NO | 检查类别 | 检查项目 | 检查要点 | 检查对象 | 检查方法 | 判断条件 |
1 | 设备访问控制 | 用户认证方式 | 启用本地或AAA认证,查看登录认证方式,如本地帐户口令、认证服务器等。 | 核心域 | 使用show running-config 查看相关信息 | 符合:检查配置文件中 [hostname]#show running-config … aaa authentication login $(AAA_LIST_NAME) local aaa authentication enable default enable 或 username $(LOCAL_USERNAME) privilege (ID)password或同等配置信息 不符合:无相关信息 |
2 | 定义会话超时时间 | 配置定时帐户自动登出,会话空闲一定时间后自动登出。(建议超时设置为5分钟) | 核心域 | 参考配置操作 user-interface vty 0 4 idle-timeout 5 0 user-interface con 0 idle-timeout 5 0 | 符合:参考配置操作 user-interface vty 0 4 idle-timeout 5 0 user-interface con 0 idle-timeout 5 0 或同等配置信息 不符合:未配置帐号自动登出 |
3 | 远程安全管理方式访问设备 | 启用了SSH,建议禁用TELNET(根据实际情况酌情考虑),且远程管理(VTY)的登录源地址必须采取ACL进行限制或指定固定管理IP。针对不支持的设备请说明品牌、型号、软件版本。 | 核心域 | 使用show running-configuration命令或相关命令查看相关信息 | 符合:查看配置中VTY访问是否有ACL控制措施: [hostname]display current-configuration … user-interface vty 0 4 acl XXXX inbound或同等配置信息 不符合:无相关信息 |
4 | 账户管理 | 检查无用帐号和权限分配 | 1、应删除或锁定与设备运行、维护等工作无关的帐号。 2、不同等级管理维护人员,分配不同帐号,避免帐号混用。 | 核心域 | 检查配置文件中 [hostname]#show running-config username $(LOCAL_USERNAME) privilege password LOCAL_PASSWORD字段或相关命令查看相关信息 | 符合:抽查资产表中的3台网络设备,登录4A系统及设备进行帐号比对,分析是否有无用帐号(未分配给任何自然人的从帐号)。或同等配置信息 不符合:无相关信息 |
5 | 密码管理 | 口令加密并定期更换 | 开启密码加密服务,并定期更新 | 核心域 | 查看配置文件是否采用了相应的鉴别信息保护措施: [hostname]show running-config service password-encryption epassword +WumoGDbE75GFYyp+R47Mg==,或相关命令查看相关信息 | 符合:查看配置文件是否采用了相应的鉴别信息保护措施 [hostname]show running-config service password-encryption 不符合:无相关信息 |
6 | 日志管理 | log服务 | 指定日志服务器 | 核心域 | 查看配置文件中logging on(enable) 、logging [ip add] 或相关命令查看相关信息 | 符合:查看配置文件中logging on(enable) 、logging [ip add] 或同等配置信息 不符合:无相关信息 |
7 | 系统设置日志的时间戳 | 应为日志打上时间戳 | 核心域 | 查看配置文件中logging timestamp 项 [hostname]#show running-config logging timestamp 或相关命令查看相关信息 | 符合:查看配置文件中logging timestamp 项 [hostname]#show running-config logging timestamp或同等配置信息 不符合:无时间戳 |
8 | 系统配置日志级别 | LOG应定义级别 | 核心域 | 查看配置文件中logging facility [20] 项或相关命令查看相关信息 | 符合:查看配置文件中logging facility [20] 项或同等配置信息 不符合:无相关配置 |
9 | 服务管理 | 修改SNMP只读字串或可写字串 | SNMP 规则匹配snmp-server community **** RO | 核心域 | 查看配置文件中 [hostname]#show running-config snmp-server community **** RO/RW或相关命令查看相关信息 | 符合:查看配置文件中 [hostname]#show running-config snmp-server community **** RO/RW或同等配置信息 不符合:无相关信息 |
10 | NTP服务或本地时间管理 | 指定NTP服务器或校对本地时间 | 核心域 | 查看配置文件: [hostname]#show running-config ntp server *.*.*.* [hostname]#show clock 检查是否与当前时间一致或相关命令查看相关信息 | 符合:查看配置文件: [hostname]#show running-config ntp server *.*.*.* [hostname]#show clock 检查是否与当前时间一致或同等配置信息 不符合:无相关信息 |
11 | http服务 | http关闭 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip http server或相关命令查看相关信息 | 符合:查看配置文件中是否有no ip http server字段 [hostname]#show running-config no ip http server或同等配置信息 不符合:开启了http服务 |
12 | FTP、TFTP服务 | FTP、TFTP服务关闭 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip ftp-server ip tftp-server或相关命令查看相关信息 | 符合:查看配置文件中不包括ip ftp-server enable或ip tftp-server或同等配置信息 不符合:配置文件中包括ip ftp-server enable或ip tftp-server |
13 | DNS服务 | 禁用DNS解析服务 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip domain-lookup或相关命令查看相关信息 | 符合:检查配置文件中是否有 [hostname]#show running-config no ip domain-lookup或同等配置信息 不符合:开启DNS解析服务 |
14 | small tcp和udp服务 | 禁用small tcp and udp service,,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config service tcp-small-servers service udp-smail-servers或相关命令查看相关信息 | 符合:查看配置文件是否有 [hostname]#show running-config no service tcp-small-servers no service udp-smail-servers或同等配置信息 不符合:开启了small tcp和udp服务 |
15 | finger服务 | 禁用finger服务,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config finger或相关命令查看相关信息 | 符合:查看配置文件中是否有 [hostname]#show running-config no finger或同等配置信息 不符合:开启finger |
16 | bootp服务 | 禁用bootp服务,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip bootp server或相关命令查看相关信息 | 符合:查看配置文件中是否有 [hostname]#show running-config no ip bootp server或同等配置信息 不符合:开启bootp服务 |
17 | 关闭IP源路由协议 | IP源路由协议应关闭,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip source-route或相关命令查看相关信息 | 符合:查看配置文件中 [hostname]#show running-config no ip source-route或同等配置信息 不符合:开启IP源路由协议 |
18 | 禁止arp-proxy | ARP代理禁用,针对不满足的设备应进行原因说明。 | 核心域 | 查看配置文件中不能出现: [hostname]#show running-config ip arp-proxy或相关命令查看相关信息 | 符合:查看配置文件中no arp-proxy项 [hostname]#show running-config no ip arp-proxy 不符合:开启ARP代理 |
19 | 关闭IP Directed Broadcast | IP Directed Broadcast应关闭,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件中不能出现: [hostname]#show running-config ip directed-broadcast或相关命令查看相关信息 | 符合:查看配置文件中IP Directed Broadcast项 [hostname]#show running-config no ip directed-broadcast或同等配置信息 不符合:IP Directed Broadcast |
20 | 端口管理 | shutdown未使用的网络接口 | 明确关闭不使用的网络接口,如路由器的AUX口、及其它网络接口等,但不包含管理口等特殊接口。 | 核心域 | 使用show running-config 或相关命令查看相关信息查看相关信息 | 符合:使用show running-config命令,如下例: router#show running-config Building configuration... Current configuration: ! … line aux 0 no exec transport input none exit或同等配置信息 不符合:未使用的接口未关闭 |