1、控制编号:SGISL/OP-SA14-10信息安全等级保护测评作业指导书防火墙(三级)版 号:第 2 版修 改 次 数:第 0 次生 效 日 期:01月06日中国电力科学研究院信息安全试验室修改页修订号控制编号版号/章节号修改人修订原因同意人同意日期备注1SGISL/OP-SA14-10唐斐按公安部要求修订詹雄.3.8一、网络访问控制访问1端口级访问控制测评项编号ADT-FW-01对应要求应能依据会话状态信息为数据流提供明确许可/拒绝访问能力,控制粒度为端口级测评项名称端口级网络访问控制测评分项1:查看防火墙缺省规则是否为默认严禁操作步骤在管理界面中,查看防火墙已经有安全规则。适用版本任何版本
2、实施风险无符合性判定访谈网络管理员,防火墙缺省规则。如为默认许可,则应查看防火墙最终一条安全规则,假如不是拒绝从any到any 任何协议经过,判定结果为不符合;其它情况,判定结果为符合。测评分项2:检验防火墙控制粒度是否为端口级操作步骤访谈网络管理员,确定防火墙应许可/拒绝网络服务连接。查看防火墙规则,验证控制粒度是否为端口级。 适用版本任何产品实施风险无符合性判定查看防火墙所配置访问控制规则,规则设置参数包含端口,判定结果为符合;查看防火墙所配置访问控制规则,规则设置参数不包含端口,判定结果为不符合。备注2协议命令级网络访问控制测评项编号ADT-FW-02对应要求应对进出网络信息内容进行过滤
3、,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级控制测评项名称协议命令级网络访问控制测评分项1: 实现应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级控制操作步骤检验防火墙对HTTP、FTP、TELNET、SMTP、POP3协议内容过滤配置适用版本任何产品实施风险无符合性判定如防火墙应用层协议内容过滤配置中配置参数包含URL地址、收件人、FTP下载文件类型等,判定结果为符合;若无上述参数,协议命令级网络访问控制判定结果为不符合。备注3会话连接超时处理测评项编号ADT-FW-03对应要求应在会话处于非活跃一定时间或会话结束后终止网络连接测评项名称会
4、话连接超时处理测评分项1: 防火墙上设置会话连接超时操作步骤在管理界面上,查看是否设置了会话连接超时。适用版本任何产品实施风险无符合性判定管理界面上,查看设置会话连接超时间,且时间设置合理,判定结果为符合。管理界面上,未设置会话连接超时时间,判定结果为不符合。若时间设置不合理,则判定为部分符合。备注4网络流量和最大连接数限制测评项编号ADT-FW-04对应要求在互联网出口和关键网络接口处应限制网络最大流量数及网络连接数测评项名称网络流量和最大连接数限制测评分项1: 依据IP地址、端口、协议来限制应用数据流最大流量,依据IP地址限制网络连接数操作步骤访谈网络管理员,是否需要限制网络最大流量和网络
5、连接数。在管理界面上,查看是否设置了网络最大流量和网络连接数。适用版本任何产品实施风险无符合性判定管理界面上,查看设置了最大流量数和网络连接数,判定结果为符合。如访谈结果显示不需要设置网络最大流量和网络连接数,判定结果也为符合。管理界面上,未设置最大流量数,判定结果为不符合。备注二、安全审计1日志统计测评项编号ADT-FW-05对应要求应对网络系统中网络设备运行情况、网络流量、用户行为等进行日志统计测评项名称防火墙日志统计测评分项1: 防火墙统计防火墙管理行为、设备运行情况和网络流量。操作步骤查看防火墙日志,是否存在防火墙管理行为、网络流量、访问控制策略匹配等相关日志统计适用版本任何产品实施风
6、险无符合性判定存在防火墙管理行为、网络流量、访问控制策略匹配等相关日志统计,判定结果为符合包含上述内容不全方面,判定结果为部分符合测评分项2: 审计统计应包含:事件日期和时间、用户、事件类型、事件结果等操作步骤查看日志统计内容,是否包含事件日期和时间、用户、事件类型、事件结果适用版本全部内容实施风险无符合性判定包含事件日期和时间、用户、事件类型、事件结果,判定结果为符合包含上述内容不全方面,判定结果为部分符合备注2日志分析测评项编号ADT-FW-06对应要求应能够依据统计数据进行分析,并生成审计报表测评项名称日志分析测评分项1:查询多种审计数据分析结果并生成报表操作步骤登陆防火墙管理界面,分类
7、统计已经有审计数据,并选择生成图表适用版本任何产品实施风险无符合性判定依据防火墙支持分类统计方法分析审计统计数据,并生成图表,判定结果为符合防火墙不能分析已经有审计统计以生成数据和图表,判定结果为不符合备注3审计统计保护测评项编号ADT-FW-07对应要求应对审计统计进行保护,避免受到未预期删除、修改或覆盖等测评项名称审计统计保护测评分项1: 审计统计完好性保护操作步骤访谈网络设备管理员,采取了何种方法来避免审计日志未授权修改、删除和破坏适用版本任何产品实施风险无符合性判定访谈结果显示,采取了方法如设置日志服务器来保护审计日志,判定结果为符合访谈结果显示,未采取方法如设置日志服务器来保护审计日
8、志,判定结果为不符合备注三、设备防护1身份判别测评项编号ADT-FW-08对应要求应对登陆网络设备用户进行身份判别测评项名称身份判别测评分项1: 用户登录设备身份判别过程操作步骤检验设备管理员采取何种方法登录,是否对登陆用户进行身份判别,是否修改了默认用户名及密码适用版本全部内容实施风险无符合性判定登陆失败,判定结果为符合登陆成功,判定结果为失败备注2设备管理地址限制测评项编号ADT-FW-09对应要求应对网络设备管理员登录地址进行限制测评项名称设备管理地址限制测评分项1: 限制设备管理员登录地址操作步骤登录防火墙管理界面,检验是否设置管理员登录主机地址适用版本全部内容实施风险无符合性判定设置
9、了管理员登录主机地址,判定结果为符合未设置管理员登录主机地址,判定结果为不符合备注3身份标识唯一测评项编号ADT-FW-10对应要求网络设备标识应唯一;同一网络设备用户标识应唯一;严禁多个人员共用一个账号测评项名称身份标识唯一测评分项1: 同一网络设备用户标识唯一操作步骤登录防火墙管理界面,检验是否存在同名用户适用版本全部内容实施风险无符合性判定不存在同名用户,判定结果为符合存在同名用户,判定结果为不符合测评分项2: 严禁多个人员共用一个账号操作步骤访谈网络管理员,是否为每个管理员设置了单独账户适用版本全部内容实施风险无符合性判定访谈结果表明,为每个用户设置了单独账户,判定结果为符合访谈结果表
10、明,未为每个用户设置单独账户,判定结果为不符合备注4身份判别信息不易被冒用测评项编号ADT-FW-11对应要求身份判别信息应不易被冒用,口令复杂度应满足要求并定时更换。应修改默认用户和口令,不得使用缺省口令,口令长度不得小于8位,要是是字母和数字或特殊字符混合并不得和用户名相同,口令应定时更换,并加密存放测评项名称身份判别信息不易被冒用测评分项1:口令复杂度满足要求操作步骤访谈设备管理员,口令复杂度要求和更改周期适用版本任何产品实施风险无符合性判定口令复杂度满足长度、复杂度等要求,并定时更换,判定结果为符合部分要求不满足,判定结果为部分符合要求全部满足,判定结果为不符合备注5双因子身份判别测评
11、项编号ADT-FW-12对应要求关键网络设备应对同一用户选择两种或两种以上组合判别技术来进行身份判别测评项名称双因子身份判别测评分项1:采取双因子身份判别方法 操作步骤检验管理员登录防火墙是否采取双因子身份判别方法适用版本任何产品实施风险无符合性判定除用户+口令身份判别方法外,还采取USB KEY或令牌身份判别方法,判定结果为符合仅采取用户+口令身份判别方法,判定结果为不符合备注6登录失败和超时处理测评项编号ADT-FW-13对应要求应含有登录失败处理功效,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等方法测评项名称登录失败和超时处理测评分项1:登录失败处理方法 操作步骤访谈管
12、理员,检验登录失败后采取处理方法适用版本任何产品实施风险无符合性判定用户登录失败一定次数后,采取用户锁定、结束会话等方法,判定结果为符合无用户登录失败次数限制,判定结果为不符合测评分项2:登录超时处理操作步骤访谈网络管理员,检验网络连接超时时是否采取注销会话、自动退出等方法。适用版本任何产品实施风险无符合性判定含有登录超时退出处理机制,判定结果为符合不含有登录超时退出处理机制,判定结果为不符合备注7远程管理信息保密性测评项编号ADT-FW-14对应要求当对网络设备进行远程管理时,应采取必需方法预防判别信息在网络传输过程中被窃听测评项名称远程管理信息保密性测评分项1:管理员远程登录防火墙时,应采取加密方法防窃听操作步骤访谈网络管理员,是否存在远程登录管理行为,检验身份判别信息是否采取加密方法。适用版本任何产品实施风险无符合性判定远程管理信息采取加密方法,判定结果为符合远程管理信息明文传输,判定结果为不符合备注8特权用户权限分离测评项编号ADT-FW-15对应要求应实现设备特权用户权限分离测评分项1:特权用户权限分离 操作步骤访谈网络管理员,检验设备特权用户权限是否分离适用版本任何产品实施风险无符合性判定防火墙管理员含有独立审计账户,仅含有查看权限,判定结果为符合上述情况不满足,判定结果为不符合备注
浙ICP备2021020529号-1 | 浙B2-20240490 
