交换机、IDS和防火墙的日志信息。以思科交换机为例，日志审计和日志收集存储于服务器实施配置如下：

Route#config terminal

Route(config)#logging on （启用日志审计）

Route(config)#logging console notification （设置控制等级为5级：notification） Route(config)#!Set a 16K log buffer at information level

Route(config)#logging buffered 16000 information （设置其大小为16K） Route(config)#!turn on time/date stamps in log messages

Route(config)#service timestamp log datetime msec local show-timezone Route(config)#!set monitor logging level to level 6 Route(config)#logging monitor information Route(config)#exit

Route#!make this session receive log messages Route#terminal monitor Route#config terminal

Route(config)#logging trap information （控制交换机发出日志的级别为6级：information）

Route(config)#logging 192.168.10.188 （将日志发送到192.168.10.188，如需修改服务器，可采用Route(config)#no logging 192.168.10.188删除，然后重新配置日志服务器）

Route(config)#logging facility local6

Route(config)#logging source-interface FastEthernet 0/1 （设置发送日志的以太网口）

16

Route(config)#exit Route#config terminal Route(config)#logging trap information Route(config)#snmp-server host 192.168.10.1 traps public （配置发送trap信息主机） Route(config)#snmp-server trap-source Ethernet 0/1 Route(config)#snmp-server enable traps syslog Route(config)#exit Route# write 4) 供电公司内网与各银行和移动或电信间的防火墙应配置访问控制策略

保证供电公司信息内网的安全。

5) 根据《国家电网公司信息系统口令管理规定》制定或沿用其以管理省公

司网络设备口令。《国家电网公司信息系统口令管理规定》具体内容如下：

第四条 口令必须具有一定强度、长度和复杂度，长度不得小于8位字符串，要求是字母和数字或特殊字符的混合，用户名和口令禁止相同。 第五条 个人计算机必须设置开机口令和操作系统管理员口令，并开启屏幕保护中的密码保护功能。 第六条 口令要及时更新，要建立定期修改制度，其中系统管理员口令修改间隔不得超过3个月，并且不得重复使用前3次以内的口令。用户登录事件要有记录和审计，同时限制同一用户连续失败登录次数，一般不超过3次。 6) 所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次

数、当网络登录连接超时时自动退出等措施。以思科交换机为例，网络

17

登录连接超时时自动退出实施如下：

Router#config terminal Router(Config)#line con 0 配置控制口 Router(Config-line)#exec-timeout 5 0 设置超时5分钟 Router(Config-line)#exit Router(Config)#exit Router#write 7) 部署桌面管理系统，对内部网络中的用户网络连接状态进行实时监控，

以保证内部用户不可私自联到外部网络；配置桌面管理系统策略，对私自连接到外网的内部用户进行准确定位并阻断内外网互通。

8) 在交换机上限制网络最大流量数及网络连接数，通过限制某些网段网络

服务提高网络通信流量。以思科交换机为例，实施配置如下：

Router#config terminal Router(config)# access-list 101 deny tcp 172.16.3.0 0.0.0.255 any www（禁止172.16.3.0网段访问Internet） Router(config)# access-list 102 deny tcp 172.16.5.0 0.0.0.255 any ftp（禁止172.16.5.0网段ftp服务） Router(config)# ip nat translation max-entries 172.16.55.0 0.0.0.255 200（限制172.16.55.0网段的主机NAT的条目为200条） Route(config)#exit Route# write 限制具有拨号访问权限的用户。由于营销系统存储EMC，需要进行远程拨

18

号维护；需要关闭远程拨号服务，采用更为安全的管理维护方式。 5.3 主机安全 5.3.1

主机安全建设目标

省公司及其各地市公司信息中心对主机进行了一定的安全策略配置，并建立相关安全管理制度，由专人负责主机安全运行与维护，总体安全性较高。但仍有一些安全问题亟待解决，如安全审计不严格、开启非必须服务以及默认的用户口令策略等。

针对省公司及其地市公司二级系统主机存在的问题，结合《信息安全技术信息安全等级保护基本要求》，从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面进行主机安全等级保护建设与改造，以实现以下目标：

1) 对主机的登录有严格的身份标识和鉴别；

2) 有严格的访问控制策略限制用户对主机的访问与操作； 3) 有严密的安全审计策略保证主机出现故障时可查； 4) 拥有相关技术手段，抵抗非法入侵和恶意代码攻击。 5.3.2

主机身份鉴别

省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距，应对以下几个方面进行完善主机身份鉴别：

1) 对登录操作系统的用户进行身份标识和鉴别；

2) 操作系统管理用户身份标识具有不易被冒用的特点，口令有复杂度并定

期更换；

3) 启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退

出等措施；

19