1、控制編號：SGISL/OP-SA14-10信息安全等級保護測評作業指導書防火墻（三級）版號：第2版修改次數：第0次生效日期：2010年01月06日中國電力科學研究院信息安全實驗室中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1 1 頁共 1313 頁防火墻等級保護測評作業指導書（三級）第 2 2 版第 0 0 次修訂發布日期：20102010 年 0101 月 0606 日修改頁修訂號控制編號版號/章 P P3 3修改人修訂原因批準人批準日期備注1SGISL/OP-SA14-10唐斐按公安部要求修訂詹雄2010.3.8中國電力科學

2、研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 2 2 頁共 1313 頁防火墻等級保護測評作業指導書（三級）第 2 2 版第 0 0 次修訂發布日期：20102010 年 0101 月 0606 日一、網絡訪問控制訪問1.1.端口級的訪問控制測評項編號ADT-FW-01ADT-FW-01對應要求應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級測評項名稱端口級的網絡訪問控制測評分項 1:1:查看防火墻缺省規則是否為默認禁止操作步驟在管理界面中，查看防火墻已有的安全規則。適用版本任何版本實施風險無符合性判定訪談網絡管理

3、員，防火墻的缺省規則。如為默認允許，則應查看防火墻的最后一條安全規則，如果不是拒絕從 anyany 到 anyany 的任何協議通過，判定結果為不符合；其它情況，判定結果為符合。測評分項 2:2:檢查防火墻控制粒度是否為端口級操作步驟訪談網絡管理員，確定防火墻應允許/拒絕的網絡服務的連接。查看防火墻規則，驗證控制粒度是否為端口級。適用版本任何產品實施風險無中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 3 3 頁共 1313 頁防火墻等級保護測評作業指導書（三級）第 2 2 版第 0 0 次修訂發布日期：20102010 年 010

4、1 月 0606 日符合性判定查看防火墻所配置的訪問控制規則，果為符合；查看防火墻所配置的訪問控制規則，結果為不符合。規則設置的參數包括端口，判定結規則設置的參數不包括端口，判定備注2.2.協議命令級的網絡訪問控制測評項編號ADT-FW-02ADT-FW-02對應要求應對進出網絡的信息內容進行過濾，實現對應用層 HTTPHTTP、FTPFTP、TELNETTELNET SMTPSMTP、POP3POP3 等協議命令級的控制測評項名稱協議命令級的網絡訪問控制測評分項 1:1:實現應用層 HTTPHTTP、FTPFTP、TELNETTELNET、SMTPSMTP、POP3POP3 等協議命令級的控

5、制操作步驟檢查防火墻對 H H 口 P P、FTPFTP、TELNETTELNET SMTPSMTP、POP3POP3 協議的內容過濾配置適用版本任何產品實施風險無符合性判定如防火墻應用層協議內容過濾配置中配置的參數包含 URLURL 地址、收件人、FTPFTP 下載的文件類型等，判定結果為符合；若無上述參數，協議命令級的網絡訪問控制判定結果為不符合。備注中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 4 4 頁共 1313 頁防火墻等級保護測評作業指導書（三級）第 2 2 版第 0 0 次修訂發布日期：20102010 年 010

6、1 月 0606 日3.3.會話連接超時處理測評項編號ADT-FW-03ADT-FW-03對應要求應在會話處于非活躍一定時間或會話結束后終止網絡連接測評項名稱會話連接超時處理測評分項 1:1:防火墻上設置會話連接超時操作步驟在管理界面上，查看是否設置了會話連接超時。適用版本任何產品實施風險無符合性判定管理界面上，查看設置的會話連接超時間，且時間設置的合理，判定結果為符合。管理界面上，未設置會話連接超時時間，判定結果為不符合。若時間設置的不合理，則判定為部分符合。備注4.4.網絡流量和最大連接數的限制測評項編號ADT-FW-04ADT-FW-04對應要求在互聯網出口和核心網絡接口處應限制網絡最大

7、流量數及網絡連接數測評項名稱網絡流量和最大連接數的限制測評分項 1:1:根據 IPIP 地址、端口、協議來限制應用數據流的最大流量，根據 IPIP 地址限制網絡連接數中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 5 5 頁共 1313 頁防火墻等級保護測評作業指導書（三級）第 2 2 版第 0 0 次修訂發布日期：20102010 年 0101 月 0606 日操作步驟訪談網絡管理員，是否需要限制網絡最大流量和網絡連接數。在管理界面上，查看是否設置了網絡最大流量和網絡連接數。適用版本任何產品實施風險無符合性判定管理界面上，查看設置

8、了最大流量數和網絡連接數，判定結果為符合。如訪談結果顯示不需要設置網絡最大流量和網絡連接數，判定結果也為符合。管理界面上，未設置最大流量數，判定結果為不符合。備注二、安全審計1.1.日志記錄測評項編號ADT-FW-05ADT-FW-05對應要求應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄測評項名稱防火墻日志記錄測評分項 1:1:防火墻記錄防火墻的管理行為、設備運行狀況和網絡流量。操作步驟查看防火墻的日志，是否存在防火墻的管理行為、網絡流量、訪問控制策略的匹配等相關日志記錄適用版本任何產品實施風險無中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA14-10S

9、GISL/OP-SA14-10第 6 6 頁共 1313 頁防火墻等級保護測評作業指導書（三級）第 2 2 版第 0 0 次修訂發布日期：20102010 年 0101 月 0606 日符合性判定存在防火墻的管理行為、網絡流量、訪問控制策略的匹配等相關日志記錄，判定結果為符合包含上述內容不全面，判定結果為部分符合測評分項 2:2:審計記錄應包括：事件的日期和時間、用戶、事件類型、事件結果等操作步驟查看日志記錄內容，是否包含事件的日期和時間、用戶、事件類型、事件結果適用版本所有內容實施風險無符合性判定包含事件的日期和時間、用戶、事件類型、事件結果，判定結果為符合包含上述內容不全面，判定結果為部分

10、符合備注2.2.日志分析測評項編號ADT-FW-06ADT-FW-06對應要求應能夠根據記錄數據進行分析，并生成審計報表測評項名稱日志分析測評分項 1:1:查詢各種審計數據的分析結果并生成報表操作步驟登陸防火墻管理界面，分類統計已有的審計數據，并選擇生成圖表適用版本任何產品實施風險無中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 7 7 頁共 1313 頁防火墻等級保護測評作業指導書（三級）第 2 2 版第 0 0 次修訂發布日期：20102010 年 0101 月 0606 日符合性判定根據防火墻支持的分類統計方法分析審計記錄數據

11、，并生成圖表，判定結果為符合防火墻/、能分析已有的審計記錄以生成數據和圖表，判定結果為不符合備注3.3.審計記錄的保護測評項編號ADT-FW-07ADT-FW-07對應要求應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等測評項名稱審計記錄的保護測評分項 1:1:審計記錄的完好性保護操作步驟訪談網絡設備管理員，米取了何種方法來避免審計日志的未授權修改、刪除和破壞適用版本任何產品實施風險無符合性判定訪談結果顯示，采取了方法如設置日志服務器來保護審計日志，判定結果為符合訪談結果顯示，未采取方法如設置日志服務器來保護審計日志，判定結果為不符合備注三、設備防護1.1.身份鑒別中國電力科學研究院信

12、息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 8 8 頁共 1313 頁防火墻等級保護測評作業指導書（三級）第 2 2 版第 0 0 次修訂發布日期：20102010 年 0101 月 0606 日測評項編號ADT-FW-08ADT-FW-08對應要求應對登陸網絡設備的用戶進行身份鑒別測評項名稱身份鑒別測評分項 1:1:用戶登錄設備的身份鑒別過程操作步驟檢查設備管理員米用何種方式登錄，是否對登陸用戶進行身份鑒別，是否修改了默認的用戶名及密碼適用版本所有內容實施風險無符合性判定登陸失敗，判定結果為符合登陸成功，判定結果為失敗備注2.2.設備管理地址的限

13、制測評項編號ADT-FW-09ADT-FW-09對應要求應對網絡設備的管理員登錄地址進行限制測評項名稱設備管理地址的限制測評分項 1:1:限制設備管理員的登錄地址操作步驟登錄防火墻管理界面，檢查是否設置管理員的登錄主機地址適用版本所有內容實施風險無符合性判定設置了管理員的登錄主機地址，判定結果為符合中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 9 9 頁共 1313 頁防火墻等級保護測評作業指導書（三級）第 2 2 版第 0 0 次修訂發布日期：20102010 年 0101 月 0606 日未設置管理員的登錄主機地址，判定結果為

14、不符合備注3.3.身份標識唯測評項編號ADT-FW-10ADT-FW-10對應要求網絡設備標識應唯一；同一網絡設備的用戶標識應唯一；禁止多個人員共用一個賬號測評項名稱身份標識唯一測評分項 1:1:同一網絡設備的用戶標識唯一操作步驟登錄防火墻管理界面，檢查是否存在同名用戶適用版本所有內容實施風險無符合性判定不存在同名用戶，判定結果為符合存在同名用戶，判定結果為不符合測評分項 2:2:禁止多個人員共用一個賬號操作步驟訪談網絡管理員，是否為每個管理員設置了單獨的賬戶適用版本所有內容實施風險無符合性判定訪談結果表明，為每個用戶設置了單獨賬戶，判定結果為符合訪談結果表明，未為每個用戶設置單獨賬戶，判定結

15、果為不符合中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1010 頁共 1313 頁防火墻等級保護測評作業指導書（三級）第 2 2 版第 0 0 次修訂發布日期：20102010 年 0101 月 0606 日備注4.4.身份鑒別信息不易被冒用測評項編號ADT-FW-11ADT-FW-11對應要求身份鑒別信息應不易被冒用，口令復雜度應滿足要求并定期更換。應修改默認用戶和口令， 不得使用缺省口令， 口令長度不得小于 8 8位，要是是字母和數字或特殊字符的混合并不得與用戶名相同，口令應定期更換，并加密存儲測評項名稱身份鑒別信息不易被冒

16、用測評分項 1:1:口令復雜度滿足要求操作步驟訪談設備管理員，口令的復雜度要求和更改周期適用版本任何產品實施風險無符合性判定口令復雜度滿足長度、復雜度等要求，并定期更換，判定結果為符合部分要求不滿足，判定結果為部分符合要求全部滿足，判定結果為不符合備注5.5.雙因子身份鑒別測評項編號ADT-FW-12ADT-FW-12對應要求主要網絡設備應對同一用戶選擇兩種或中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1111 頁共 1313 頁防火墻等級保護測評作業指導書（三級）第 2 2 版第 0 0 次修訂發布日期：20102010 年

17、0101 月 0606 日兩種以上組合的鑒別技術來進行身份鑒別測評項名稱雙因子身份鑒別測評分項 1:1:米用雙因子身份鑒別方式操作步驟檢查管理員登錄防火墻是否采用雙因子身份鑒別方式適用版本任何產品實施風險無符合性判定除用戶+ +口令的身份鑒別方式外，還米取 USBKEYUSBKEY 或令牌的身份鑒別方式，判定結果為符合僅采用用戶+口令的身份鑒別方式，判定結果為不符合備注6.6.登錄失敗和超時處理測評項編號ADT-FW-13ADT-FW-13對應要求也具有登錄失敗處埋功能，口米取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施測評項名稱登錄失敗和超時處理測評分項 1:1:登錄失敗處理

18、方式操作步驟訪談管理員，檢查登錄失敗后采取的處理方式適用版本任何產品中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1212 頁共 1313 頁防火墻等級保護測評作業指導書（三級）第 2 2 版第 0 0 次修訂發布日期：20102010 年 0101 月 0606 日實施風險無符合性判定用戶登錄失敗 f 次數后，米取用戶鎖定、結束會話等措施，判定結果為符合無用戶登錄失敗次數限制，判定結果為不符合測評分項 2:2:登錄超時處理操作步驟訪談網絡管理員，檢查網絡連接超時時是否采取注銷會話、自動退出等措施。適用版本任何產品實施風險無符合性判定具有登錄超時退出處理機制的，判定結果為符合不具有登錄超時退出處理機制的，判定結果為不符合備注7.7.遠程管理信息的保密性測評項編號ADT-FW-14ADT-FW-14對應要求當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽測評項名稱遠程管理信息的保密性測評分項 1:1:管理員遠程登錄防火墻時，應采取加密措施防竊聽操作步驟訪談網絡管理員，是否存在遠程登錄管理行為，檢查身份鑒別信息是否中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA14-10SGISL/OP-SA14-10第 1313 頁共 131