信息安全等级保护制度-十堰太和医院课件

1、医疗卫生行业信息安全等级保护实施体系化方法东风总医院冯淑凯医疗卫生行业信息安全等级保护实施体系化方法东风总医院冯淑主要内容 信息安全等级保护制度 信息安全等级保护的体系化实施主要内容 信息安全等级保护制度 信息安全等级保护的体信息安全等级保护制度 信息安全等级保护制度的提出 信息安全等级保护发展现状 信息安全等级保护体系信息安全等级保护制度 信息安全等级保护制度的提出 信信息安全等级保护制度的提出 计算机病毒、黑客攻击、软硬件故障等信息安全问题给各类组织造成了极大的风险 信息安全问题不仅仅是组织自身的事情，也涉及到国家和社会安全 基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系

2、统的安全尤为重要信息安全等级保护制度的提出 计算机病毒、黑客攻击、软硬件信息安全等级保护制度的提出 1994年，国务院发布了中华人民共和国计算机信息系统安全保护条例（147号令） 条例第九条明确规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。 1999年9月13日，计算机信息系统安全保护等级划分准则（GB17859-1999）发布，是我国计算机信息系统安全保护等级工作的基础2003年，国家信息化领导小组关于加强信息安全保障工作的意见（27号）明确指出“实行信息安全等级保护”信息安全等级保护制度的提出2003年，国家信息信息安全等级保

3、护制度的提出 2004年，公安部、保密局、密码管理局、国信办联合印发了关于信息安全等级保护工作的实施意见（66号文件），明确了等级保护的原则、内容、要求以及部门分工和实施计划 2007年，公安部、保密局、密码管理局、国信办联合制定了信息安全等级保护管理办法，标志着我国等级保护制度的初步形成信息安全等级保护制度的提出 2004年，公安部、保密局、信息安全等级保护制度 信息安全等级保护制度的提出 信息安全等级保护发展现状 信息安全等级保护体系信息安全等级保护制度 信息安全等级保护制度的提出 信信息安全等级保护发展现状 测评工作 公信安2010303号关于推动信息安全等级保护测评体系建设和开展等级测

4、评工作的通知，要求2010年底前完成测评体系建设，并完成30%第三级（含）以上信息系统的测评工作，2011年底前完成第三级（含）以上信息系统的测评工作，2012年底之前完成第三级（含）以上信息系统的安全建设整改工作。信息安全等级保护发展现状 测评工作 公信安20103信息安全等级保护制度 信息安全等级保护制度的提出 信息安全等级保护发展现状 信息安全等级保护体系信息安全等级保护制度 信息安全等级保护制度的提出 信信息安全等级保护标准体系 安全等级保护划分准则 GB17859-1999 我国等级保护制度的基础性标准，规定了计算机信息系统安全保护能力的五个级别第一级：用户自主保护级第二级：系统审计

5、保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级 针对每个级别，详细列出了等级划分准则信息安全等级保护标准体系第一级：用户自主保护级 信息安全等级保护标准体系 信息系统安全保护等级定级指南GB/T 22240-2008 用于指导信息系统的建设单位和运营、使用单位如何对确定的信息系统进行定级，为信息系统等级保护的实施提供基础和依据 定级要素 受侵害的客体：a）公民、法人和其他组织的合法权益；b）社会秩序、公共利益；c）国家安全 对客体的侵害程度：a）造成一般损害；b）造成严重损害；c）造成特别严重损害。信息安全等级保护标准体系 信息系统安全保护等级定级指南信息安全等级保护标

6、准体系 信息系统安全保护等级定级指南GB/T 22240-2008对客体的侵害程度受侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全一般损害第一级第二级第三级严重损害第二级第三级第四级特别严重损害第二级第四级第五级信息安全等级保护标准体系受侵害的客体一般损害严重损害特别严业务信息安全和系统服务安全信息系统与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。业务信息安全和系统服务安全信息系统与之

7、相关的受侵害客体和对客两种安全的定义对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏，其中：信息安全是指确保信息系统内信息的保密性、完整性和可用性等；系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标；由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后，可能产生以下危害后果：影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财产损失；造成社会不良影响；对其他组织和个人造成损失；其他影响。两种安全的定义对客体的侵害外

8、在表现为对定级对象的破坏，其危害定级流程定级流程信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 针对每个等级的信息系统提出相应安全保护要求，这些要求的实现能够保证系统达到相应等级的基本保护能力 用途 为信息系统的建设单位和运营、使用单位如何对确定等级的信息系统进行保护提供技术指导 为信息系统主管部门、信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据 为监管部门的监督检查提供依据信息安全等级保护标准体系 信息系统安全等级保护基本要求信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 基本技术

9、类要求 与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现 基本管理类要求 与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现信息安全等级保护标准体系 信息系统安全等级保护基本要求信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 基本技术类要求的三种类型 保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）； 保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A） 通用安

10、全保护类要求（简记为G）信息安全等级保护标准体系 信息系统安全等级保护基本要求信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 不同等级的信息系统应具备的基本安全保护能力 第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。 第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损

11、害后，能够在一段时间内恢复部分功能。信息安全等级保护标准体系 信息系统安全等级保护基本要求信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 不同等级的信息系统应具备的基本安全保护能力 第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。 第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重

12、的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。信息安全等级保护标准体系 信息系统安全等级保护基本要求信息安全等级保护标准体系 其他已发布的重要信息安全等级保护国家标准 信息安全技术 信息系统安全管理要求GB/T 20269-2006 信息安全技术 信息系统安全通用技术要求GB/T 20271-2006 信息安全技术 信息系统安全工程管理要求GB/T 20282-2006信息安全等级保护标准体系 其他已发布的重要信息安全等级保主要内容 信息安全等级保护制度 信息安全等级保护的体系化实施主要内容 信息安全等级保护制度 信

13、息安全等级保护的体信息安全等级保护的体系化实施 体系化管理方法 信息安全等级保护工作的体系化需求 信息安全等级保护工作的体系化总体实施流程信息安全等级保护的体系化实施 体系化管理方法 信息安-从管理的定义说起体系化管理方法 什么是管理？-从管理的定义说起体系化管理方法administeradministrationadministratormanagemanagementmanager18世纪工业革命（1700S）体系化管理方法“管”中国古代春秋战国康熙19年（1680）-从管理的定义说起“理”管理administermanage18世纪体系化管理方体系化管理方法-从管理的定义说起 管理的定义

14、 ISO9000:2000 质量管理体系 基础和术语 管理management：指挥和控制组织的协调的活动 管理学 管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达成组织目标的过程。 管理是一种理论，也可以说是一种方法或工具，与具体业务相结合的时候，便形成不同领域、不同门类的管理科学，例如经济管理、质量管理、信息安全管理等体系化管理方法-从管理的定义说起 管理的定义体系化管理方法-管理的体系化 质量管理领域率先提出体系化方法 质量管理的体系化方法衍生于军品的质量保证要求 1979年，ISO成立了质量管理和质量保证技术委员会负责制定质量管理和质量保证标准，1987

15、年发布了ISO9000质量管理和质量保证标准选择和使用指南、ISO9001质量体系 设计开发、生产、安装和服务的质量保证模式以及ISO9002、ISO9003、ISO9004等标准 质量管理的体系化模式取得广泛应用之后，体系化方法也逐渐在其他领域运用，例如环境管理领域、职业健康安全管理领域等，这种管理的体系化方法也逐渐发展为一个特殊的领域，即管理体系体系化管理方法-管理的体系化 质量管理领域率先提出体系化体系化管理方法-管理的体系化图释增值活动信息流体系化管理方法-管理的体系化图释增值活动体系化管理方法-管理的体系化要素 在管理体系方法中，应用了下列要素： 过程方法 PDCA模型 管理职责 资

16、源管理 持续改进等体系化管理方法-管理的体系化要素 在管理体系方法中，应用体系化管理方法-过程方法 过程 process 一组将输入转化为输出的相互关联或相互作用的活动 过程方法 process approach 系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称为过程方法。体系化管理方法-过程方法 过程 process-过程方法记 录体系化管理方法责任人输入资 源测量、改进输出-过程方法记 录体系化管理方法测量、改进体系化管理方法-PDCA模型 PDCA模型：持续改进的优秀方法A PC D体系化管理方法-PDCA模型 PDCA模型：持续改进的优体系化管理方法-PDCA模型 P

17、DCA模型：持续改进的优秀方法 又称戴明环， PDCA循环是能使任何一项活动有效进行的工作程序：策划实施检查处置体系化管理方法-PDCA模型 PDCA模型：持续改进的优体系化管理方法-PDCA模型 PDCA的特点一 按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环PDAC体系化管理方法-PDCA模型 PDCA的特点一PA体系化管理方法-PDCA模型 PDCA的特点二 组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题PDACA PC DA PC D体系化管理方法-PDCA模型 PDCA的特点二PAA 体系化管理方法-PDCA模型 PDCA的特点

18、三 每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环PAC DPAC D体系化管理方法-PDCA模型 PDCA的特点三PAC 体系化管理方法-管理职责 管理职责是指管理活动中，管理者应该具备的职责要求 有人认为这应该是一个很简单的活动 质量管理中，当质量与进度产生冲突时，往往是质量让进度！ 信息安全管理中，安全与方便性、安全与日常习惯发生矛盾时，安全管理如何保证？ 管理职责的重要性就在于此，作为管理者，在任何时刻都应毫无疑义的坚持管理的要求体系化管理方法-管理职责 管理职责是指管理活动中，管理者体系化管理方法-资源管理 在整个管理活动中，如何分配人员、能否保证资金

19、、如何配备物品，是影响实现管理目标的关键要素 人员无疑是资源管理中最难控制的部分 人员的评价：是否满足岗位的要求 人员的培训：确定需求、实施培训、培训效果评价 人员的持续发展：确保人员能够一直满足岗位要求体系化管理方法-资源管理 在整个管理活动中，如何分配人员体系化管理方法-持续改进 不断对管理活动进行检查，发现问题及时采取改进措施，从而实现持续的改进 检查方式 内部审核 管理评审等 改进措施 纠正措施：为消除已发现的不符合或其他不期望情况的原因所采取的措施 预防措施：为消除潜在不符合或其他潜在不期望情况的原因所采取的措施体系化管理方法-持续改进 不断对管理活动进行检查，发现问信息安全等级保护

20、的体系化实施 体系化管理方法 信息安全等级保护工作的体系化需求 信息安全等级保护工作的体系化总体实施流程信息安全等级保护的体系化实施 体系化管理方法 信息安信息安全等级保护工作的体系化需求 信息安全等级保护工作的特点 过程多：包括定级备案、建设改建、等级测评、自查、检查等诸多过程 内容繁杂：涉及到系统的物理安全、网络安全、主机安全、系统安全、应用安全、数据安全以及安全管理制度、管理机构、人员管理、系统建设管理、系统运维管理等各个层面 涉及面广：等级保护工作将覆盖组织的多个部门，包括系统建设部门、运维部门、使用部门以及行政、人力、财务等部门 应该采用体系化方法来实施等级保护工作信息安全等级保护工

21、作的体系化需求 信息安全等级保护工作的信息安全等级保护工作的体系化需求 等级保护工作的出发点在于对信息系统进行定级和分级保护，围绕着信息系统而实施一系列的保护活动 但一般情况下，信息系统运营、使用单位都会存在多个信息系统，这些信息系统可能处于不同级别 因此，更应该采用体系化方法来统一规划整个单位的信息安全工作信息安全等级保护工作的体系化需求 等级保护工作的出发点在信息安全等级保护工作的体系化需求 信息安全等级保护工作的定级备案、建设改建、等级测评、自查、检查等过程，体现了部分体系化要素，最明显的就是采用了过程方法和PDCA的一些思想 定级备案、建设改建、等级测评等过程均基于过程的概念，通过使用

22、相关的资源以及管理活动，将输入转化为输出，例如定级工作的输入是系统的相关建设管理文档，而输出是系统级别 不同过程之间相互关联，例如定级备案过程的输出：系统级别，是后续建设改建、测评、检查等过程的输入 每个过程都包含不同的子过程，例如定级过程包括系统分析、等级确定两个子过程信息安全等级保护工作的体系化需求 信息安全等级保护工作信息安全等级保护工作的体系化需求 从整体来看等级保护的工作，也体现出了PDCA模型的一些特点 建设和整改包含系统的规划和设计，即P（规划）阶段的内容 规划工作的具体实施，以及系统的运行属于D（实施）阶段的内容 测评、自查和检查等活动都可作为C（检查）阶段的工作内容 对于发现

23、的问题，需要及时整改，即A（处置）阶段的工作内容 此外，管理职责和资源管理也是非常重要的工作内容，贯穿于各项活动之中，是其他工作顺利开展的基础信息安全等级保护工作的体系化需求 从整体来看等级保护的工信息安全等级保护工作的体系化需求 因此，信息安全等级保护工作应该，也适合采用体系化方法来加以实施 构建等级保护的体系化实施模型 在原有等级保护工作的基础上，使过程方法和PDCA模型更加完善和清晰化 补充其他体系化要素，形成完整的信息安全等级保护体系化实施方法信息安全等级保护工作的体系化需求 因此，信息安全等级保护信息安全等级保护的体系化实施 体系化管理方法 信息安全等级保护工作的体系化需求 信息安全

24、等级保护工作的体系化总体实施流程信息安全等级保护的体系化实施 体系化管理方法 信息安4、等级保护持续改进3、等保自查与测评1、实施指南建设思路2、等保二、三级系统建设4、等级保护持续改进1、实施指南建设思路局部调整实施指南-基本实施过程系统定级安全规划设计重大变更安全实施/实现安全运行管理系统终止局部调整实施指南-基本实施过程安全运行管理定级建议定级建议“信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。”“27号文”“等级保护不是要做成一个框框，而是要在有限资源的条件下，用适当的成本获得适度的安全。”等级保护的基

25、本含义“信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必医疗卫生等保实施流程规划 第一步：“评估定级，定义安全需求”。通过风险评估、系统定级、等级评估等服务组件识别系统的安全风险，确定系统的安全等级，并找出系统安全现状与等级要求的差距，形成完整准确的按需防御的安全需求。 第二步：“体系建设，实现按需防御”。通过体系设计制定等级方案，进行安全策略体系、安全组织体系、安全技术体系和安全运维体系建设，满足评估定级阶段形成的安全需求，实现按需防御。 第三步：“安全运维，确保持续安全”。通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件，从事前、事中、事后三个方面进行安全运行维护，

26、确保系统的持续安全，满足持续性按需防御的安全需求。医疗卫生等保实施流程规划 第一步：“评估定级，定义安全需求体系涵盖内容医疗卫生行业等级保护体系方案详细设计二级系统等级保护不同等级系统互联互通三级系统等级保护体系涵盖内容二级系统等级保护不同等级系统互联互通三级系统等医疗卫生行业等级保护解决方案技术措施管理措施不同等级互联二级(以医院系统为例)技术措施管理措施不同等级互联三级(以公卫系统为例)医疗卫生行业等级保护解决方案技术措施技术措施体系设计(二级)结合安全方案详细设计思路，在医疗卫生行业，以医疗机构信息系统为例，二级等级保护体系我们采用的模型如图所示54体系设计(二级)结合安全设计思路体系设

27、计(三级)结合安全方案详细设计思路，在医疗卫生行业，以公共卫生信息系统为例，三级等级保护体系我们采用的模型如图所示（其中灰色北京的是三级比二级增加的项目）：55体系设计(三级)结合安全方思路，在医4321医疗卫生行业等级保护实施落地实施规划与设计技术设计管理设计实施与运行技术措施实现管理措施实现安全运行与维护持续改进安全检查二级检查三级检查持续改进持续改进4321医疗卫生行业等级保护实施规划与设计实施与运行持4、等级保护持续改进3、等保自查与测评1、实施指南建设思路2、等保二、三级系统建设4、等级保护持续改进1、实施指南建设思路信息安全等级保护制度-十堰太和医院课件信息安全等级保护制度-十堰太

28、和医院课件信息安全等级保护制度-十堰太和医院课件、，、，信息安全等级保护制度-十堰太和医院课件信息安全等级保护制度-十堰太和医院课件信息安全等级保护制度-十堰太和医院课件信息安全等级保护制度-十堰太和医院课件信息安全等级保护制度-十堰太和医院课件信息安全等级保护制度-十堰太和医院课件安全运行与维护医疗卫生行业提出的等级保护体系化建设流程中，在进行安全保障体系设计以及安全建设之后将会按照PDCA模型进入到周期性的安全运维阶段，来保证和巩固等级保护建设的成果。根据建立的信息安全管理运维体系对信息安全系统进行实时的维护管理，针对医疗卫生行业信息系统安全软、硬件实施全面的安全运维。具有条件的单位可以采

29、用自行运维的方式，如在运维阶段面临技术水平、人员规模、运维经验的限制，可以采用安全运维服务外包的形式，针对于整个系统相关范围的不同安全等级及实际应用，所需要的安全运维服务模块如下：安全扫描 人工检查安全加固 日志分析补丁管理 安全监控安全动态 应急响应安全运行与维护医疗卫生行业提出的等级保护体系化建设流程中4、等级保护持续改进3、等保自查与测评1、实施指南建设思路2、等保二、三级系统建设4、等级保护持续改进1、实施指南建设思路 等级保护测评检查表 十堰卫生行业信息安全检查用表 等级保护测评检查表 十堰卫生行业信息安全检查用表7171 等级保护测评检查表 十堰市卫生行业信息安全检查用表 等级保护

30、测评检查表 十堰市卫生行业信息安全检查用表1、访问控制1.具有以下哪些控制人员进出机房的措施：系统部署电子门禁机房 出入口专人职守、控制鉴别并记录出入机房人员1.具有以下哪些控制外部人员访问机房的措施：外 来人员访问机房经过申请和审批由内 部人员监控外来人员在机房内的活动由内 部人员限制外来人员在机房内的活动范围2、防盗和防破坏1.主要设备是否放置在机房 内：是否设备或主要部件是否进行了固定和标记 ：是否1.机房是否安装了防盗报警系统和监控报警系统：是否否报警设备是否与视频监控系统及出入口控制设备联动 ：是3、防火1.是否制定消防管理制 度：是否2.是否制定消防预案：是否3.是否对机房管理、维

31、护人员进行消防专项培训 ：是，培训机构：_ 否4.机房是否部署火情自动检测、报警、灭火系统：是否具体设备：性惰气体自动灭火设备式便携灭火设备其 他_检查表物理安全1.具有以下哪些控制人员进出机房的措施：系统部署电子门禁机1.机房是否有以下防水防潮措施：密窗户封、屋顶墙壁防水涂层 检测漏水 及报警系统，系统名称：机房 专用空调，空调品牌及名称：其 他：主机房除湿装置，湿装置名称：机房 温湿度控制系统，品牌及名称：5、防静电、防雷1.机房主要设备是否采用以下防静电措施：地防静电接防静电地板 其 他1.机房是否有交流电源接地:否是， 接地方式：_6、电力供应1.是否对计算机系统供电系统进行定期检查和

32、维护：是否检查维护的设备是否涵盖以下设备：稳压器 过电压防护设备 短期 备用电源设备 力电电缆线路 备 用供电系统 其 他_1.短期备用电源设备最长供电时间为：_备用供电系统（如备用发电机）是否能够在规定时间内正常启动和正常供电：是否规定时间为：4、防水和防潮1.机房是否有以下防水防潮措施：密窗户封、屋顶墙壁防水涂层 一、网络拓扑结构安全分析表1-1 拓扑了解分析 询问其是否绘制与当前运行情况相符的网络拓扑结构图。 询问其是否与互联网联通。 检查其是否根据业务应用合理设计网络结构。表1-2 设备性能分析接入网络和核心网络设备性能及带宽是否满足业务需要；且是否有冗余设备。表1-3 网段划分及安全

33、隔离各部门终端设备是否按照部门和业务重要性划分网段并用Vlan隔离；重要服务器区域是否与接入区域采用可靠隔离表1-4 日志及审计是否定期对日志进行统一审计分析，并对日志进行适当保护避免受到未预期的修改。检查表网络安全一、网络拓扑结构安全分析 询问其是否绘制与当前运行情况相符一、网络拓扑结构安全分析表1-5 入侵防范 对重要核心服务器是否有入侵防范措施。 若部署入侵防范措施，问询其部署位置、品牌型号、升级方式、事件定义及日志审计方式。 若没有，是否对其进行加固和定期打补丁；是否有恶意代码防范措施。表1-6 防病毒系统 系统内部是否部署网络版防病毒软件，或者部署防毒墙。 若部署杀毒软件，记录其软件

34、品牌，部署范围，及升级方式。 询问病毒库是否及时升级。 检查杀毒日志。表1-7 网站服务器系统内是否部署Web服务器；若有，是否有动态页面；是否部署网页防篡改系统；网站是否托管；一、网络拓扑结构安全分析表1-5 入侵防范 对重要核心服务 路由器CDP服务关闭检查禁止Finger服务明文密码是否加密设置特权密码路由协议采用加密认证关闭代理ARP功能。（开启容易造成泄密及网络不稳定）设置Vty超时参数（默认10分钟，应小于5分钟）关闭HTTP服务若多用户应采用分权管理表2-5 交换机安全配置 路由器CDP服务关闭检查禁止Finger服务 Router(config)# no service finger明文密码是否加密设置特权密码设置Vty超时参数（默认10分钟，应小于5分钟）关闭HTTP服务 若多用户采用分权管理手动关闭不使用的端口二、网络设备配置信息查看表2-1 限制管理员登陆地址是否对管理员登陆地址进行限制表2-2 口令策略设置口令是否有相应制度约束，并定期更换。一般8位以上，包括数字、字符、大小写字母等。表2-3 远程登录管理内网远程管理是否采用SSH或HTTPS。不使用Telnet、Http。表2-4路由器安全配置 路由器CDP服务关闭检