1SGISLOP-SA110防火墙等级保护测评作业指导书三级

1、控制编号：SGISL/OP-SA14-10信息安全等级保护测评作业指导书防火墙（三级）版号：第2版修改次数：第0次生效日期：2010年01月06日中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1 1 页共 1313 页防火墙等级保护测评作业指导书（三级）第 2 2 版第 0 0 次修订发布日期：20102010 年 0101 月 0606 日修改页修订号控制编号版号/章 P P3 3修改人修订原因批准人批准日期备注1SGISL/OP-SA14-10唐斐按公安部要求修订詹雄2010.3.8中国电力科学

2、研究院信息安全实验室控制编号：SGISL/OP-SA14-10SGISL/OP-SA14-10第 2 2 页共 1313 页防火墙等级保护测评作业指导书（三级）第 2 2 版第 0 0 次修订发布日期：20102010 年 0101 月 0606 日一、网络访问控制访问1.1.端口级的访问控制测评项编号ADT-FW-01ADT-FW-01对应要求应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级测评项名称端口级的网络访问控制测评分项 1:1:查看防火墙缺省规则是否为默认禁止操作步骤在管理界面中，查看防火墙已有的安全规则。适用版本任何版本实施风险无符合性判定访谈网络管理

3、员，防火墙的缺省规则。如为默认允许，则应查看防火墙的最后一条安全规则，如果不是拒绝从 anyany 到 anyany 的任何协议通过，判定结果为不符合；其它情况，判定结果为符合。测评分项 2:2:检查防火墙控制粒度是否为端口级操作步骤访谈网络管理员，确定防火墙应允许/拒绝的网络服务的连接。查看防火墙规则，验证控制粒度是否为端口级。适用版本任何产品实施风险无中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10SGISL/OP-SA14-10第 3 3 页共 1313 页防火墙等级保护测评作业指导书（三级）第 2 2 版第 0 0 次修订发布日期：20102010 年 010

4、1 月 0606 日符合性判定查看防火墙所配置的访问控制规则，果为符合；查看防火墙所配置的访问控制规则，结果为不符合。规则设置的参数包括端口，判定结规则设置的参数不包括端口，判定备注2.2.协议命令级的网络访问控制测评项编号ADT-FW-02ADT-FW-02对应要求应对进出网络的信息内容进行过滤，实现对应用层 HTTPHTTP、FTPFTP、TELNETTELNET SMTPSMTP、POP3POP3 等协议命令级的控制测评项名称协议命令级的网络访问控制测评分项 1:1:实现应用层 HTTPHTTP、FTPFTP、TELNETTELNET、SMTPSMTP、POP3POP3 等协议命令级的控

5、制操作步骤检查防火墙对 H H 口 P P、FTPFTP、TELNETTELNET SMTPSMTP、POP3POP3 协议的内容过滤配置适用版本任何产品实施风险无符合性判定如防火墙应用层协议内容过滤配置中配置的参数包含 URLURL 地址、收件人、FTPFTP 下载的文件类型等，判定结果为符合；若无上述参数，协议命令级的网络访问控制判定结果为不符合。备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10SGISL/OP-SA14-10第 4 4 页共 1313 页防火墙等级保护测评作业指导书（三级）第 2 2 版第 0 0 次修订发布日期：20102010 年 010

6、1 月 0606 日3.3.会话连接超时处理测评项编号ADT-FW-03ADT-FW-03对应要求应在会话处于非活跃一定时间或会话结束后终止网络连接测评项名称会话连接超时处理测评分项 1:1:防火墙上设置会话连接超时操作步骤在管理界面上，查看是否设置了会话连接超时。适用版本任何产品实施风险无符合性判定管理界面上，查看设置的会话连接超时间，且时间设置的合理，判定结果为符合。管理界面上，未设置会话连接超时时间，判定结果为不符合。若时间设置的不合理，则判定为部分符合。备注4.4.网络流量和最大连接数的限制测评项编号ADT-FW-04ADT-FW-04对应要求在互联网出口和核心网络接口处应限制网络最大

7、流量数及网络连接数测评项名称网络流量和最大连接数的限制测评分项 1:1:根据 IPIP 地址、端口、协议来限制应用数据流的最大流量，根据 IPIP 地址限制网络连接数中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10SGISL/OP-SA14-10第 5 5 页共 1313 页防火墙等级保护测评作业指导书（三级）第 2 2 版第 0 0 次修订发布日期：20102010 年 0101 月 0606 日操作步骤访谈网络管理员，是否需要限制网络最大流量和网络连接数。在管理界面上，查看是否设置了网络最大流量和网络连接数。适用版本任何产品实施风险无符合性判定管理界面上，查看设置

8、了最大流量数和网络连接数，判定结果为符合。如访谈结果显示不需要设置网络最大流量和网络连接数，判定结果也为符合。管理界面上，未设置最大流量数，判定结果为不符合。备注二、安全审计1.1.日志记录测评项编号ADT-FW-05ADT-FW-05对应要求应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录测评项名称防火墙日志记录测评分项 1:1:防火墙记录防火墙的管理行为、设备运行状况和网络流量。操作步骤查看防火墙的日志，是否存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录适用版本任何产品实施风险无中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10S

9、GISL/OP-SA14-10第 6 6 页共 1313 页防火墙等级保护测评作业指导书（三级）第 2 2 版第 0 0 次修订发布日期：20102010 年 0101 月 0606 日符合性判定存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记录，判定结果为符合包含上述内容不全面，判定结果为部分符合测评分项 2:2:审计记录应包括：事件的日期和时间、用户、事件类型、事件结果等操作步骤查看日志记录内容，是否包含事件的日期和时间、用户、事件类型、事件结果适用版本所有内容实施风险无符合性判定包含事件的日期和时间、用户、事件类型、事件结果，判定结果为符合包含上述内容不全面，判定结果为部分

10、符合备注2.2.日志分析测评项编号ADT-FW-06ADT-FW-06对应要求应能够根据记录数据进行分析，并生成审计报表测评项名称日志分析测评分项 1:1:查询各种审计数据的分析结果并生成报表操作步骤登陆防火墙管理界面，分类统计已有的审计数据，并选择生成图表适用版本任何产品实施风险无中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10SGISL/OP-SA14-10第 7 7 页共 1313 页防火墙等级保护测评作业指导书（三级）第 2 2 版第 0 0 次修订发布日期：20102010 年 0101 月 0606 日符合性判定根据防火墙支持的分类统计方法分析审计记录数据

11、，并生成图表，判定结果为符合防火墙/、能分析已有的审计记录以生成数据和图表，判定结果为不符合备注3.3.审计记录的保护测评项编号ADT-FW-07ADT-FW-07对应要求应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等测评项名称审计记录的保护测评分项 1:1:审计记录的完好性保护操作步骤访谈网络设备管理员，米取了何种方法来避免审计日志的未授权修改、删除和破坏适用版本任何产品实施风险无符合性判定访谈结果显示，采取了方法如设置日志服务器来保护审计日志，判定结果为符合访谈结果显示，未采取方法如设置日志服务器来保护审计日志，判定结果为不符合备注三、设备防护1.1.身份鉴别中国电力科学研究院信

12、息安全实验室控制编号：SGISL/OP-SA14-10SGISL/OP-SA14-10第 8 8 页共 1313 页防火墙等级保护测评作业指导书（三级）第 2 2 版第 0 0 次修订发布日期：20102010 年 0101 月 0606 日测评项编号ADT-FW-08ADT-FW-08对应要求应对登陆网络设备的用户进行身份鉴别测评项名称身份鉴别测评分项 1:1:用户登录设备的身份鉴别过程操作步骤检查设备管理员米用何种方式登录，是否对登陆用户进行身份鉴别，是否修改了默认的用户名及密码适用版本所有内容实施风险无符合性判定登陆失败，判定结果为符合登陆成功，判定结果为失败备注2.2.设备管理地址的限

13、制测评项编号ADT-FW-09ADT-FW-09对应要求应对网络设备的管理员登录地址进行限制测评项名称设备管理地址的限制测评分项 1:1:限制设备管理员的登录地址操作步骤登录防火墙管理界面，检查是否设置管理员的登录主机地址适用版本所有内容实施风险无符合性判定设置了管理员的登录主机地址，判定结果为符合中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10SGISL/OP-SA14-10第 9 9 页共 1313 页防火墙等级保护测评作业指导书（三级）第 2 2 版第 0 0 次修订发布日期：20102010 年 0101 月 0606 日未设置管理员的登录主机地址，判定结果为

14、不符合备注3.3.身份标识唯测评项编号ADT-FW-10ADT-FW-10对应要求网络设备标识应唯一；同一网络设备的用户标识应唯一；禁止多个人员共用一个账号测评项名称身份标识唯一测评分项 1:1:同一网络设备的用户标识唯一操作步骤登录防火墙管理界面，检查是否存在同名用户适用版本所有内容实施风险无符合性判定不存在同名用户，判定结果为符合存在同名用户，判定结果为不符合测评分项 2:2:禁止多个人员共用一个账号操作步骤访谈网络管理员，是否为每个管理员设置了单独的账户适用版本所有内容实施风险无符合性判定访谈结果表明，为每个用户设置了单独账户，判定结果为符合访谈结果表明，未为每个用户设置单独账户，判定结

15、果为不符合中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1010 页共 1313 页防火墙等级保护测评作业指导书（三级）第 2 2 版第 0 0 次修订发布日期：20102010 年 0101 月 0606 日备注4.4.身份鉴别信息不易被冒用测评项编号ADT-FW-11ADT-FW-11对应要求身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期更换。应修改默认用户和口令， 不得使用缺省口令， 口令长度不得小于 8 8位，要是是字母和数字或特殊字符的混合并不得与用户名相同，口令应定期更换，并加密存储测评项名称身份鉴别信息不易被冒

16、用测评分项 1:1:口令复杂度满足要求操作步骤访谈设备管理员，口令的复杂度要求和更改周期适用版本任何产品实施风险无符合性判定口令复杂度满足长度、复杂度等要求，并定期更换，判定结果为符合部分要求不满足，判定结果为部分符合要求全部满足，判定结果为不符合备注5.5.双因子身份鉴别测评项编号ADT-FW-12ADT-FW-12对应要求主要网络设备应对同一用户选择两种或中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1111 页共 1313 页防火墙等级保护测评作业指导书（三级）第 2 2 版第 0 0 次修订发布日期：20102010 年

17、0101 月 0606 日两种以上组合的鉴别技术来进行身份鉴别测评项名称双因子身份鉴别测评分项 1:1:米用双因子身份鉴别方式操作步骤检查管理员登录防火墙是否采用双因子身份鉴别方式适用版本任何产品实施风险无符合性判定除用户+ +口令的身份鉴别方式外，还米取 USBKEYUSBKEY 或令牌的身份鉴别方式，判定结果为符合仅采用用户+口令的身份鉴别方式，判定结果为不符合备注6.6.登录失败和超时处理测评项编号ADT-FW-13ADT-FW-13对应要求也具有登录失败处埋功能，口米取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施测评项名称登录失败和超时处理测评分项 1:1:登录失败处理

18、方式操作步骤访谈管理员，检查登录失败后采取的处理方式适用版本任何产品中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1212 页共 1313 页防火墙等级保护测评作业指导书（三级）第 2 2 版第 0 0 次修订发布日期：20102010 年 0101 月 0606 日实施风险无符合性判定用户登录失败 f 次数后，米取用户锁定、结束会话等措施，判定结果为符合无用户登录失败次数限制，判定结果为不符合测评分项 2:2:登录超时处理操作步骤访谈网络管理员，检查网络连接超时时是否采取注销会话、自动退出等措施。适用版本任何产品实施风险无符合性判定具有登录超时退出处理机制的，判定结果为符合不具有登录超时退出处理机制的，判定结果为不符合备注7.7.远程管理信息的保密性测评项编号ADT-FW-14ADT-FW-14对应要求当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听测评项名称远程管理信息的保密性测评分项 1:1:管理员远程登录防火墙时，应采取加密措施防窃听操作步骤访谈网络管理员，是否存在远程登录管理行为，检查身份鉴别信息是否中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1313 页共 131