收藏
下载资源下载资源 加入VIP,免费下载

12SGISLOPSA1410防火墙等级保护测评作业指导书三级.docx

上传人:b****5 文档编号:28563274 上传时间:2023-07-19 格式:DOCX 页数:13 大小:22.92KB
下载 相关 举报
12SGISLOPSA1410防火墙等级保护测评作业指导书三级.docx_第1页
第1页 / 共13页
12SGISLOPSA1410防火墙等级保护测评作业指导书三级.docx_第2页
第2页 / 共13页
12SGISLOPSA1410防火墙等级保护测评作业指导书三级.docx_第3页
第3页 / 共13页
12SGISLOPSA1410防火墙等级保护测评作业指导书三级.docx_第4页
第4页 / 共13页
12SGISLOPSA1410防火墙等级保护测评作业指导书三级.docx_第5页
第5页 / 共13页
点击查看更多>>
下载资源
资源描述

12SGISLOPSA1410防火墙等级保护测评作业指导书三级.docx

《12SGISLOPSA1410防火墙等级保护测评作业指导书三级.docx》由会员分享,可在线阅读,更多相关《12SGISLOPSA1410防火墙等级保护测评作业指导书三级.docx(13页珍藏版)》请在冰豆网上搜索。

12SGISLOPSA1410防火墙等级保护测评作业指导书三级.docx

12SGISLOPSA1410防火墙等级保护测评作业指导书三级

 

 

信息安全等级保护测评作业指导书

防火墙(三级)

 

版号:

第2版

修改次数:

第0次

生效日期:

2010年01月06日

 

中国电力科学研究院信息安全实验室

修改页

修订号

控制编号

版号/

章节号

修改人

修订原因

批准人

批准日期

备注

1

SGISL/OP-SA14-10

唐斐

按公安部要求修订

詹雄

2010.3.8

一、网络访问控制访问

1.端口级的访问控制

测评项编号

ADT-FW-01

对应要求

应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级

测评项名称

端口级的网络访问控制

测评分项1:

查看防火墙缺省规则是否为默认禁止

操作步骤

在管理界面中,查看防火墙已有的安全规则。

适用版本

任何版本

实施风险

符合性判定

访谈网络管理员,防火墙的缺省规则。

如为默认允许,则应查看防火墙的最后一条安全规则,如果不是拒绝从any到any的任何协议通过,判定结果为不符合;

其它情况,判定结果为符合。

测评分项2:

检查防火墙控制粒度是否为端口级

操作步骤

访谈网络管理员,确定防火墙应允许/拒绝的网络服务的连接。

查看防火墙规则,验证控制粒度是否为端口级。

适用版本

任何产品

实施风险

符合性判定

查看防火墙所配置的访问控制规则,规则设置的参数包括端口,判定结果为符合;

查看防火墙所配置的访问控制规则,规则设置的参数不包括端口,判定结果为不符合。

备注

2.协议命令级的网络访问控制

测评项编号

ADT-FW-02

对应要求

应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制

测评项名称

协议命令级的网络访问控制

测评分项1:

实现应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制

操作步骤

检查防火墙对HTTP、FTP、TELNET、SMTP、POP3协议的内容过滤配置

适用版本

任何产品

实施风险

符合性判定

如防火墙应用层协议内容过滤配置中配置的参数包含URL地址、收件人、FTP下载的文件类型等,判定结果为符合;

若无上述参数,协议命令级的网络访问控制判定结果为不符合。

备注

3.会话连接超时处理

测评项编号

ADT-FW-03

对应要求

应在会话处于非活跃一定时间或会话结束后终止网络连接

测评项名称

会话连接超时处理

测评分项1:

防火墙上设置会话连接超时

操作步骤

在管理界面上,查看是否设置了会话连接超时。

适用版本

任何产品

实施风险

符合性判定

管理界面上,查看设置的会话连接超时间,且时间设置的合理,判定结果为符合。

管理界面上,未设置会话连接超时时间,判定结果为不符合。

若时间设置的不合理,则判定为部分符合。

备注

4.网络流量和最大连接数的限制

测评项编号

ADT-FW-04

对应要求

在互联网出口和核心网络接口处应限制网络最大流量数及网络连接数

测评项名称

网络流量和最大连接数的限制

测评分项1:

根据IP地址、端口、协议来限制应用数据流的最大流量,根据IP地址限制网络连接数

操作步骤

访谈网络管理员,是否需要限制网络最大流量和网络连接数。

在管理界面上,查看是否设置了网络最大流量和网络连接数。

适用版本

任何产品

实施风险

符合性判定

管理界面上,查看设置了最大流量数和网络连接数,判定结果为符合。

如访谈结果显示不需要设置网络最大流量和网络连接数,判定结果也为符合。

管理界面上,未设置最大流量数,判定结果为不符合。

备注

二、安全审计

1.日志记录

测评项编号

ADT-FW-05

对应要求

应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录

测评项名称

防火墙日志记录

测评分项1:

防火墙记录防火墙的管理行为、设备运行状况和网络流量。

操作步骤

查看防火墙的日志,是否存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录

适用版本

任何产品

实施风险

符合性判定

存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录,判定结果为符合

包含上述内容不全面,判定结果为部分符合

测评分项2:

审计记录应包括:

事件的日期和时间、用户、事件类型、事件结果等

操作步骤

查看日志记录内容,是否包含事件的日期和时间、用户、事件类型、事件结果

适用版本

所有内容

实施风险

符合性判定

包含事件的日期和时间、用户、事件类型、事件结果,判定结果为符合

包含上述内容不全面,判定结果为部分符合

备注

2.日志分析

测评项编号

ADT-FW-06

对应要求

应能够根据记录数据进行分析,并生成审计报表

测评项名称

日志分析

测评分项1:

查询各种审计数据的分析结果并生成报表

操作步骤

登陆防火墙管理界面,分类统计已有的审计数据,并选择生成图表

适用版本

任何产品

实施风险

符合性判定

根据防火墙支持的分类统计方法分析审计记录数据,并生成图表,判定结果为符合

防火墙不能分析已有的审计记录以生成数据和图表,判定结果为不符合

备注

3.审计记录的保护

测评项编号

ADT-FW-07

对应要求

应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等

测评项名称

审计记录的保护

测评分项1:

审计记录的完好性保护

操作步骤

访谈网络设备管理员,采取了何种方法来避免审计日志的未授权修改、删除和破坏

适用版本

任何产品

实施风险

符合性判定

访谈结果显示,采取了方法如设置日志服务器来保护审计日志,判定结果为符合

访谈结果显示,未采取方法如设置日志服务器来保护审计日志,判定结果为不符合

备注

三、设备防护

1.身份鉴别

测评项编号

ADT-FW-08

对应要求

应对登陆网络设备的用户进行身份鉴别

测评项名称

身份鉴别

测评分项1:

用户登录设备的身份鉴别过程

操作步骤

检查设备管理员采用何种方式登录,是否对登陆用户进行身份鉴别,是否修改了默认的用户名及密码

适用版本

所有内容

实施风险

符合性判定

登陆失败,判定结果为符合

登陆成功,判定结果为失败

备注

2.设备管理地址的限制

测评项编号

ADT-FW-09

对应要求

应对网络设备的管理员登录地址进行限制

测评项名称

设备管理地址的限制

测评分项1:

限制设备管理员的登录地址

操作步骤

登录防火墙管理界面,检查是否设置管理员的登录主机地址

适用版本

所有内容

实施风险

符合性判定

设置了管理员的登录主机地址,判定结果为符合

未设置管理员的登录主机地址,判定结果为不符合

备注

3.身份标识唯一

测评项编号

ADT-FW-10

对应要求

网络设备标识应唯一;同一网络设备的用户标识应唯一;禁止多个人员共用一个账号

测评项名称

身份标识唯一

测评分项1:

同一网络设备的用户标识唯一

操作步骤

登录防火墙管理界面,检查是否存在同名用户

适用版本

所有内容

实施风险

符合性判定

不存在同名用户,判定结果为符合

存在同名用户,判定结果为不符合

测评分项2:

禁止多个人员共用一个账号

操作步骤

访谈网络管理员,是否为每个管理员设置了单独的账户

适用版本

所有内容

实施风险

符合性判定

访谈结果表明,为每个用户设置了单独账户,判定结果为符合

访谈结果表明,未为每个用户设置单独账户,判定结果为不符合

备注

4.身份鉴别信息不易被冒用

测评项编号

ADT-FW-11

对应要求

身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。

应修改默认用户和口令,不得使用缺省口令,口令长度不得小于8位,要是是字母和数字或特殊字符的混合并不得与用户名相同,口令应定期更换,并加密存储

测评项名称

身份鉴别信息不易被冒用

测评分项1:

口令复杂度满足要求

操作步骤

访谈设备管理员,口令的复杂度要求和更改周期

适用版本

任何产品

实施风险

符合性判定

口令复杂度满足长度、复杂度等要求,并定期更换,判定结果为符合

部分要求不满足,判定结果为部分符合

要求全部满足,判定结果为不符合

备注

5.双因子身份鉴别

测评项编号

ADT-FW-12

对应要求

主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别

测评项名称

双因子身份鉴别

测评分项1:

采用双因子身份鉴别方式

操作步骤

检查管理员登录防火墙是否采用双因子身份鉴别方式

适用版本

任何产品

实施风险

符合性判定

除用户+口令的身份鉴别方式外,还采取USBKEY或令牌的身份鉴别方式,判定结果为符合

仅采用用户+口令的身份鉴别方式,判定结果为不符合

备注

6.登录失败和超时处理

测评项编号

ADT-FW-13

对应要求

应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施

测评项名称

登录失败和超时处理

测评分项1:

登录失败处理方式

操作步骤

访谈管理员,检查登录失败后采取的处理方式

适用版本

任何产品

实施风险

符合性判定

用户登录失败一定次数后,采取用户锁定、结束会话等措施,判定结果为符合

无用户登录失败次数限制,判定结果为不符合

测评分项2:

登录超时处理

操作步骤

访谈网络管理员,检查网络连接超时时是否采取注销会话、自动退出等措施。

适用版本

任何产品

实施风险

符合性判定

具有登录超时退出处理机制的,判定结果为符合

不具有登录超时退出处理机制的,判定结果为不符合

备注

7.远程管理信息的保密性

测评项编号

ADT-FW-14

对应要求

当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听

测评项名称

远程管理信息的保密性

测评分项1:

管理员远程登录防火墙时,应采取加密措施防窃听

操作步骤

访谈网络管理员,是否存在远程登录管理行为,检查身份鉴别信息是否采用加密措施。

适用版本

任何产品

实施风险

符合性判定

远程管理信息采取加密措施,判定结果为符合

远程管理信息明文传输,判定结果为不符合

备注

8.特权用户权限分离

测评项编号

ADT-FW-15

对应要求

应实现设备特权用户的权限分离

测评分项1:

特权用户的权限分离

操作步骤

访谈网络管理员,检查设备特权用户的权限是否分离

适用版本

任何产品

实施风险

符合性判定

防火墙的管理员具备独立的审计账户,仅具有查看权限,判定结果为符合

上述情况不满足,判定结果为不符合

备注

 

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 职业教育 > 职业技术培训

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1