12_SGISLOP_SA14_10防火墙等级保护测评作业指导书(三级)

控制编号：SGISL/OP-SA14-10
信息安全等级保护测评作业指导书
防火墙（三级）
版号：第 2 版
修改次数：第0 次
生效日期：2010年01月06日
中国电力科学研究院信息安全实验室
一、网络访问控制访问1．端口级的访问控制
2．协议命令级的网络访问控制
3．会话连接超时处理
4．网络流量和最大连接数的限制
二、安全审计1．日志记录
2．日志分析
3．审计记录的保护
三、设备防护1．身份鉴别
2．设备管理地址的限制
3．身份标识唯一
4．身份鉴别信息不易被冒用
5．双因子身份鉴别
6．登录失败和超时处理
7．远程管理信息的保密性
8．特权用户权限分离。

控制编号：SGISL/OP-SA35-10
信息安全等级保护测评作业指导书HP-UX主机（三级）
版号：第 2 版
修改次数：第0 次
生效日期：2010年01月06日
中国电力科学研究院信息安全实验室
修改页
一、身份鉴别
1.用户身份标识和鉴别
2.账号口令强度
3.登录失败处理策略
4.远程管理方式
5.账户分配及用户名唯一性
6.双因子身份鉴别
二、访问控制
1.检查文件访问控制策略
2.数据库系统特权用户权限分离
3.特权用户权限分离
4.默认账户访问权限
5.多余及过期账户
6.基于标记的访问控制
三、安全审计
1.开启日志审核功能
2.日志审计内容
3.审计报表
4.日志保护
四、剩余信息保护（HPUX系统不适用）
五、入侵防范
1.入侵防范
六、恶意代码防范（HPUX系统不适用）
七、资源控制
1.终端登录限制
2.终端操作超时锁定
3.单个用户系统资源使用限制。

测评指导书（三级）目录第1章安全管理测评指导书 (4)1.1安全管理机构测评 (4)1.2安全管理制度测评 (9)1.3人员安全管理测评 (11)1.4系统建设管理测评 (14)1.5系统运维管理测评 (20)第2章物理安全测评指导书 (32)2.1物理安全测评 (32)第3章网络安全测评指导书 (44)3.1网络全局安全测评 (44)3.2路由器安全测评 (47)3.3交换机安全测评 (59)3.4防火墙安全测评 (67)3.5入侵检测/防御系统安全测评 (71)第4章操作系统安全测评指导书 (75)4.1WINDOWS操作系统安全测评 (75)4.2L INUX操作系统安全测评 (82)4.3S OLARIS操作系统安全测评 (92)4.4AIX操作系统安全测评 (101)第5章应用系统安全测评指导书 (109)5.1应用系统安全测评 (109)5.2IIS应用安全测评 (114)5.3A PACHE应用安全测评 (116)第6章数据库安全测评指导书 (120)6.1SQL S ERVER数据库安全测评 (120)第 2 页共135 页6.2O RACLE数据库安全测评 (124)6.3S YBASE数据库安全测评 (130)第 3 页共135 页第1章安全管理测评指导书1.1安全管理机构测评第 4 页共135 页第 5 页共135 页第 6 页共135 页第7 页共135 页第8 页共135 页1.2安全管理制度测评第9 页共135 页第10 页共135 页1.3人员安全管理测评第11 页共135 页第12 页共135 页第13 页共135 页1.4系统建设管理测评第14 页共135 页第15 页共135 页第16 页共135 页第17 页共135 页第18 页共135 页第19 页共135 页1.5系统运维管理测评第20 页共135 页第21 页共135 页第22 页共135 页第23 页共135 页第24 页共135 页第25 页共135 页第26 页共135 页第27 页共135 页第28 页共135 页第29 页共135 页第30 页共135 页第31 页共135 页第2章物理安全测评指导书2.1物理安全测评第32 页共135 页第33 页共135 页第34 页共135 页第35 页共135 页第36 页共135 页第37 页共135 页第38 页共135 页第39 页共135 页第40 页共135 页第41 页共135 页第42 页共135 页第43 页共135 页第3章网络安全测评指导书3.1网络全局安全测评第44 页共135 页第45 页共135 页第46 页共135 页3.2路由器安全测评思科路由器第47 页共135 页第48 页共135 页第49 页共135 页第50 页共135 页。

等级保护三级技术类测评控制点（空表）测评要求(S3A3G3)1机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

（G2）访谈，检查。

2机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

（G3）物理安全负责人，机房，办公场地，机房场地设计/验收文档。

3机房出入口应安排专人值守，控制、鉴别和记录进入的人员。

（G2）访谈，检查。

4需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。

（G2）物理安全负责人，机房值守人员，机房，机房安全管理制度，值守记录，进入机房的登记记录，来访人员进入机房的审批记录。

5应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。

（G3）6重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

（G3）7应将主要设备放置在机房内。

（G2）访谈，检查。

8应将设备或主要部件进行固定，并设置明显的不易除去的标记。

（G2）物理安全负责人，机房维护人员，资产管理员，机房设施，设备管理制度文档，通信线路布线文档，报警设施的安装测试/验收报告。

9应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。

（G2）10应对介质分类标识，存储在介质库或档案室中。

（G2）11应利用光、电等技术设置机房防盗报警系统。

（G3）等级保护三级技术类测评控制点(S3A3G3)类别序号测评内容测评方法物理位置的选择物理访问控制防盗窃和防破坏12应对机房设置监控报警系统。

（G3）13机房建筑应设置避雷装置。

（G2）访谈，检查。

14应设置防雷保安器，防止感应雷。

（G3）物理安全负责人，机房维护人员，机房设施（避雷装置，交流电源地线），建筑防雷设计/验收文档。

15机房应设置交流电源地线。

（G2）16机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

（G3）访谈，检查。

17机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

（G3）物理安全负责人，机房值守人员，机房设施，机房安全管理制度，机房防火设计/验收文档，火灾自动报警系统设计/验收文档。

控制编号：SGISL/OP-SA14-10
信息安全等级保护测评作业指导书
防火墙（三级）
版号：第2 版
修改次数：第0 次
生效日期：2010年01月06日中国电力科学研究院信息安全实验室
修改页
一、网络访问控制访问1．端口级的访问控制
2．协议命令级的网络访问控制
3．会话连接超时处理
4．网络流量和最接数的限制
二、安全审计
1．日志记录
2．日志分析
3．审计记录的保护
三、设备防护1．身份鉴别
2．设备管理地址的限制
3．身份标识唯一
4．身份鉴别信息不易被冒用
5．双因子身份鉴别
6．登录失败和超时处理
7．远程管理信息的性
8．特权用户权限分离。

××项目等级保护方案目录1工程项目背景 (6)2系统分析 (7)2。

1网络结构分析 (7)2.2业务系统分析 (7)3等级保护建设流程 (8)4方案参照标准 (10)5安全区域框架 (11)6安全等级划分 (12)6.1。

1定级流程 (12)6。

1。

2定级结果 (14)7安全风险与需求分析 (15)7。

1安全技术需求分析 (15)7。

1。

1物理安全风险与需求分析 (15)7。

1.2计算环境安全风险与需求分析 (16)7。

1.3区域边界安全风险与需求分析 (18)7。

1。

4通信网络安全风险与需求分析 (19)7.2安全管理需求分析 (21)8技术体系方案设计 (22)8。

1方案设计目标 (22)8。

2方案设计框架 (22)8.3安全技术体系设计 (24)8。

3.1物理安全设计 (24)8。

3.2计算环境安全设计 (26)8.3。

2。

1身份鉴别 (26)8。

3.2。

2访问控制 (27)8.3。

2.3系统安全审计 (28)8。

3.2.4入侵防范 (29)8。

3.2。

5主机恶意代码防范 (30)8.3.2。

6软件容错 (30)8.3。

2。

7数据完整性与保密性 (31)8。

3.2.8备份与恢复 (32)8。

3.2。

9资源控制 (33)8。

3.2.10客体安全重用 (34)8。

3。

2.11..............................................................................................................抗抵赖348。

3。

3区域边界安全设计 (35)8.3.3。

1边界访问控制 (35)8.3.3.2边界完整性检查 (36)8.3。

3。

3边界入侵防范 (37)8。

3。

3。

4.................................................................................................. 边界安全审计388.3.3.5边界恶意代码防范 (38)8。