1SGISLOP-SA110防火墻等級保護測評作業(yè)指導(dǎo)書三級

1、控制編號：SGISL/OP-SA14-10信息安全等級保護測評作業(yè)指導(dǎo)書防火墻（三級）版號：第2版修改次數(shù)：第0次生效日期：2010年01月06日中國電力科學(xué)研究院信息安全實驗室中國電力科學(xué)研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1 1 頁共 1313 頁防火墻等級保護測評作業(yè)指導(dǎo)書（三級）第 2 2 版第 0 0 次修訂發(fā)布日期：20102010 年 0101 月 0606 日修改頁修訂號控制編號版號/章 P P3 3修改人修訂原因批準(zhǔn)人批準(zhǔn)日期備注1SGISL/OP-SA14-10唐斐按公安部要求修訂詹雄2010.3.8中國電力科學(xué)

2、研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 2 2 頁共 1313 頁防火墻等級保護測評作業(yè)指導(dǎo)書（三級）第 2 2 版第 0 0 次修訂發(fā)布日期：20102010 年 0101 月 0606 日一、網(wǎng)絡(luò)訪問控制訪問1.1.端口級的訪問控制測評項編號ADT-FW-01ADT-FW-01對應(yīng)要求應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級測評項名稱端口級的網(wǎng)絡(luò)訪問控制測評分項 1:1:查看防火墻缺省規(guī)則是否為默認(rèn)禁止操作步驟在管理界面中，查看防火墻已有的安全規(guī)則。適用版本任何版本實施風(fēng)險無符合性判定訪談網(wǎng)絡(luò)管理

3、員，防火墻的缺省規(guī)則。如為默認(rèn)允許，則應(yīng)查看防火墻的最后一條安全規(guī)則，如果不是拒絕從 anyany 到 anyany 的任何協(xié)議通過，判定結(jié)果為不符合；其它情況，判定結(jié)果為符合。測評分項 2:2:檢查防火墻控制粒度是否為端口級操作步驟訪談網(wǎng)絡(luò)管理員，確定防火墻應(yīng)允許/拒絕的網(wǎng)絡(luò)服務(wù)的連接。查看防火墻規(guī)則，驗證控制粒度是否為端口級。適用版本任何產(chǎn)品實施風(fēng)險無中國電力科學(xué)研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 3 3 頁共 1313 頁防火墻等級保護測評作業(yè)指導(dǎo)書（三級）第 2 2 版第 0 0 次修訂發(fā)布日期：20102010 年 010

4、1 月 0606 日符合性判定查看防火墻所配置的訪問控制規(guī)則，果為符合；查看防火墻所配置的訪問控制規(guī)則，結(jié)果為不符合。規(guī)則設(shè)置的參數(shù)包括端口，判定結(jié)規(guī)則設(shè)置的參數(shù)不包括端口，判定備注2.2.協(xié)議命令級的網(wǎng)絡(luò)訪問控制測評項編號ADT-FW-02ADT-FW-02對應(yīng)要求應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層 HTTPHTTP、FTPFTP、TELNETTELNET SMTPSMTP、POP3POP3 等協(xié)議命令級的控制測評項名稱協(xié)議命令級的網(wǎng)絡(luò)訪問控制測評分項 1:1:實現(xiàn)應(yīng)用層 HTTPHTTP、FTPFTP、TELNETTELNET、SMTPSMTP、POP3POP3 等協(xié)議命令級的控

5、制操作步驟檢查防火墻對 H H 口 P P、FTPFTP、TELNETTELNET SMTPSMTP、POP3POP3 協(xié)議的內(nèi)容過濾配置適用版本任何產(chǎn)品實施風(fēng)險無符合性判定如防火墻應(yīng)用層協(xié)議內(nèi)容過濾配置中配置的參數(shù)包含 URLURL 地址、收件人、FTPFTP 下載的文件類型等，判定結(jié)果為符合；若無上述參數(shù)，協(xié)議命令級的網(wǎng)絡(luò)訪問控制判定結(jié)果為不符合。備注中國電力科學(xué)研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 4 4 頁共 1313 頁防火墻等級保護測評作業(yè)指導(dǎo)書（三級）第 2 2 版第 0 0 次修訂發(fā)布日期：20102010 年 010

6、1 月 0606 日3.3.會話連接超時處理測評項編號ADT-FW-03ADT-FW-03對應(yīng)要求應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接測評項名稱會話連接超時處理測評分項 1:1:防火墻上設(shè)置會話連接超時操作步驟在管理界面上，查看是否設(shè)置了會話連接超時。適用版本任何產(chǎn)品實施風(fēng)險無符合性判定管理界面上，查看設(shè)置的會話連接超時間，且時間設(shè)置的合理，判定結(jié)果為符合。管理界面上，未設(shè)置會話連接超時時間，判定結(jié)果為不符合。若時間設(shè)置的不合理，則判定為部分符合。備注4.4.網(wǎng)絡(luò)流量和最大連接數(shù)的限制測評項編號ADT-FW-04ADT-FW-04對應(yīng)要求在互聯(lián)網(wǎng)出口和核心網(wǎng)絡(luò)接口處應(yīng)限制網(wǎng)絡(luò)最大

7、流量數(shù)及網(wǎng)絡(luò)連接數(shù)測評項名稱網(wǎng)絡(luò)流量和最大連接數(shù)的限制測評分項 1:1:根據(jù) IPIP 地址、端口、協(xié)議來限制應(yīng)用數(shù)據(jù)流的最大流量，根據(jù) IPIP 地址限制網(wǎng)絡(luò)連接數(shù)中國電力科學(xué)研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 5 5 頁共 1313 頁防火墻等級保護測評作業(yè)指導(dǎo)書（三級）第 2 2 版第 0 0 次修訂發(fā)布日期：20102010 年 0101 月 0606 日操作步驟訪談網(wǎng)絡(luò)管理員，是否需要限制網(wǎng)絡(luò)最大流量和網(wǎng)絡(luò)連接數(shù)。在管理界面上，查看是否設(shè)置了網(wǎng)絡(luò)最大流量和網(wǎng)絡(luò)連接數(shù)。適用版本任何產(chǎn)品實施風(fēng)險無符合性判定管理界面上，查看設(shè)置

8、了最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)，判定結(jié)果為符合。如訪談結(jié)果顯示不需要設(shè)置網(wǎng)絡(luò)最大流量和網(wǎng)絡(luò)連接數(shù)，判定結(jié)果也為符合。管理界面上，未設(shè)置最大流量數(shù)，判定結(jié)果為不符合。備注二、安全審計1.1.日志記錄測評項編號ADT-FW-05ADT-FW-05對應(yīng)要求應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄測評項名稱防火墻日志記錄測評分項 1:1:防火墻記錄防火墻的管理行為、設(shè)備運行狀況和網(wǎng)絡(luò)流量。操作步驟查看防火墻的日志，是否存在防火墻的管理行為、網(wǎng)絡(luò)流量、訪問控制策略的匹配等相關(guān)日志記錄適用版本任何產(chǎn)品實施風(fēng)險無中國電力科學(xué)研究院信息安全實驗室控制編號：SGISL/OP-SA14-10S

9、GISL/OP-SA14-10第 6 6 頁共 1313 頁防火墻等級保護測評作業(yè)指導(dǎo)書（三級）第 2 2 版第 0 0 次修訂發(fā)布日期：20102010 年 0101 月 0606 日符合性判定存在防火墻的管理行為、網(wǎng)絡(luò)流量、訪問控制策略的匹配等相關(guān)日志記錄，判定結(jié)果為符合包含上述內(nèi)容不全面，判定結(jié)果為部分符合測評分項 2:2:審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件結(jié)果等操作步驟查看日志記錄內(nèi)容，是否包含事件的日期和時間、用戶、事件類型、事件結(jié)果適用版本所有內(nèi)容實施風(fēng)險無符合性判定包含事件的日期和時間、用戶、事件類型、事件結(jié)果，判定結(jié)果為符合包含上述內(nèi)容不全面，判定結(jié)果為部分

10、符合備注2.2.日志分析測評項編號ADT-FW-06ADT-FW-06對應(yīng)要求應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表測評項名稱日志分析測評分項 1:1:查詢各種審計數(shù)據(jù)的分析結(jié)果并生成報表操作步驟登陸防火墻管理界面，分類統(tǒng)計已有的審計數(shù)據(jù)，并選擇生成圖表適用版本任何產(chǎn)品實施風(fēng)險無中國電力科學(xué)研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 7 7 頁共 1313 頁防火墻等級保護測評作業(yè)指導(dǎo)書（三級）第 2 2 版第 0 0 次修訂發(fā)布日期：20102010 年 0101 月 0606 日符合性判定根據(jù)防火墻支持的分類統(tǒng)計方法分析審計記錄數(shù)據(jù)

11、，并生成圖表，判定結(jié)果為符合防火墻/、能分析已有的審計記錄以生成數(shù)據(jù)和圖表，判定結(jié)果為不符合備注3.3.審計記錄的保護測評項編號ADT-FW-07ADT-FW-07對應(yīng)要求應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等測評項名稱審計記錄的保護測評分項 1:1:審計記錄的完好性保護操作步驟訪談網(wǎng)絡(luò)設(shè)備管理員，米取了何種方法來避免審計日志的未授權(quán)修改、刪除和破壞適用版本任何產(chǎn)品實施風(fēng)險無符合性判定訪談結(jié)果顯示，采取了方法如設(shè)置日志服務(wù)器來保護審計日志，判定結(jié)果為符合訪談結(jié)果顯示，未采取方法如設(shè)置日志服務(wù)器來保護審計日志，判定結(jié)果為不符合備注三、設(shè)備防護1.1.身份鑒別中國電力科學(xué)研究院信

12、息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 8 8 頁共 1313 頁防火墻等級保護測評作業(yè)指導(dǎo)書（三級）第 2 2 版第 0 0 次修訂發(fā)布日期：20102010 年 0101 月 0606 日測評項編號ADT-FW-08ADT-FW-08對應(yīng)要求應(yīng)對登陸網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別測評項名稱身份鑒別測評分項 1:1:用戶登錄設(shè)備的身份鑒別過程操作步驟檢查設(shè)備管理員米用何種方式登錄，是否對登陸用戶進行身份鑒別，是否修改了默認(rèn)的用戶名及密碼適用版本所有內(nèi)容實施風(fēng)險無符合性判定登陸失敗，判定結(jié)果為符合登陸成功，判定結(jié)果為失敗備注2.2.設(shè)備管理地址的限

13、制測評項編號ADT-FW-09ADT-FW-09對應(yīng)要求應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制測評項名稱設(shè)備管理地址的限制測評分項 1:1:限制設(shè)備管理員的登錄地址操作步驟登錄防火墻管理界面，檢查是否設(shè)置管理員的登錄主機地址適用版本所有內(nèi)容實施風(fēng)險無符合性判定設(shè)置了管理員的登錄主機地址，判定結(jié)果為符合中國電力科學(xué)研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 9 9 頁共 1313 頁防火墻等級保護測評作業(yè)指導(dǎo)書（三級）第 2 2 版第 0 0 次修訂發(fā)布日期：20102010 年 0101 月 0606 日未設(shè)置管理員的登錄主機地址，判定結(jié)果為

14、不符合備注3.3.身份標(biāo)識唯測評項編號ADT-FW-10ADT-FW-10對應(yīng)要求網(wǎng)絡(luò)設(shè)備標(biāo)識應(yīng)唯一；同一網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識應(yīng)唯一；禁止多個人員共用一個賬號測評項名稱身份標(biāo)識唯一測評分項 1:1:同一網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識唯一操作步驟登錄防火墻管理界面，檢查是否存在同名用戶適用版本所有內(nèi)容實施風(fēng)險無符合性判定不存在同名用戶，判定結(jié)果為符合存在同名用戶，判定結(jié)果為不符合測評分項 2:2:禁止多個人員共用一個賬號操作步驟訪談網(wǎng)絡(luò)管理員，是否為每個管理員設(shè)置了單獨的賬戶適用版本所有內(nèi)容實施風(fēng)險無符合性判定訪談結(jié)果表明，為每個用戶設(shè)置了單獨賬戶，判定結(jié)果為符合訪談結(jié)果表明，未為每個用戶設(shè)置單獨賬戶，判定結(jié)

15、果為不符合中國電力科學(xué)研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1010 頁共 1313 頁防火墻等級保護測評作業(yè)指導(dǎo)書（三級）第 2 2 版第 0 0 次修訂發(fā)布日期：20102010 年 0101 月 0606 日備注4.4.身份鑒別信息不易被冒用測評項編號ADT-FW-11ADT-FW-11對應(yīng)要求身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換。應(yīng)修改默認(rèn)用戶和口令， 不得使用缺省口令， 口令長度不得小于 8 8位，要是是字母和數(shù)字或特殊字符的混合并不得與用戶名相同，口令應(yīng)定期更換，并加密存儲測評項名稱身份鑒別信息不易被冒

16、用測評分項 1:1:口令復(fù)雜度滿足要求操作步驟訪談設(shè)備管理員，口令的復(fù)雜度要求和更改周期適用版本任何產(chǎn)品實施風(fēng)險無符合性判定口令復(fù)雜度滿足長度、復(fù)雜度等要求，并定期更換，判定結(jié)果為符合部分要求不滿足，判定結(jié)果為部分符合要求全部滿足，判定結(jié)果為不符合備注5.5.雙因子身份鑒別測評項編號ADT-FW-12ADT-FW-12對應(yīng)要求主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或中國電力科學(xué)研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1111 頁共 1313 頁防火墻等級保護測評作業(yè)指導(dǎo)書（三級）第 2 2 版第 0 0 次修訂發(fā)布日期：20102010 年

17、0101 月 0606 日兩種以上組合的鑒別技術(shù)來進行身份鑒別測評項名稱雙因子身份鑒別測評分項 1:1:米用雙因子身份鑒別方式操作步驟檢查管理員登錄防火墻是否采用雙因子身份鑒別方式適用版本任何產(chǎn)品實施風(fēng)險無符合性判定除用戶+ +口令的身份鑒別方式外，還米取 USBKEYUSBKEY 或令牌的身份鑒別方式，判定結(jié)果為符合僅采用用戶+口令的身份鑒別方式，判定結(jié)果為不符合備注6.6.登錄失敗和超時處理測評項編號ADT-FW-13ADT-FW-13對應(yīng)要求也具有登錄失敗處埋功能，口米取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施測評項名稱登錄失敗和超時處理測評分項 1:1:登錄失敗處理

18、方式操作步驟訪談管理員，檢查登錄失敗后采取的處理方式適用版本任何產(chǎn)品中國電力科學(xué)研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1212 頁共 1313 頁防火墻等級保護測評作業(yè)指導(dǎo)書（三級）第 2 2 版第 0 0 次修訂發(fā)布日期：20102010 年 0101 月 0606 日實施風(fēng)險無符合性判定用戶登錄失敗 f 次數(shù)后，米取用戶鎖定、結(jié)束會話等措施，判定結(jié)果為符合無用戶登錄失敗次數(shù)限制，判定結(jié)果為不符合測評分項 2:2:登錄超時處理操作步驟訪談網(wǎng)絡(luò)管理員，檢查網(wǎng)絡(luò)連接超時時是否采取注銷會話、自動退出等措施。適用版本任何產(chǎn)品實施風(fēng)險無符合性判定具有登錄超時退出處理機制的，判定結(jié)果為符合不具有登錄超時退出處理機制的，判定結(jié)果為不符合備注7.7.遠(yuǎn)程管理信息的保密性測評項編號ADT-FW-14ADT-FW-14對應(yīng)要求當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽測評項名稱遠(yuǎn)程管理信息的保密性測評分項 1:1:管理員遠(yuǎn)程登錄防火墻時，應(yīng)采取加密措施防竊聽操作步驟訪談網(wǎng)絡(luò)管理員，是否存在遠(yuǎn)程登錄管理行為，檢查身份鑒別信息是否中國電力科學(xué)研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1313 頁共 131