NO

檢查類別

檢查項目

檢查要點

檢查對象

檢查方法

判斷條件

1

設(shè)備訪問控制

用戶認(rèn)證方式

啟用本地或AAA認(rèn)證，查看登錄認(rèn)證方式，如本地帳戶口令、認(rèn)證服務(wù)器等。

核心域

使用show running-config查看相關(guān)信息

符合：檢查配置文件中

[hostname]#show running-config 

…

 aaa authentication login $(AAA_LIST_NAME) local

aaa authentication enable default enable

或

username $(LOCAL_USERNAME)  privilege (ID)password或同等配置信息

不符合：無相關(guān)信息 

2

定義會話超時時間

配置定時帳戶自動登出，會話空閑一定時間后自動登出。（建議超時設(shè)置為5分鐘）

核心域

參考配置操作

user-interface vty 0 4

idle-timeout 5 0

user-interface con 0

idle-timeout 5 0

符合：參考配置操作

user-interface vty 0 4

idle-timeout 5 0

user-interface con 0

idle-timeout 5 0

或同等配置信息

不符合：未配置帳號自動登出

3

遠(yuǎn)程安全管理方式訪問設(shè)備

啟用了SSH，建議禁用TELNET（根據(jù)實際情況酌情考慮），且遠(yuǎn)程管理(VTY)的登錄源地址必須采取ACL進(jìn)行限制或指定固定管理IP。針對不支持的設(shè)備請說明品牌、型號、軟件版本。

核心域

使用show running-configuration命令或相關(guān)命令查看相關(guān)信息

符合：查看配置中VTY訪問是否有ACL控制措施：

[hostname]display current-configuration 

…

user-interface vty 0 4

acl XXXX inbound或同等配置信息

不符合：無相關(guān)信息

4

賬戶管理

檢查無用帳號和權(quán)限分配

1、應(yīng)刪除或鎖定與設(shè)備運行、維護(hù)等工作無關(guān)的帳號。

2、不同等級管理維護(hù)人員，分配不同帳號，避免帳號混用。

核心域

檢查配置文件中

[hostname]#show running-config 

username $(LOCAL_USERNAME) privilege password LOCAL_PASSWORD字段或相關(guān)命令查看相關(guān)信息

符合：抽查資產(chǎn)表中的3臺網(wǎng)絡(luò)設(shè)備，登錄4A系統(tǒng)及設(shè)備進(jìn)行帳號比對，分析是否有無用帳號（未分配給任何自然人的從帳號）。或同等配置信息

不符合：無相關(guān)信息

5

密碼管理

口令加密并定期更換

開啟密碼加密服務(wù)，并定期更新

核心域

查看配置文件是否采用了相應(yīng)的鑒別信息保護(hù)措施：

[hostname]show running-config

service password-encryption

 epassword +WumoGDbE75GFYyp+R47Mg==，或相關(guān)命令查看相關(guān)信息

符合：查看配置文件是否采用了相應(yīng)的鑒別信息保護(hù)措施

[hostname]show running-config

service password-encryption

不符合：無相關(guān)信息

6

日志管理

log服務(wù)

指定日志服務(wù)器

核心域

查看配置文件中l(wèi)ogging on(enable)、logging [ip add]

或相關(guān)命令查看相關(guān)信息

符合：查看配置文件中l(wèi)ogging on(enable)、logging [ip add]

或同等配置信息

不符合：無相關(guān)信息

7

系統(tǒng)設(shè)置日志的時間戳

應(yīng)為日志打上時間戳

核心域

查看配置文件中l(wèi)ogging timestamp項

[hostname]#show running-config 

logging timestamp

或相關(guān)命令查看相關(guān)信息

符合：查看配置文件中l(wèi)ogging timestamp項

[hostname]#show running-config 

logging timestamp或同等配置信息

不符合：無時間戳

8

系統(tǒng)配置日志級別

LOG應(yīng)定義級別

核心域

查看配置文件中l(wèi)ogging facility [20]項或相關(guān)命令查看相關(guān)信息

符合：查看配置文件中l(wèi)ogging facility [20]項或同等配置信息

不符合：無相關(guān)配置

9

服務(wù)管理

修改SNMP只讀字串或可寫字串

SNMP規(guī)則匹配snmp-server community **** RO

核心域

查看配置文件中

[hostname]#show running-config

snmp-server community **** RO/RW或相關(guān)命令查看相關(guān)信息

符合：查看配置文件中

[hostname]#show running-config

snmp-server community **** RO/RW或同等配置信息

不符合：無相關(guān)信息

10

NTP服務(wù)或本地時間管理

指定NTP服務(wù)器或校對本地時間

核心域

查看配置文件：

[hostname]#show running-config

ntp server *.*.*.*

[hostname]#show clock

檢查是否與當(dāng)前時間一致或相關(guān)命令查看相關(guān)信息

符合：查看配置文件：

[hostname]#show running-config

ntp server *.*.*.*

[hostname]#show clock

檢查是否與當(dāng)前時間一致或同等配置信息

不符合：無相關(guān)信息

11

http服務(wù)

http關(guān)閉

核心域

查看配置文件不能出現(xiàn)：

[hostname]#show running-config 

ip http server或相關(guān)命令查看相關(guān)信息

符合：查看配置文件中是否有no ip http server字段

[hostname]#show running-config 

no ip http server或同等配置信息

不符合：開啟了http服務(wù)

12

FTP、TFTP服務(wù)

FTP、TFTP服務(wù)關(guān)閉

核心域

查看配置文件不能出現(xiàn)：

[hostname]#show running-config 

ip ftp-server

ip tftp-server或相關(guān)命令查看相關(guān)信息

符合：查看配置文件中不包括ip ftp-server enable或ip tftp-server或同等配置信息

不符合：配置文件中包括ip ftp-server enable或ip tftp-server

13

DNS服務(wù)

禁用DNS解析服務(wù)

核心域

查看配置文件不能出現(xiàn)：

[hostname]#show running-config 

ip domain-lookup或相關(guān)命令查看相關(guān)信息

符合：檢查配置文件中是否有

[hostname]#show running-config 

no ip domain-lookup或同等配置信息

不符合：開啟DNS解析服務(wù)

14

small tcp和udp服務(wù)

禁用small tcp and udp service，，針對不滿足的設(shè)備應(yīng)進(jìn)行原因說明

核心域

查看配置文件不能出現(xiàn)：

[hostname]#show running-config 

service tcp-small-servers

service udp-smail-servers或相關(guān)命令查看相關(guān)信息

符合：查看配置文件是否有

[hostname]#show running-config 

no service tcp-small-servers

no service udp-smail-servers或同等配置信息

不符合：開啟了small tcp和udp服務(wù)

15

finger服務(wù)

禁用finger服務(wù)，針對不滿足的設(shè)備應(yīng)進(jìn)行原因說明

核心域

查看配置文件不能出現(xiàn)：

[hostname]#show running-config

finger或相關(guān)命令查看相關(guān)信息

符合：查看配置文件中是否有

[hostname]#show running-config

no finger或同等配置信息

不符合：開啟finger

16

bootp服務(wù)

禁用bootp服務(wù)，針對不滿足的設(shè)備應(yīng)進(jìn)行原因說明

核心域

查看配置文件不能出現(xiàn)：

[hostname]#show running-config

ip bootp server或相關(guān)命令查看相關(guān)信息

符合：查看配置文件中是否有

[hostname]#show running-config

no ip bootp server或同等配置信息

不符合：開啟bootp服務(wù)

17

關(guān)閉IP源路由協(xié)議

IP源路由協(xié)議應(yīng)關(guān)閉，針對不滿足的設(shè)備應(yīng)進(jìn)行原因說明

核心域

查看配置文件不能出現(xiàn)：

[hostname]#show running-config 

ip source-route或相關(guān)命令查看相關(guān)信息

符合：查看配置文件中

[hostname]#show running-config 

no ip source-route或同等配置信息

不符合：開啟IP源路由協(xié)議

18

禁止arp-proxy

ARP代理禁用，針對不滿足的設(shè)備應(yīng)進(jìn)行原因說明。

核心域

查看配置文件中不能出現(xiàn)：

[hostname]#show running-config 

ip arp-proxy或相關(guān)命令查看相關(guān)信息

符合：查看配置文件中no arp-proxy項

[hostname]#show running-config 

no ip arp-proxy

不符合：開啟ARP代理

19

關(guān)閉IP Directed Broadcast

IP Directed Broadcast應(yīng)關(guān)閉，針對不滿足的設(shè)備應(yīng)進(jìn)行原因說明

核心域

查看配置文件中不能出現(xiàn)：

[hostname]#show running-config 

ip directed-broadcast或相關(guān)命令查看相關(guān)信息

符合：查看配置文件中IP Directed Broadcast項

[hostname]#show running-config 

no ip directed-broadcast或同等配置信息

不符合：IP Directed Broadcast

20

端口管理

shutdown未使用的網(wǎng)絡(luò)接口

明確關(guān)閉不使用的網(wǎng)絡(luò)接口，如路由器的AUX口、及其它網(wǎng)絡(luò)接口等，但不包含管理口等特殊接口。

核心域

使用show running-config或相關(guān)命令查看相關(guān)信息查看相關(guān)信息

符合：使用show running-config命令，如下例：

router#show running-config

Building configuration...

Current configuration:

!

…

line aux 0

no exec

transport input none

exit或同等配置信息

不符合：未使用的接口未關(guān)閉