路由器，交换机，防火墙，安全事项

a) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

登录设备采用账户名+密码的方式进行身份鉴别，用户名唯一，登录密码存在弱口令，口令未定期更换。

。

b) 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

交换机未启用登录失败处理功能，未启用超时锁定策略。

c) 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

登陆采用telnet方式进行连接，未通过有效方式进行加密传输。

d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

未采用两种或两种以上组合的鉴别技术对用户进行身份鉴别。

b) 应重命名或删除默认账户，修改默认账户的默认口令；

未修改默认账户的默认用户名和口令。

d) 应授予管理用户所需的最小权限，实现管理用户的权限分离；

仅有admin账户，未对管理账户进行最小授权和权限分离。

a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

交换机未启用日志审计功能。

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

交换机未启用日志审计功能。

c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

交换机未启用日志审计功能。

d) 应对审计进程进行保护，防止未经授权的中断。

交换机未启用日志审计功能。

a) 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

未基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证。