等，对应于level15的exec命令集，但除去所有的debug命令）interface-dlciFrame Relay dlci configuration mode相关的网管用户，命令级别和设备组的排列见下表：用户类型关键设备组一关键设备组二超级用户Level 15Level 15用户组1Level 5Level 1

26、0用户组2denyLevel 5图表41 ACS用户等级分配表1.6.2.6 应急步骤在console 通过静态令和密码来进行登录，如果无法使用ACS方式登录 到网络设备，则在紧急情况下，可以通过进入机房，登录 Console 口，使用静 态令和密码进行配置，在路由器界面下需要做额外的配置。1.6.2.7 测试使用动态令测试登陆网络设备是否成功 使用不同权限用户登陆网络查看命令权限 ACS服务器故障时，使用本地令登陆网络设备1.6.3ACS数据库备份与恢复1.6.3.1 数据库备份对于ACS的数据库(server database)和日志数据库(log database)的 备份，可以设置认证

27、服务器定时按照所选方式将日志数据库保存到归档的文件 中。对 ACS 服务器中的用户、用户组及系统相关配置进行备份，备份的目录更 改为D盘下，这样保证即使损伤系统崩溃，数据资料不受影响。1.6.3.2 数据库恢复管理员可手工操作ACS Server从指定的目录的备份文件恢复用户配置、用 户组配置及系统相关配置，实现ACS的数据库恢复。在console 口通过静态口令和密码来进行登录，如果无法使用ACS方式登录 到网络设备，则在紧急情况下，可以通过进入机房，登录 Console 口，使用静 态口令和密码进行配置,在路由器界面下需要做额外的配置。1.7 操作系统安全加固红色代表可以实施，蓝色代表了解

28、后再讨论确定）1.7.1WINDOWS 操作系统加固编号机器名内部IP地址域名服务器IP操作系统Windows 2008 Server网关IPCPU内存检查日期检查人编号检杳内容检查结果加固建议补丁安装情况1操作系统是否已经安装相关的补丁是无2操作系统是否已经安装了全部的HOTFIX是无3应用程序是否及时进行补丁的更新， 包括Office和IE等是无账户策略4密码是否符合复杂性要求否开启密码复杂性要求5密码长度是否符合要求否启用密码最小长度，最小8位6是否设置了密码最长使用期限否启用密码最长使用期限（不小于30天）7是否设置了帐户锁定阀值否开启帐户锁定，一般5次8是否设定了帐户锁定时间否启用帐

29、户锁定时间9是否设置了复位帐户锁定计数器否启用帐户锁定复位时间10是否将审核策略更改为成功和失败否审核策略更改的成功和失败事件11是否将审核登录事件更改为成功和 失败否审核对登录事件的成功和失败事 件12是否将审核对象访问设置为失败否审核对象访问的失败事件安全设置13当登录时间用完时自动注销用户（启 用）是无14在挂起会话之前所需的空闲时间（小 于等于30分钟）是无15发送未加密的密码到第三方SMB服 务器：（禁用）是无16允许对所有驱动器和文件夹进行软 盘复制和访问（禁用）是无17故障恢复控制台:允许自动系统管理 级登录（禁用）是无18清除虚拟内存页面文件（启用）否建议启用清除虚拟内存页面文

30、件 该项影响：系统在关机时会清除 虚拟内存页面文件19允许系统在未登录前关机（禁用）是无20交互式登录：不显示上次的用户名 （启用）否建议在登录时不显示上次的用户 名注册表安全21抑制 Dr. Watson Crash Dump:HKLMSoftwareMicrosoftDrWatsonCreateCrashDump (REG_DWORD) 0否建议设置CreateCrashDump键值 为0该项影响：系统崩溃时不会生成Dump文件22禁止在任何驱动器上自动运行任何 程序：HKLMSoftwareMicrosoftWindowsCurrentVersionPo liciesExplorerNo

31、DriveTypeAutoRun(REG DWORD) 255否建议创建并设置NoDriveTypeAutoRun 键值为 255 该项影响：在驱动器上无法自动 运行任何程序23用星号掩藏任何的口令输入：HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesNet workHideSharePwds(REG DWORD) 1否建议创建并设置HideSharePwds 键值为124禁止自动执行系统调试器：HKLMSoftware MicrosoftWindows NTCurrentVbrsionAeDebugAuto (REG DWORD) 0否建议

32、创建并设置AeDebugAuto 键值为0该项影响：无系统调试功能25禁止自动登录：HKLMSoftwareMicrosoftWindows NT CurrentVersionWinlogon AutoAdminLogon (REG_DWORD) 0否建议创建并设置AutoAdminLogon 键值为 0 该项影响：开机不会自动登录到 系统，需要用户名密码的认证26禁止在蓝屏后自动启动机器：HKLMSystemCurrentControlSetControlCrashControlAutoReboot (REG DWORD) 0否建议设置CrashControlAutoReboot 键值为 0

33、 该项影响：系统蓝屏后自动启动 机器27禁止CD自动运行：HKLMSystemCurrentControlSetSer vicesCDrom Autorun(REG DWORD) 0否建议设置CDrom Autorun键值 为0该项影响：CD无自动运行功能tt28删除服务器上的管理员共享：HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer (REG DWORD) 0否建议创建并设置AutoShareServer 键值为0该项影响：默认的管理共享关闭29源路由欺骗保护：HKLMSystemCurrent

34、ControlSet ServicesTcpipParametersDisableIPS ourceRouting (REG DWORD) 2否建议创建并设置DisablelPSourceRouting 键值为 2 该项影响：防止源路由欺骗攻击30帮助防止碎片包攻击：HKLMSystemCurrentControlSetServicesTcpipParametersEnablePMTUDiscovery (REG DWORD) 1否建议创建并设置EnablePMTUDiscovery 键值为 1该项影响：防止碎片包攻击31管理keep-alive时间：HKLMSystemCurrentCont

35、rolSetSer vicesTcpipParametersKeepAliveTime(REG DWORD) 300000否建议创建并设置KeepAliveTime键值为300000该项影响：通过设置适当的 Keep-alive时间减少被攻击的可 能32防止SYN Flood攻击：HKLMSystemCurrentControlSet ServicesTcpipParametersSynAttackP rotect (REG DWORD) 2否建议创建并设置SynAttackProtect 键值为2该项影响：防止 SYN Flood攻击33SYN攻击保护-管理TCP半开sockets 的取大数

36、目：HKLMSystemCurrentControlSetSer vicesTcpipParameters TcpMaxHalfOpen (REG_DWORD)100 或 500否建议创建并设置TcpMaxHalfOpen 键值为 100 或500该项影响：防止SYN攻击关闭的服务34Alerter -禁止否建议禁用该服务 该项影响：关闭警报服务，使用NetAlertRaise 或 NetAlertRaiseEx 应用程序编程接口 (API)的应用程 序将无法利用Messenger服务的消 息框向用户或计算机通知管理警报。35Clipbook - 禁止否建议禁用该服务该项影响：剪贴簿杳看器将无

37、法与远 程计算机共享信息，但仍可用于查看 本地剪贴簿。36Computer Browser - 禁 止否建议禁用该服务该项影响：浏览器列表将无法更新或 维护(无法使用网上邻居，但是可以 在运行那里输入IP进行访问，不需 要访问其他计算机共享资源，可以考 虑禁止)37Internet ConnectionSharing - 禁止否建议禁用该服务该项影响：像Internet共享、名称解 析、寻址和/或入侵防范等网络服务 将不可用38Messenger - 禁止否建议禁用该服务该项影响：计算机或当前登录的用户 将无法发送或接收Messenger通知39Rem ote Regis try Servic

38、e -禁止否建议禁用该服务该项影响：只允许在本地计算机中修 改注册表40Routing and RemoteAccess - 禁止是无41Simple Mail Trasfer Protocol(SMTP) -禁止是 系统无此 服务无42Simple NetworkManagementProtocol(SNMP) Service-禁止是 系统无此 服务无43Simple NetworkManagementProtocol(SNMP) Trap - 禁止是 系统无此 服务无44Telnet - 禁止否建议禁用该服务该项影响：远程用户将不能通过 Telnet客户端访问程序45World Wide

39、WebPublishing Service - 禁止否建议禁用该服务该项影响：操作系统将无法处理任何 形式的Web请求（如果不需要iis 服务可以停止掉）其他安全设置46所有的磁盘卷使用NTFS文件 系统是无47已经安装第三方个人版防火 墙否建议安装第三方个人版防火墙48已经安装防病毒软件是无49防病毒软件的特征码和检查 引擎已经更新到最新否及时更新特征码和检查引擎50防病毒软件已设置自动更新否及时更新防病毒软件51系统时间是否正确是无52文件夹共享是否有过大的权 限和帐号是删除所有共享的Everyone用户,按用户 添加最小权限该项影响：恶意用户可以对系统数据 进行非法操作53有无异常的计划

40、任务否无54有无设置屏保密码否建议设置屏幕保护密码55有无打开审计功能否建议打开审计功能56有无设置申计文件大小或保 留时间否建议对文件大小或保留时间开启审计57有无打开不需要的端口（如80、 25、 110）否无58有无禁用Net bios否建议禁用Netbios该项影响：防止系统信息的泄露（会 造成无法解析netbios）59只有本地登录的用户才能访 问 CD-ROM否建议只有本地登录的用户才能访问CD-ROM该项影响：防止远程用户的非法访问图表42 WINDOWS操作系统加固1.7.2交换机加固建议编号物理位置操作系统XXNSHI003生产厂商/型号内部IP地址版本号CISCO 6506

41、人行上海中心机房10.194.30.1CISCO IOS12.2vl8SXDl检查细目编号检查项目检查内容结果建议措施1系统安全是否定期更新操作系统 的版本否定义升级操作系统 版本（没必要定期升 级，升级后的版本可 能不稳定）2口令管理是否修改网络设备的默 认口令否建议措施：修改默认 密码（可以实施，如 修改SNMP的默认 密码）3是否设置口令强度和有 效期否设置口令强度和有 效期（可以定期修改 口令）4是否使用enable secret是无（可以使用enable secret密码，密义传 送，更加安全）5是否使用 service password-encryption是无（如果用 enabl

42、e password，可以使用该服 务,密码加密；如果用 enable secret就不需要使 用该服务）6服务安全是否关闭IP直接广 播是无（默认是关闭的）7是否关闭HTTP设置是无（可以关闭，关闭后不 能WEB管理该设备）8是否封锁ICMPPING请求否无（可以实施，通过ACL 禁止PING，建议不这样 做，经常要用PING检查 网络）9是否控制Telnet访问是控制TELNET访问邙限制访问的IP地 址）（已经通过ACL 实施）10是否禁止CDP否无（可以禁止CDP 协议，但不建议这样 做，检查网络时经常 CDP协议找到邻居 端口）11是否关闭IP源路由否无（不清楚关闭源路 由会不会影响

43、其他 服务）12是否禁用了不必要 的服务否禁用不必要服务（可 以禁用HTTP,IP直 接广播，其它的服务 要视情况而定）13是否限制远程终端 会话是限制远程终端会话 （通过ACL实施了 特定IP登陆）14策略安全是否建立准入、准出 地址过滤策略是设置ACL或在防火 墙上实现该功能（实 施了 ACL限制远程 登陆）15是否制定数据包过 滤策略否可以在防火墙上实 现该功能（需要了解 数据包的类型等）16是否配置了强加密 和密码加密否设置强加密和密码 加密（可以enable secret实施密码加 密）17是否应用Control-plane police 预防DDOS攻击否可以在防火墙上实 现该功能

44、（内网内无 硬件防火墙，边界处 才有防火墙）18是否有完整的系统 日志记录功能，包括AAA、SNMP Trap Syslog、本地日志缓 存否使用部分日志功能（接受SYSLOG日 志）（实施网管平台 后可以将网络设备 的日志转移到网管 服务器上）19是否实施了配置管 理，必要时可将路由 配置恢复到原先状 态是无20OSPF协议使用LOOPBACK是否做ROUTE-ID的标识否无（也可以使用物理口做 ROUTE-ID，即现在用的 情景）21接入层和汇聚层之 间是否米用静态路 由是无22是否存在黑洞路由 即孤立的路由否无23其它设备特权用户的权 限分离，例如将管理 与审计的权限分配 给不同的网络设

45、备 用户。否设置用户权限分离 （管理帐号和查看 帐号分离）（可以实 施，建议不要实施， 因为我们限制了特 定IP登录，不再需 要分权限了）24动态路由协议是否 启用认证功能否启用认证功能（可以 实施，可以启用链路 上OSPF的明文或密 文验证，有效的控制 3层设备的接入，但 实施时要所有网络 设备同时一起启用 认证）25使用SSH代替TELNET否使用SSH代替TELNET （不支持SSH登录）26是否设置Syslog日 志否接收SYSLOG日志（网管平台实施后， 可以收集日志）27VLAN设置是否合理否按部门划分VLAN,按访问需求设置 VLAN访问权限（可 以实施，重新划分VLAN,通过A

46、CL控 制VLAN之间的访 问，但工作量较大， 需商里）28ACL设置是否合理否控制VLAN访问/可 以使用防火墙代理 部分ACL功能（通 过ACL控制VLAN 之间的访问）图表 43 交换机加固建议1.7.3路由器加固建议编号生产厂商/型号CISCO 7606物理位置人行上海中心机房内部IP地址10.194.30.24操作系统CISCO IOS版本号12.2v2XJ检查细目编号检查项目检查内容结果检查记录1系统安全是否定期更新操作系统的版 本否定义升级操作系 统版本（没必要定 期升级，升级后的 版本可能不稳定）2是否修改网络设备的默认口 令否修改默认密码（可 以实施，如修改SNMP的默认密

47、码）3口令管理是否设置口令强度和有效期否设置口令强度和 有效期（可以定期 修改口令）4是否使用enable secret是无5是 否 使用servicepassword-encryption是无6是否关闭IP直接广播是无7服务安全是否关闭HTTP设置是无8是否封锁ICMP PING 请求否无（可以实施，通过 ACL禁止PING，建议 不这样做，经常要用 PING检查网络）9是否控制Telnet访问否控制TELNET访 问邙限制访问IP）（可以通过ACL 限制访问IP）10是否禁止CDP否无（可以禁止CDP协 议，但不建议这样做， 检查网络时经常CDP 协议找到邻居端口）11是否关闭IP源路由否

48、无（不清楚关闭源路由 会不会影响其他服务）12是否禁用了不必要的服 务否禁用不必要服务 （可以禁用HTTP,IP 直接广 播，其它的服务要 视情况而定）13是否限制远程终端会话否限制远程终端会 话（可以通过ACL 实施了特定IP登 陆）14策略安全是否建立准入、准出地 址过滤策略否设置ACL或在防 火墙上实现该功 能（实施了 ACL 限制远程登陆）15是否制定数据包过滤朿 略否可以在防火墙上 实现该功能（可以 在天融信防火墙 上实施）16是否配置了强加密和密 码加密是设置强加密和密 码加密（可以 enable secret 实施 密码加密）17是否应用 Control-plane police

49、预防DDOS攻击否可以在防火墙上 实现该功能（可以 在天融信防火墙 上实施）18是否有完整的系统日志 记录功能，包括AAA、SNMP Trap Syslog、本 地日志缓存否使用部分日志功 能（接受SYSLOG 日志）（实施网管 平台后可以将网 络设备的日志转 移到网管服务器 上）19是否实施了配置管理， 必要时可将路由配置恢 复到原先状态是无20OSPF 协议使用LOOPBACK 是否做ROUTE-ID的标识否无（接入层交换机为2 层，OSPF为3层路由 协议）21接入层和汇聚层之间是 否米用静态路由是无22是否存在黑洞路由即孤 立的路由否无23其它设备特权用户的权限分 离，例如将管理与审计 的权限分配给不同的网 络设备用户。否设置用户权限分 离（管理用户和查 看用户分离）（可 以实施）24动态路由协议是否启用 认证功能否2层交换机不能启 用动态路由认证25使用SSH代理TELNET否使用SSH代替TELNET （不支持SSH登录）26是否设置Syslog日志否接受SYSLOG日 志（网管平台实施 后，可以收集日 志）27ACL设置是否合理否控制访问权限或 使用防火墙代理 部分ACL功能（可 以实施）图表 44 路由器加固建议