安全检查表网络设备.doc

网络设备安全检查表(评估人员内部使用)说明：1. 结果：是：有此问题否：没有此问题不适用：此问题对检查对象不适用没检查：没有针对此问题进行检查2. 等级：高：迫切需要近期内解决，如：1年以内中：需要解决，但时间可以宽限，如：2-3年内低：看情况解决，没有时间限制或时间可以较长，如：4年以上对象名称管理员联系方式检查者检查日期结果统计高中低小计对象描述系统使命（含物理、逻辑位置描述）对象IP硬件平台操作系统及版本编号检查对象问题核查活动等级结果1 通用检查1.1设备的改变（配置、位置、更新等）是否有变更程序？设备是否安装最新的修补程序和更新程序？是否具有针对设备的物理访问控制？是否更改设备厂商（或集成商）设置的默认管理账号或口令？是否设置严格的设备管理账号及密码？是否删除不必要的管理账号？是否设置登陆失败保护（失败阀值）?当前设备管理账号及密码是否与其它设备相同？管理密码是否显示为明文？设备管理账号及密码是否被记录下来并被妥善保管？是否关闭设备上不需要的端口及服务？设备管理是否采用带外或直连方式？对于设备带内管理是否具有增强安全手段？（双因素认证、限制管理IP或通讯加密等）管理登录是否显示警告消息？（Banner）管理控制台是否设置超时？是否禁止不需要的配置端口？（如：AUX、VTY）配置是否文档化？是否有完备的设备访问和维护日志记录？是否将日志放到一台专门的日志主机？是否定期审查日志？2 路由器2.1是否采用静态路由？动态路由更新是否开启鉴别？（RIP2、OSPF等有效）用于动态路由更新鉴别的密钥是否定期更新？是否利用SSH代替telnet进行远程管理？是否在边界禁止CDP协议？（仅对CISCO有效）是否禁用未使用的服务（如 TFTP、Finger、HTTP、TCP/UDP Small、BootP）？是否加载本地配置？是否禁止IP源路由？是否禁止ARP代理？是否禁止IP Directed Broadcast及IP Classless？是否屏蔽所有不需要的ICMP？是否使用NTP同步时间？在使用主机名称与其它设备（路由器/交换机）进行通讯时是否配置DNS服务器？SNMP服务是否限制访问IP为内部授权地址？是否在外部接口上禁止SNMP通讯？SNMP是否设置为只读模式？（或对SNMP的写操作是否有控制？）在出入口上是否设置包过滤（访问控制列表ACL）？是否记录违反包过滤策略的事件？在边界路由器入口上是否设置过滤私有地址包（防止地址欺骗）？在边界路由器出口上是否设置单播逆向路径转发（uRPF）过滤非法源地址包（防止进行DDOS攻击，需要开启CEF或FPC）？是否开启针对网络的SYN-FLOOD防护？（仅限于有此功能的路由器，采用代理、三次握手监控或SYN包统计技术，需要设置链接建立时间阀值[默认30s-10s]、非活动链接保持时间阀值[默认24H-60s]、SYN包流量速率等）是否开启针对路由器的SYN-FLOOD防护？（仅限于有此功能的路由器，采用代理、三次握手监控或SYN包统计技术，需要设置链接建立时间阀值[默认30s-10s]、非活动链接保持时间阀值[默认24H-60s]、SYN包流量速率等）是否配置阻止常见的DDOS（或其它网络）攻击？是否限制对日志的访问？3 交换机3.1是否利用单独的VLAN号进行带内管理？是否利用SSH代替telnet进行远程管理？是否设置MAC地址与端口绑定？是否关闭没有使用的交换机端口？VLAN划分是否合理？是否使用NTP同步时间？是否采用802.1x认证?4 防火墙4.1防火墙是否获得相关部门证书？是否在组织局域网边界采用双层异构防火墙？防火墙是否设置DMZ？是否采用默认禁止访问策略？防火墙规则设置是否合理？是否正确设置应用过滤规则？（仅对应用层防火墙有效）是否开启各种防攻击功能（DDOS、DOS等）？是否禁用未使用的服务（如 TFTP、Finger、HTTP）？是否屏蔽所有不需要的ICMP？SNMP服务是否限制访问IP为内部授权地址？是否在外部接口上禁止SNMP通讯？SNMP是否设置为只读模式？（或对SNMP的写操作是否有控制？）是否记录违反包过滤策略的事件？是否设置过滤私有地址包（防止地址欺骗）？是否记录违反策略的事件并定期审核这些事件？5 其它5.1。