15SGISLOPSA1710IDS等级保护测评作业指导书三级.docx

15SGISLOPSA1710IDS等级保护测评作业指导书三级.docx

《15SGISLOPSA1710IDS等级保护测评作业指导书三级.docx》由会员分享，可在线阅读，更多相关《15SGISLOPSA1710IDS等级保护测评作业指导书三级.docx（7页珍藏版）》请在冰豆网上搜索。

15SGISLOPSA1710IDS等级保护测评作业指导书三级

控制编号：

SGISL/OP-SA17-10

信息安全等级保护测评作业指导书

IDS（三级）

版号：

第2版

修改次数：

第0次

生效日期：

2010年01月06日

中国电力科学研究信息安全实验室

修改页

修订号

控制编号

版号/

章节号

修改人

修订原因

批准人

批准日期

备注

1

SGISL/OP-SA17-10

唐斐

按公安部要求修订

詹雄

2010.3.8

一、安全审计

1．日志记录

测评项编号

ADT-FW-04

对应要求

应对设备运行状况、网络流量等进行日志记录

测评项名称

日志记录

测评分项1：

记录IDS的管理行为、设备运行状况和网络异常流量。

操作步骤

查看IDS日志，是否存在设备运行状况和网络异常流量等相关日志记录

适用版本

任何产品

实施风险

无

符合性判定

存在防火墙的管理行为、网络流量等相关日志记录，判定结果为符合

包含上述内容不全面，判定结果为不符合

测评分项2：

审计记录应包括：

事件的日期和时间、用户、事件类型、事件结果等

操作步骤

查看日志记录内容，是否包含事件的日期和时间、用户、事件类型、事件结果

适用版本

所有内容

实施风险

无

符合性判定

包含事件的日期和时间、用户、事件类型、事件结果，判定结果为符合

包含上述内容不全面，判定结果为不符合

备注

2．日志分析

测评项编号

ADT-FW-04

对应要求

应能够根据记录数据进行分析，并生成审计报表

测评项名称

日志分析

测评分项1：

根据各种审计数据分析，并生成报表

操作步骤

登陆IDS管理界面，获取日志分析报告及图表

适用版本

任何产品

实施风险

无

符合性判定

能获取到日志分析报告及图表，判定结果为符合

不能获取到日志分析报告及图表，判定结果为不符合

3．审计记录的保护

测评项编号

ADT-FW-04

对应要求

应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等

测评项名称

审计记录的保护

测评分项1：

审计记录的完好性保护

操作步骤

查看审计记录的存储，是否XX可删除、修改审计记录

适用版本

任何产品

实施风险

无

符合性判定

XX，不可删除、修改审计记录，判定结果为符合

XX，可删除、修改审计记录，判定结果为不符合

三、安全防护

1．身份鉴别方式

测评项编号

ADT-FW-04

对应要求

应对登陆网络设备的用户进行身份鉴别

测评项名称

身份鉴别

测评分项1：

限制管理员的登录IP地址

操作步骤

使用限制地址范围之外的IP地址登陆IDS

适用版本

所有内容

实施风险

无

符合性判定

登陆失败，判定结果为符合

登陆成功，判定结果为失败

测评分项2：

用户标识唯一

操作步骤

检查防火墙管理员是否都有单独的帐号

适用版本

所有内容

实施风险

无

符合性判定

帐号独立，判定结果为符合

只存在一个超级管理员帐号，或多人共用一个帐号，判定结果为不符合

测评分项3：

使用两种或两种以上组合的鉴别技术进行身份鉴别

操作步骤

检查防火墙是否使用双因子鉴别方式，如口令+证书等

适用版本

所有内容

实施风险

无

符合性判定

使用双因子身份鉴别方式，判定结果为符合

未使用双因子身份鉴别方式，判定结果为不符合

备注

2．身份鉴别方式的防护

测评项编号

ADT-FW-04

对应要求

身份鉴别信息应具有不易被冒用的特点

测评项名称

身份鉴别

测评分项1：

修改默认帐号及口令

操作步骤

使用默认帐号及口令，通过WEB界面和Console口方式登陆IDS

适用版本

任何产品

实施风险

无

符合性判定

登陆失败，判定结果为符合

登陆成功，判定结果为不符合

测评分项2：

口令的复杂性和定期更换

操作步骤

访谈设备管理员，口令的长度、复杂度要求，口令是否定期更换

适用版本

任何产品

实施风险

无

符合性判定

口令具备长度和复杂度要求，并定期更换，判定结果为符合

上述情况不满足，判定结果为不符合

测评分项3：

身份鉴别失败处理和登陆超时处理

操作步骤

管理员登陆失败次数超出设定数值后，是否采取措施如结束会话，锁定用户等。

管理员成功登陆IDS后，网络连接超出设定时间后是否自动注销用户。

适用版本

任何产品

实施风险

无

符合性判定

具有上述鉴别失败处理机制和超时退出机制的，判定结果为符合

上述情况不满足，判定结果为不符合

测评分项4：

远程管理信息的机密性

操作步骤

远程管理的信息在传输过程中是否采取加密措施

适用版本

任何产品

实施风险

无

符合性判定

远程管理信息采取加密措施，判定结果为符合

远程管理信息明文传输，判定结果为不符合

测评分项5：

特权用户的权限分离

操作步骤

防火墙管理员应实现审计权限和安全策略配置权限的分离

适用版本

任何产品

实施风险

无

符合性判定

防火墙的管理员具备独立的审计账户，仅具有查看权限，判定结果为符合

上述情况不满足，判定结果为不符合

备注

四、备份和恢复

1．备份

测评项编号

ADT-FW-01

对应要求

应制定设备配置数据备份策略，对IDS日志及安全策略进行备份

测评项名称

备份

测评分项1：

IDS日志及安全策略的备份

操作步骤

查看IDS的日志及安全策略是否依据制定的数据备份策略实施

适用版本

任何版本

实施风险

无

符合性判定

依据数据备份策略实施，判定结果为符合；

未依据数据备份策略实施，判定结果为不符合。

备注