XX县人民医院网络安全等级保护测评后安全风险系统及安全设备安全整改案例

一、网络设备和安全设备安全整改

1、核心交换机

（1）重新配置密码复杂度策略，本次配置为8位以上大小写字母、数字和特殊字符组成设备后台密码，建议3个月进行一次密码更换。

（2）配置登录失败处理策略，当用户登录失败次数过多限制登录。

（3）后台关闭HTTP、Telent等不必要的服务，并开启HTTPS或SSH服务。

（4）开启两种或两种以上组合的鉴别技术实现用户身份鉴别，数字证书、令牌等。确保系统用户身份不被冒用。

（5）增加配置管理员和审计管理员账号（进入【设备】-【用户管理】界面，点击【创建用户】）。

（6）把默认账户admin 修改为用户账户。

（7）修改系统时间，与实际时间保持了一致，建议定期查看时间是否一致。

2、医保防火墙

（1）修改当前设备口令，建议设备定期更换不同口令周期为3个月。

（2）开启两种或两种以上组合的鉴别技术实现用户身份鉴别，如数字证书、令牌等。

（3）把默认账户admin修改为用户账户。

（4）修改系统时间，与实际时间保持一致。

（5）升级了防火墙特征库，建议每月手动将防火墙入侵防御特征库、病毒库升级至最新版本。

3、财政防火墙  

（1）修改密码配置密码复杂度策略，由8位以上大小写字母、数字和特殊字符组成，定期更换密码换周期为3个月。

（2）配置登录失败处理策略，用户登录失败次数过多限制登录。

（3）关闭HTTP、Telent等不必要的服务，并开启HTTPS服务。

（4）开启两种或两种以上组合的鉴别技术实现用户身份鉴别，如数字证书、令牌等。

（5）增加审计管理员账号，实现三权分立（进入【用户管理】-【本地用户】界面）。

（6）修改重默认账户admin为客户账号。

（7）修改系统时间，与实际时间保持一致。

4、互联网网闸  

（1）配置密码策略，由8位以上大小写字母、数字和特殊字符组成，并定期更换，更换周期为3个月。

（2）开启两种或两种以上组合的鉴别技术实现用户身份鉴别，如数字证。

（3）修改系统时间，与实际时间保持一致。

5、服务器防火墙 （数据防火墙）

（1）修改设备口令。

（2）开启两种或两种以上组合的鉴别技术实现用户身份鉴别，如数字证书、令牌等。确保系统用户身份不被冒用。

（3）设置配置管理员和审计管理员账号（进入【系统】-【管理员】界面，点击【新建】）。

（4）手动将防火墙入侵防御特征库、病毒库升级至最新版本。

6、日志审计系统

（1）开启两种或两种以上组合的鉴别技术实现用户身份鉴别，如数字证书、令牌等。确保系统用户身份不被冒用。

（2）增加配置一名管理员和一名审计管理员。

（3）把默认账户admin修改为客户账户。

（4）关闭http，只开启HTTPS。

（5）修改系统时间，与实际时间保持一致。

（6）将HIS系统内所有网络设备、安全设备、服务器添加至日志审计系统资产中，实现日志的集中管控和收集。

7、数据库审计系统  

（1）开启两种或两种以上组合的鉴别技术实现用户身份鉴别，如数字证书、令牌等。确保系统用户身份不被冒用。

（2）配置超时退出策略，用户无操作后自动退出登录。

（3）增加配置一名管理员和一名审计管理员。

8、堡垒机  

（1）配置密码复杂度策略，由8位以上大小写字母、数字和特殊字符组成，并定期更换，更换周期为3个月，且各设备口令不同。

（2）开启两种或两种以上组合的鉴别技术实现用户身份鉴别，如数字证书、令牌等。确保系统用户身份不被冒用。

（3）将系统内所有网络设备、安全设备、服务器添加至堡垒机资产中，实现集中管控、运维审计。