网络设备本身的安全性管理
Cisco的设备具有良好的内置安全性。Cisco网络设备配置Cisco IOS安全特性。通过Cisco IOS 安全特性的配置,使我们的网络能够避免有意和无意的攻击,避免由于合法用户的误操作造成的数据丢失或泄露,从而保护网络系统的安全。口令保护,口令的级别,口令加密,移除不安全的SNMP字符串。可以保证设备本身的高安全性。
使用enable secret命令,而不是使用enable password命令
控制端口连接到网络应该考虑一下访问控制的问题。
所有虚拟终端的端口应用上访问列表和口令保护,使用访问列表来限制通过Telnet进入路由器的用户。
如果没有必要的话,不要使用任何本地服务(例如SNMP、CDP和NTP)。
特殊需求人员安全要求:
对一些特殊需求人员,我们把他们归入一个特别的网段,通过ACCESS-LIST等多种技术,我们可以实现单向发起通讯,可以实现其他用户不可访问这个特殊网段,但是这个网段的特殊需求人员可以访问外面的多个网段,包括系统服务器网段以及公共服务器网段。为了不允许其它的用户非法连接到其物理交换端口,我们在其物理端口上设置端口安全(Port Secure)技术,这样可有效保护设备的物理端口安全。
统一办公网络安全要求:
有多个机关单位在同一个地方办公(中区一楼大厅),每个机关单位都有一个或多个员工在一起办公,他们通过其物理布线连接到各自的单位网络。为了确保每个单位不会错用、混用或者故意连接到另单位的网络,除了常规的密码验证措施外,要求在每单位的物理接线盒上醒目清楚地表明单位所属,并在交换机上作好端口安全(PORT SECURE)技术,以确保各单位的网络安全。使非本单位的成员无法连接到该单位的网络。
机要网安全要求:
各机关单位的机要人员各自在各单位的独立的网段里,这些网段可以方便实现互连互通。对一些保密的资料,我们采取AAA等特殊认证方式,以及通过加密传输等技术予于实现。确保其它无关人员从网络网段级别、用户认证级别以及网络传输级别均无法予于攻击,确保机要人员的网络安全。
