>>>>>>>>>>点击进入2016年系统分析师考试网络课堂

  >>>>>>>>>>点击进入系统分析师历年考试真题题库

  >>>>>>>>>>点击进入2016年系统分析师考试大纲和教程

网络设备安全

对设备本身安全进行配置，并建设完备的安全保障体系，包括:使用访问控制、身份验证配置;关闭不必要的端口、服务、协议;用户名口令安全、权限控制、验证;部署安全产品等。应考虑的安全点主要有:

1.安全配置是否合理，路由、交换、防火、IDS等网络设备及网络安全产品的不必要的服务、端口、协议是否关闭，网络设备的安全漏洞及其脆弱的安全配置方面的优化，如路由器的安全漏洞、访问控制设置不严密、数据传输未加密、网络边界未完全隔离等。

2.在网络建设完成、测试通过、投入使用前，应删除测试用户和口令，最小化合法用户的权限，最优化系统配置。

3.在接入层交换机中，对于不需要用来进行第三层连接的端口，通过设置使其属于相应的VLAN，应将所有空闲交换机端口设置为Disable，防止空闲的交换机端口被非法使用。

4.应尽量保持防火墙规则的清晰与简洁，并遵循“默认拒绝，特殊规则靠前，普通规则靠后，规则不重复”的原则，通过调整规则的次序进行优化。

5.应为不同的用户建立相应的账号，根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别，并对各个级别用户能够使用的命令进行限制，严格遵循“不同权限的人执行不同等级的命令集”。同时对网络设备中所有用户账号进行登记备案。

6.应制订网络设备用户账号口令的管理策略，对口令的选取、组成、长度、保存、修改周期以及存储做出规定。

7.使用强口令认证，对于不宜定期更新的口令，如SNMP字串、VTP认证密码、动态路由协议认证口令等，其口令强度应大于12位，并由数字、大小写字母和特殊字符共同组成。

8.设置网络登录连接超时，例如，超过60秒无操作应自动退出。9.采用带加密保护的远程访问方式，如用SSH代替Telnet。

10.严格禁止非本系统管理人员直接进入网络设备进行操作，若在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂家技术工程师、非本系统技术工程师、安全管理员等）进入网络设备进行操作时，必须由本系统管理员登录，并对操作全过程进行记录备案。11.对设备进行安全配置和变更管理，并且对设备配置和变更的每一步更改，都必须进行详细的记录备案。

12.安全存放路由器的配置文件，保护配置文件的备份和不被非法获取。13.应立即更改相关网络设备默认的配置和策略。14.应充分考虑网络建设时对原有网络的影响，并制定详细的应急计划，避免因网络建设出现意外情况造成原有网络的瘫痪。

15.关键业务数据在传输时应采用加密手段，以防止被监听或数据泄漏。

16.对网络设备本身的扩展性、性能和功能、网络负载、网络延迟、网络背板等方面应充分考虑。设备功能的有效性与部署、配置及管理密切相关，倘若功能具备却没有正确配置及管理，就不能发挥其应有的作用。

17.网络安全技术体系建设主要包括安全评估、安全防护、入侵检测、应急恢复四部分内容，要对其流程完备性进行深入分析。

18.安全防护体系是否坚固，要分析整个网络系统中是否部署了防火墙及VPN系统、抗拒绝服务系统、漏洞扫描系统、IDS&IPS系统、流量负载均衡系统部署、防病毒网关、网络层验证系统、动态口令认证系统，各个安全系统之间的集成是否合理。

19.应安全存放防火墙的配置文件，专人保管，保护配置文件不被非法获取。

20.及时检查入侵检测系统厂商的规则库升级信息，离线下载或使用厂商提供的定期升级包对规则库进行升级。具体包括:

●查看硬件和软件系统的运行情况是否正常、稳定;

●查看OS版本和补丁是否最新;

●OS是否存在已知的系统漏洞或者其他安全缺陷。

>>>>>>>>>>点击继续阅读

  相关链接：

  软考中常考的标准化知识汇编（新版）

  软考大纲（软考考试大纲汇编，新版）

  系统分析师考试历年试题分析与解答（案例分析与论文篇）