12-SGISLOP-SA14-10防火墙等级保护测评作业指导书(三级~).doc

《12-SGISLOP-SA14-10防火墙等级保护测评作业指导书(三级~).doc》由会员分享，可在线阅读，更多相关《12-SGISLOP-SA14-10防火墙等级保护测评作业指导书(三级~).doc（14页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、|信息安全等级保护测评作业指导书防火墙（三级）版 号： 第 2 版修 改 次 数： 第 0 次生 效 日 期： 2010 年 01 月 06 日中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10|修改页修订号 控制编号 版号/章节号 修改人 修订原因 批准人 批准日期 备注1 SGISL/OP-SA14-10 唐斐 按公安部要求修订 詹雄 2010.3.8|一、网络访问控制访问1端口级的访问控制测评项编号 ADT-FW-01 对应要求应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级测评项名称 端口级的网络访问控制测评分项 1：查看防火墙缺省规

2、则是否为默认禁止在管理界面中，查看防火墙已有的安全规则。适用版本 任何版本操作步骤实施风险 无符合性判定访谈网络管理员，防火墙的缺省规则。如为默认允许，则应查看防火墙的最后一条安全规则，如果不是拒绝从 any 到 any 的任何协议通过，判定结果为不符合；其它情况，判定结果为符合。测评分项 2：检查防火墙控制粒度是否为端口级访谈网络管理员，确定防火墙应允许/拒绝的网络服务的连接。查看防火墙规则，验证控制粒度是否为端口级。 适用版本 任何产品操作步骤实施风险 无符合性判定查看防火墙所配置的访问控制规则，规则设置的参数包括端口，判定结果为符合；查看防火墙所配置的访问控制规则，规则设置的参数不包括端

3、口，判|定结果为不符合。备注2协议命令级的网络访问控制测评项编号 ADT-FW-02 对应要求应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP 、POP3等协议命令级的控制测评项名称 协议命令级的网络访问控制测评分项 1： 实现应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制检查防火墙对 HTTP、FTP、TELNET 、SMTP 、POP3 协议的内容过滤配置适用版本 任何产品操作步骤实施风险 无符合性判定如防火墙应用层协议内容过滤配置中配置的参数包含 URL 地址、收件人、FTP 下载的文件类型等，判定结果为符合；若无上述参

4、数，协议命令级的网络访问控制判定结果为不符合。备注3会话连接超时处理|测评项编号 ADT-FW-03 对应要求应在会话处于非活跃一定时间或会话结束后终止网络连接测评项名称 会话连接超时处理测评分项 1： 防火墙上设置会话连接超时在管理界面上，查看是否设置了会话连接超时。适用版本 任何产品操作步骤实施风险 无符合性判定管理界面上，查看设置的会话连接超时间，且时间设置的合理，判定结果为符合。管理界面上，未设置会话连接超时时间，判定结果为不符合。若时间设置的不合理，则判定为部分符合。备注4网络流量和最大连接数的限制测评项编号 ADT-FW-04 对应要求在互联网出口和核心网络接口处应限制网络最大流量

5、数及网络连接数测评项名称 网络流量和最大连接数的限制测评分项 1： 根据 IP 地址、端口、协议来限制应用数据流的最大流量，根据 IP 地址限制网络连接数访谈网络管理员，是否需要限制网络最大流量和网络连接数。在管理界面上，查看是否设置了网络最大流量和网络连接数。操作步骤适用版本 任何产品|实施风险 无符合性判定管理界面上，查看设置了最大流量数和网络连接数，判定结果为符合。如访谈结果显示不需要设置网络最大流量和网络连接数，判定结果也为符合。管理界面上，未设置最大流量数，判定结果为不符合。备注二、安全审计1日志记录测评项编号 ADT-FW-05 对应要求应对网络系统中的网络设备运行状况、网络流量、

6、用户行为等进行日志记录测评项名称 防火墙日志记录测评分项 1： 防火墙记录防火墙的管理行为、设备运行状况和网络流量。查看防火墙的日志，是否存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录适用版本 任何产品操作步骤实施风险 无符合性判定存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录，判定结果为符合包含上述内容不全面，判定结果为部分符合测评分项 2： 审计记录应包括：事件的日期和时间、用户、事件类型、事件结果等操作步骤 查看日志记录内容，是否包含事件的日期和时间、用户、事件类型、|事件结果适用版本 所有内容实施风险 无符合性判定包含事件的日期和时间、用户、事件类型

7、、事件结果，判定结果为符合包含上述内容不全面，判定结果为部分符合备注2日志分析测评项编号 ADT-FW-06 对应要求应能够根据记录数据进行分析，并生成审计报表测评项名称 日志分析测评分项 1：查询各种审计数据的分析结果并生成报表登陆防火墙管理界面，分类统计已有的审计数据，并选择生成图表适用版本 任何产品操作步骤实施风险 无符合性判定根据防火墙支持的分类统计方法分析审计记录数据，并生成图表，判定结果为符合防火墙不能分析已有的审计记录以生成数据和图表，判定结果为不符合备注|3审计记录的保护测评项编号 ADT-FW-07 对应要求应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等测评项名称

8、审计记录的保护测评分项 1： 审计记录的完好性保护访谈网络设备管理员，采取了何种方法来避免审计日志的未授权修改、删除和破坏适用版本 任何产品操作步骤实施风险 无符合性判定访谈结果显示，采取了方法如设置日志服务器来保护审计日志，判定结果为符合访谈结果显示，未采取方法如设置日志服务器来保护审计日志，判定结果为不符合备注三、设备防护1身份鉴别测评项编号 ADT-FW-08 对应要求 应对登陆网络设备的用户进行身份鉴别测评项名称 身份鉴别测评分项 1： 用户登录设备的身份鉴别过程操作步骤检查设备管理员采用何种方式登录，是否对登陆用户进行身份鉴别，是否修改了默认的用户名及密码|适用版本 所有内容实施风险

9、 无符合性判定登陆失败，判定结果为符合登陆成功，判定结果为失败备注2设备管理地址的限制测评项编号 ADT-FW-09 对应要求应对网络设备的管理员登录地址进行限制测评项名称 设备管理地址的限制测评分项 1： 限制设备管理员的登录地址登录防火墙管理界面，检查是否设置管理员的登录主机地址适用版本 所有内容操作步骤实施风险 无符合性判定设置了管理员的登录主机地址，判定结果为符合未设置管理员的登录主机地址，判定结果为不符合备注3身份标识唯一测评项编号 ADT-FW-10 对应要求网络设备标识应唯一；同一网络设备的用户标识应唯一；禁止多个人员共用一个账号|测评项名称 身份标识唯一测评分项 1： 同一网络

10、设备的用户标识唯一登录防火墙管理界面，检查是否存在同名用户适用版本 所有内容操作步骤实施风险 无符合性判定不存在同名用户，判定结果为符合存在同名用户，判定结果为不符合测评分项 2： 禁止多个人员共用一个账号访谈网络管理员，是否为每个管理员设置了单独的账户适用版本 所有内容操作步骤实施风险 无符合性判定访谈结果表明，为每个用户设置了单独账户，判定结果为符合访谈结果表明，未为每个用户设置单独账户，判定结果为不符合备注4身份鉴别信息不易被冒用测评项编号 ADT-FW-11 对应要求身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期更换。应修改默认用户和口令，不得使用缺省口令，口令长度不得小于 8 位，要是是字母和数字或特殊字符的混合并不得与用户名相同，