【正文】 ortallogo init pluginswitch yes pfswitch yes naswitch no wfswitch no fsswitch no plugininstall auto showcertlink no urlusbkey NULL icon yes panyportalswitch yes panyportaladdress login_sso panyportalclose no authpassword on authcert on authtwofactor off gid no customauthpageswitch off twofactorhideswitch off loginpageswitch off portalpageswitch offsslvpn resource add name 39。資金系統(tǒng)管理39。 module pf auto_open no show yes ip url 39。:8088/turl==/39。 port 39。80,808839。 protocol tcpcustom sso_switch no address_hide_switch nosslvpn resource add name 39。資金系統(tǒng)39。 module pf auto_open no show yes ip url 39。:8088/39。 port 39。80,808839。 protocol tcp sso_switch no address_hide_switch nosslvpn resource add name 39。login_sso39。 module pf auto_open no show no ip url 39。/vone/qysso3/:8088/turl==/39。 port 39。8088,8039。 protocol tcpcustom sso_switch no address_hide_switch nosslvpn resource add name 39。picc_logout39。 module pf auto_open no show no ip url 39。/vone/qysso4/:8088/turl==/39。 port 39。808839。 protocol tcpcustom sso_switch no address_hide_switch nosslvpn resource add name 39。管理資金系統(tǒng)39。 module pf auto_open no show no ip url 39。:8088/39。 port 39。808839。 protocol tcp sso_switch no address_hide_switch nosslvpn acl defaultaction set denysslvpn acl info add res_id 0 name 39。資金系統(tǒng)管理acl39。 week 1234567 start_time 00:00:00 end_time 23:59:59 method all action permitsslvpn acl info add res_id 1 name 39。ZIJXT39。 week 1234567 start_time 00:00:00 end_time 23:59:59 method all action permitsslvpn acl info add res_id 2 name 39。acl_login39。 week 1234567 start_time 00:00:00 end_time 23:59:59 action permitsslvpn acl info add res_id 4 name 39。adminaclshow39。 week 1234567 start_time 00:00:00 end_time 23:59:59 method all action permitsslvpn policy info add name 39。zj39。 type role acl_id 1sslvpn policy info add name 39。zj39。 type role acl_id 2sslvpn policy info add name 39。admin39。 type role acl_id 0sslvpn policy info add name 39。admin39。 type role acl_id 3sslvpn policy info add name 39。admin39。 type role acl_id 2sslvpn policy status set name zj type role default_cfg no netaccess no portforward yes webforward no fileshare no plugin yessslvpn policy status set name admin type role default_cfg no netaccess no portforward yes webforward no fileshare no plugin yessslvpn webforward url_policy cleansslvpn webforward replace cleansslvpn port set admin 8080 user 443 userswitch nosslvpn memory set switch off limit 50 reqnum 20sslvpn loadbalance add resip resport 8088 dstip dstport 8088sslvpn loadbalance add resip resport 8088 dstip dstport 8088sslvpn loadbalance add resip resport 8088 dstip dstport 8088sslvpn loadbalance add resip resport 8088 dstip dstport 8088sslvpn loadbalance add resip resport 8088 dstip dstport 8088開(kāi)放服務(wù)ID 8010 pf service add name gui area area_eth0 addressname anyID 8011 pf service add name ssh area area_eth0 addressname anyID 8012 pf service add name update area e1 addressname anyID 8013 pf service add name ping area area_eth0 addressname anyID 8014 pf service add name webui area area_eth0 addressname anyID 8016 pf service add name sslvpn area area_eth0 addressname anyID 8017 pf service add name sslvpnmgr area area_eth0 addressname anyID 8031 pf service add name webui area e1 addressname anyID 8032 pf service add name ping area e1 addressname anyID 8033 pf service add name telnet area e1 addressname anyID 8034 pf service add name sslvpnmgr area e1 addressname anyID 8035 pf service add name sslvpn area e1 addressname anyID 8036 pf service add name telnet area area_eth0 addressname anyID 8038 pf service add name ssh area e1 addressname any SSLVPN主（）風(fēng)險(xiǎn)漏洞詳細(xì)描述本次安全評(píng)估針對(duì)網(wǎng)絡(luò)與安全設(shè)備主要采取人工檢查等方式對(duì)該設(shè)備安全狀況進(jìn)行了現(xiàn)狀調(diào)查，通過(guò)對(duì)該設(shè)備配置的分析，該設(shè)備的安全基本情況如下所示：1. 該設(shè)備可以通過(guò)Telnet、SSH、HTTPS等多種方式進(jìn)行遠(yuǎn)程管理，但是telnet作為一種不安全的管理方式，在網(wǎng)絡(luò)中明文傳輸帳戶、密碼以及設(shè)備配置，存在較大的安全風(fēng)險(xiǎn)。2. 該設(shè)備的遠(yuǎn)程IP地址未作嚴(yán)格限定，允許任何IP地址進(jìn)行遠(yuǎn)程管理，存在一定的安全隱患。 SSLVPN主（） 安全認(rèn)證交換機(jī) 安全認(rèn)證交換機(jī)配置分類具體配置備注VLAN劃分VLAN350 VLAN353VLAN350Interface Ethernet1/1Interface Ethernet1/2Interface Ethernet1/3Interface Ethernet1/4Interface Ethernet1/5Interface Ethernet1/6Interface Ethernet1/7Interface Ethernet1/31Interface Ethernet1/40VLAN353Interface Ethernet1/830Interface Ethernet1/3239 安全認(rèn)證交換機(jī)風(fēng)險(xiǎn)漏洞詳細(xì)描述本次安全評(píng)估針對(duì)網(wǎng)絡(luò)與安全設(shè)備主要采取人工檢查等方式對(duì)該設(shè)備安全狀況進(jìn)行了現(xiàn)狀調(diào)查，通過(guò)對(duì)該設(shè)備配置的分析，該設(shè)備的安全基本情況如下所示：1. 該設(shè)備目前只提供串口管理方式，不提供遠(yuǎn)程管理方式，杜絕了黑客遠(yuǎn)程修改配置的行為。2. 該設(shè)備沒(méi)有啟用MAC地址綁定功能，未對(duì)關(guān)鍵設(shè)備進(jìn)行MAC地址綁定。 服務(wù)器區(qū)交換機(jī) 服務(wù)器區(qū)交換機(jī)配置分類具體配置備注VLAN劃分VLAN352VLAN352Interface Ethernet1/125 服務(wù)器區(qū)交換機(jī)風(fēng)險(xiǎn)漏洞詳細(xì)描述本次安全評(píng)估針對(duì)網(wǎng)絡(luò)與安全設(shè)備主要采取人工檢查等方式對(duì)該設(shè)備安全狀況進(jìn)行了現(xiàn)狀調(diào)查，通過(guò)對(duì)該設(shè)備配置的分析，該設(shè)備的安全基本情況如下所示：1. 該設(shè)備目前只提供串口管理方式，不提供遠(yuǎn)程管理方式，杜絕了黑客遠(yuǎn)程修改配置的行為。2. 該設(shè)備沒(méi)有啟用MAC地址綁定功能，未對(duì)關(guān)鍵設(shè)備進(jìn)行MAC地址綁定。3. 該設(shè)備劃分了一個(gè)VLAN（VLAN352），但是連接了應(yīng)用服務(wù)區(qū)和數(shù)據(jù)庫(kù)服務(wù)區(qū)兩個(gè)網(wǎng)段，存在安全隱患。 主機(jī)系統(tǒng)安全綜合分析主機(jī)系統(tǒng)安全評(píng)估的目標(biāo)是找到系統(tǒng)所在主機(jī)操作系統(tǒng)存在的安全弱點(diǎn)，通過(guò)安全配置或補(bǔ)丁加載的手段，降低安全風(fēng)險(xiǎn)，提高安全水平。資產(chǎn)風(fēng)險(xiǎn)合計(jì)資產(chǎn)高風(fēng)險(xiǎn)中風(fēng)險(xiǎn)低風(fēng)險(xiǎn)合計(jì)Web服務(wù)器1（）22610Web服務(wù)器2（）13711Web服務(wù)器3（）22711Web服務(wù)器4（）22711Web服務(wù)器5（）22711應(yīng)用服務(wù)器（）22711數(shù)據(jù)庫(kù)服務(wù)器 （）2259數(shù)據(jù)庫(kù)服務(wù)器 （）2259 Web服務(wù)器（） Web服務(wù)器（）安全現(xiàn)狀評(píng)估類別評(píng)估項(xiàng)要求符合性現(xiàn)狀描述密碼策略密碼復(fù)雜度密碼必須符合復(fù)雜性要求（啟用）密碼長(zhǎng)度最小值（8）密碼最長(zhǎng)使用期限（42天）密碼最短使用期限（1天）強(qiáng)制密碼歷史（1）符合密碼必須符合復(fù)雜性要求（啟用）密碼長(zhǎng)度最小值（8）密碼最長(zhǎng)使用期限（42天）密碼最短使用期限（0天）強(qiáng)制密碼歷史（1）賬戶鎖定策略帳戶鎖定策略限制賬戶登陸失敗次數(shù)，并對(duì)登陸失敗的賬戶進(jìn)行鎖定，鎖定時(shí)間不小于30分鐘不符合復(fù)位賬戶鎖定計(jì)數(shù)器（不適用）賬戶鎖定時(shí)間（不適用）賬戶鎖定閥值（0次無(wú)效登陸）用戶權(quán)限分配遠(yuǎn)程關(guān)機(jī)在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators組。符合關(guān)閉系統(tǒng)在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。不符合關(guān)閉系統(tǒng)權(quán)限（Administrator、Power、Users、Backup、Operators）修改系統(tǒng)時(shí)間在本地安全設(shè)置中修改系統(tǒng)時(shí)間僅指派給Administrators組。不符合修改系統(tǒng)時(shí)間（LOCAL SERVICE,Administrators,Power Users）安全選項(xiàng)不顯示上次的用戶名在安全選項(xiàng)設(shè)置中啟用不顯示上次的用戶名不符合不顯示上次的用戶名（未啟用）可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑在安全選項(xiàng)設(shè)置刪除可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑不符合可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑（System\CurrentC…）光驅(qū)的訪問(wèn)權(quán)限在安全選項(xiàng)設(shè)置中啟用只有本地登陸的用戶才能訪問(wèn)CDROM不符合只有本地登陸的用戶才能訪問(wèn)CDROM(未啟用)審核策略審核登錄設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。不符合審核策略更改（無(wú)審核）審核登錄事件（成功）審核對(duì)象訪問(wèn)（無(wú)審核）審核過(guò)程跟蹤（無(wú)審核）審核目錄服務(wù)訪問(wèn)（無(wú)審核）審核特權(quán)使用（無(wú)審核）審核系統(tǒng)事件（無(wú)審核)審核帳戶登錄事件(成功)審核帳戶管理(無(wú)審核)日志文件日志文件大小“應(yīng)用日志” “系統(tǒng)日志” “安全日志”屬性中的日志大小設(shè)置不小于“81920KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”不符合應(yīng)用日志：日志大小上限設(shè)置為16384KB系統(tǒng)日志：日志大小上限設(shè)置為16384KB