防火墙运行安全管理制度.docx
- 文档编号:5537410
- 上传时间:2022-12-19
- 格式:DOCX
- 页数:24
- 大小:558.72KB
防火墙运行安全管理制度.docx
《防火墙运行安全管理制度.docx》由会员分享,可在线阅读,更多相关《防火墙运行安全管理制度.docx(24页珍藏版)》请在冰豆网上搜索。
防火墙运行安全管理制度
防火墙运行安全管理制度
第一章总则
第一条为保障信息网络的安全、稳定运行,特制订本制度。
第二条本制度适用于信息网络的所有防火墙及相关设备管理和运行。
第二章防火墙管理员职责
第三条防火墙系统管理员的任命应遵循“任期有限、权限分散”的原则。
第四条系统管理员的任期可根据系统的安全性要求而定,最长为三年,期满通过考核后可以续任。
第五条必须签订保密协议书。
第六条防火墙系统管理员的职责:
(一)恪守职业道德,严守企业秘密;熟悉国家安全生产法以及有关信息安全管理的相关规程;
(二)负责网络安全策略的编制,更新和维护等工作;
(三)对信息网络实行分级授权管理,按照岗位职责授予不同的管理级别和权限;
(四)不断的学习和掌握最新的网络安全知识,防病毒知识和专业技能;
(五)遵守防火墙设备各项管理规范。
第三章用户管理
第七条只有防火墙系统管理员才具有修改入侵检测设备策略配置、分析的权限。
第八条为用户级和特权级模式设置口令,不能使用缺省口令,确保用户级和特权级模式口令不同。
第九条防火墙设备口令长度应采用8位以上,由大小写、字母、数字和字符组成,并定期更换,不能使用容易猜解的口令。
第四章设备管理
第十条防火墙设备部署位置的环境应满足相应的国家标准和规范,以保证防火墙设备的正常运行。
第十一条防火墙设备定期检测和维护要求如下:
(一)每月定期安装、更新厂家发布的防火墙补丁程序,及时修补防火墙操作系统的漏洞,并做好升级记录;
(二)一周内至少审计一次日志报表;
(三)一个月内至少重新启动一次防火墙;
(四)根据入侵检测系统、安全漏洞扫描系统的提示,适时调整防火墙安全规则;
(五)及时修补防火墙宿主机操作系统的漏洞;
(六)对网络安全事故要及时处理,保证信息网络的安全运行。
第十二条防火墙设备安全规则设置、更改的授权、审批依据《防火墙配置变更审批表》(参见附表1)进行。
防火墙设备安全规则的设置、更改,应该得到信息系统运行管理部门负责人的批准,由系统管理员具体负责实施。
第十三条防火墙设备配置操作规程要求如下:
(一)记录网络环境,定义防火墙网络接口;
(二)配置静态路由或代理路由;
(三)定义防火墙的网络对象和应用端口;
(四)定义安全策略;
(五)配置冗余的防火墙设备,并安装到网络当中;
(六)定义管理员清单和管理权限;
(七)测试防火墙性能和做好网管资料。
第十四条防火墙设备安全规则的备份和恢复。
修改防火墙安全规则之前对现运行的安全规则必须进行备份,以便于修改防火墙安全规则失败后能够快速恢复现运行的安全规则。
第十五条系统管理员应定期和不定期地检查防火墙设备的运行状况,及时查看防火墙日志,对异常情况的发生,及时上报,并做好记录。
第十六条对防火墙设备的CPU和内存利用率、数据流量、地址翻译数量等进行均时监测、跟踪工作,每周形成报表。
第十七条防火墙设备安全事件处理和报告,由系统管理员填写《防火墙维护和应急处理记录》(参见附表2)。
当防火墙设备发生宕机引起网络拥塞或网络瘫痪等重大安全事件时,应立即启动紧急响应程序,对网络进行紧急处理,堵塞攻击入口,恢复网络的正常运行,并追查攻击来源,及时上报。
附表1
防火墙配置变更审批表
编号:
申请部门
责任人
联系
申请日期
授权性质
☐新增策略
☐策略变更
授权期限
起始日期:
结束日期:
申请权限要求(网络名称/IP范围)、访问资源、访问方式、访问目的等):
申请理由:
申请部门意见:
签名:
日期:
系统运行管理部门意见:
签名:
日期:
执行记录
控制名称
控制目的
源地址
目的地址
访问权限设定
其他设置
执行人
执行日期
附表2
防火墙维护和应急处理记录
防火墙名称
防火墙型号
日期
执行人
维护内容/故障现象及其应急处理情况:
安全配置作业指导书
防火墙设备
XXXX集团公司
2021年7月
前言
为规范XXXX集团公司网络设备的安全管理,建立统一的防火墙设备安全配置标准,特制定本安全配置作业指导书。
本技术基线由XXXX集团公司提出并归口
本技术基线起草单位:
XXXX集团公司
本技术基线主要起草人:
本技术基线主要审核人:
1.适用范围
本基作业指导书范适用于XXXX集团公司各级机构。
2.规范性引用文件
ISO27001标准/ISO27002指南
GB17859-1999《计算机信息系统安全保护等级划分准则》
GB/T20271-2006《信息安全技术信息系统通用安全技术要求》
GB/T20272-2006《信息安全技术操作系统安全技术要求》
GB/T20273-2006《信息安全技术数据库管理系统安全技术要求》
GB/T22239-2021《信息安全技术信息系统安全等级保护基本要求》
3.术语和定义
安全设备安全基线:
指针对各类安全设备的安全特性,选择合适的安全控制措施,定义不同网络设备的最低安全配置要求,则该最低安全配置要求就称为安全设备安全基线。
严重漏洞(Critical):
攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等方式实现完全控制受影响的系统
重要漏洞(Important):
攻击者可利用此漏洞实现破坏用户数据和信息资源的机密性、完整性或可用性。
中等漏洞(Moderate):
攻击者利用此漏洞有可能XX访问信息。
注意,虽然攻击者无法利用此漏洞来执行代码提升他们的用户权限,但此漏洞可用于生成有用信息,这些信息可用于进一步危及受影响系统的安全。
轻微漏洞(Low):
攻击者通常难以利用此漏洞,或者几乎不会对信息安全造成明显损失。
4.防火墙安全配置规范
4.1.防火墙自身安全性检查
4.1.1.检查系统时间是否准确
编号
要求内容
检查系统时间是否准确
加固方法
重新和北京时间做校队
检测方法
1现场检查:
如下截图路径,检查系统时间是否和北京时间一致,如果相差在一分钟之内,则认为符合要求,否则需要重新修正。
天融信该功能截图:
路径:
系统管理=》配置
备注
4.1.2.检查是否存在分级用户管理
编号
要求内容
管理员分:
超级管理员、管理用户、审计用户、虚拟系统用户
加固方法
在防火墙设备上配置管理账户和审计账户
检测方法
1现场检查:
如下截图路径,如果系统中仅存在四个账户,分别为:
超级管理员、管理用户、审计用户、虚拟系统用户,且四个账号分别对应于各自不同级别的权限,则符合要求;如果无三个,则不符合要求
天融信该功能截图:
路径:
系统管理=》管理员
备注
4.1.3.密码认证登录
编号
要求内容
检查防火墙内置账户不得存在缺省密码或弱口令帐户
加固方法
修改防火墙设备的登录设备的口令,满足安全性及复杂性要求
检测方法
1、口令复杂度
查看防火墙设备的管理员登录设备的口令安全性及复杂性,登录设备验证口令的复杂性,。
如果需要输入口令并且口令为8位以上,并且是包含字母、数字、特殊字符的混合体,判定结果为符合;如果不需要任何认证过程,判定结果为不符合
2、检查账户不得使用缺省密码。
天融信防火墙该功能截图:
路径:
系统管理=》管理员
备注
4.1.4.登陆认证机制
编号
要求内容
检查登陆时是否采用多重身份认证的鉴别技术
加固方法
采用强度高于用户名+静态口令的认证机制实现用户身份鉴别
检测方法
1、检查:
现场验证登陆防火墙,查看是否支持用户名+静态口令;
天融信防火墙登陆窗口:
备注
4.1.5.登陆失败处理机制
编号
要求内容
检查登陆失败时处理机制
加固方法
具有登录失败处理功能,可采取结束会话、登陆失败时阻断间隔、限制非法登录次数和当防火墙登录连接超时自动退出等措施
检测方法
1、检查:
防火墙设备上的安全设置,查看其是否有对鉴别失败采取相应的措施的设置;查看是否有限制非法登录次数的功能;管理员登录地址进行限制;查看登陆失败时阻断时间;查看是否设置登录连接超时,并自动退出;
2、测试:
验证鉴别失败处理措施(如模拟失败登录,观察设备的动作等),限制非法登录次数(如模拟非法登录,观察网络设备的动作等),对设备的管理员登录地址进行限制(如使用任意地址登录,观察设备的动作等)等功能是否有效;验证其网络登录连接超自动退出的设置是否有效(如长时间连接无任何操作,观察观察网络设备的动作等);
3、产品举例:
天融信防火墙用户登录超时设置:
路径:
系统管配置理=>维护=>系统配置
备注
4.1.6.检查是否做配置的定期备份
编号
要求内容
检查是否对防火墙的配置定期做备份
加固方法
督促管理员定期对防火墙做配置备份
检测方法
1访谈方式:
和管理员了解防火墙配置的备份情况
2验证:
在网管服务器上,查看防火墙配置文件夹,确认是否定期做配置备份。
3加固:
第一步:
天融信防火墙配置导出位置截图:
路径:
系统管理=>维护
第二步:
网管机上建立防火墙配置文件备份文件夹
备注
4.1.7.检查双防火墙冗余情况下,主备切换情况
编号
要求内容
检查双防火墙冗余情况下,主备切换情况
加固方法
如该功能未达到要求,需厂商人员检查、加固
检测方法
1访谈方式
咨询管理员近期是否有过设备切换现象,切换是否成功等
2现场验证
拔掉主墙线缆后,备墙可以实现正常切换,网络快速切换,应用正常。
3加固措施
第一步:
如该功能未达到,检查防火墙双机热备配置是否正确、监控状态是否正常
第二步:
如果配置有误,需要尽快协商厂商人员解决
天融信防火墙该功能截图:
路径:
高可用性=》双机热备
备注
4.1.8.防止信息在网络传输过程中被窃听
编号
要求内容
当对网络设备进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听。
可采用S、SSH等安全远程管理手段。
加固方法
通过s和ssh登陆管理设备。
检测方法
1现场验证:
能够通过s和ssh登陆管理设备,判定结果为符合;通过和telnet登陆管理设备,判定结果为不符合。
2加固措施:
按照下述截图位置,只开放S,SSH登陆方式,去除其他登陆方式。
天融信防火墙该功能截图:
检查如下的SSH方式及S权限配置:
路径:
系统管理=》配置=》开放服务
备注
4.1.9.设备登录地址进行限制
编号
要求内容
对防火墙设备的管理员登录地址进行限制
加固方法
创建允许管理员登陆的IP限制列表
检测方法
1现场检查:
咨询管理员后,使用允许访问控制列表里面的ip地址能够登录管理设备,不在控制列表里的ip不能登录设备,判定结果为符合
2设备检查:
登陆下述截图路径,确认已经配置了限制管理员登陆IP列表
天融信防火墙该功能截图:
路径:
配置—开放服务
备注
4.1.10.SNMP访问控制
编号
要求内容
设置SNMP访问安全限制,读写密码均已经修改,只允许特定主机通过SNMP访问网络设备。
加固方法
修改缺省密码和限制IP对防火墙的无授权访问
检测方法
1设备检查
登陆至设备的下述路径,检查即可。
天融信防火墙该功能截图:
路径:
网络管理—SNMP
备注
4.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级
编号
要求内容
定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。
加固方法
配置为防火墙的特征库、、病毒库、入侵防御库、应用识别、web过滤模块升级的策略。
检测方法
1现场检查:
检查是否定期为防火墙的特征库、病毒库、入侵防御库、应用识别、web过滤模块升级。
查看防火墙系统内特征库的时间和版本信息。
天融信该功能的截图:
路径:
系统管理—维护—服务更新
备注
4.2.防火墙业务防御检查
4.2.1.启用安全域控制功能
编号
要求内容
根据业务需要创建不同优先级的安全区域
加固方法
1现场检查:
首先,根据业务情况,检查接口名称,名称的级别、功能应该清晰,如“内网”或者“外网”,否则需要重新确认;天融信防火墙各接口区域有两个权限一个为允许、一个是禁止。
所以,检查时,需要确认,各个接口区域权限的设置。
2加固方法:
将防火墙各个区域权限设置为禁止,这样默认策略全部为禁止。
天融信该功能截图:
路径:
资源管理=》区域
备注
4.2.2.检查防火墙访问控制策略
编号
要求内容
检查防火墙策略是否严格限制通信的IP地址、协议和端口,根据需求控制源主机能够访问目的主机,和控制源主机不能访问目的主机。
加固方法
管理员综合分析防火墙访问控制策略,对源地址、目标地址、开放端口进行细化,删除无用、重复的策略。
检测方法
访谈:
询问管理员防火墙配置策略配置原则,并针对可以策略进行询问。
执行:
查看防火墙策略配置规则,是否存在过多的IP地址段开放协议、端口的规则,是否存在无效的策略,防火墙的策略是否严密。
分析:
综合分析全部防火墙策略,分析是否开放过多IP地址段、协议和端口,为攻击者提供了远程攻击和入侵控制的可能。
天融信该功能截图:
路径:
防火墙=》访问控制
备注
4.2.3.防火墙访问控制粒度检查
编号
要求内容
检查防火墙上相应安全策略设置的严谨程度。
加固方法
1、添加访问控制策略阻断常见的危险端口。
2、细化访问控制策略,所有策略的源、目的、服务三项中,至少有一项不能出现any的情况
检测方法
1、查看阻断策略中是否存在对tcp135-139、udp135-139、tcp445、udp445、tcp4444、tcp9995-9996、tcp1068、udp69、udp4899、udp1434这些高危端口的限制策略,如果在阻断策略里没有,则不符合要求;
2、如果阻断策略里没有,针对这些端口限制的访问出现在访问控制策略的第一条,则可以认为符合要求;
3、访问控制里,除上述提到的高危端口限制外,其所有策略的源、目的、服务三项中,至少有一项不能出现any的情况,如果出现则视为不符合要求,尤其是针对某一特定服务器的访问限制,如果出现源是any,服务是任何的情况,则该策略设置是不合格的。
天融信该功能截图:
路径:
防火墙=》阻断策略
备注
4.2.4.检查防火墙的地址转换情况
编号
要求内容
检查防火墙地址转换策略是否符合网络的实际需求
加固方法
检查防火墙地址转换策略是否符合网络的实际需求,删除冗余的地址转换策略
检测方法
1现场访谈:
询问管理员防火墙地址转换配置策略配置原则,并针对策略必要性进行分析。
执行:
查看防火墙策略地址转换配置规则,是否存在过多的IP地址段开放协议、端口的规则,是否存在无效的地址转换策略,地址转换策略是否严密。
天融信防火墙功能截图
路径:
防火墙=》地址转换
备注
s
4.3.日志与审计检查
4.3.1.设备日志的参数配置
编号
要求内容
设备应支持远程日志功能。
所有设备日志均能通过远程日志功能传输到日志服务器。
设备应支持至少一种通用的远程标准日志接口,如SYSLOG。
并且日志必须保存6个月
加固方法
1、现场检查:
在防火墙上检查Syslog项,是否已配置将日志传输到日志服务器,否则为不符合
天融信防火墙日志配置:
路径:
日志与报警=》日志配置
备注
4.3.2.防火墙流量日志检查
编号
要求内容
查看日志服务器是否正常接收日志,并且日志必须保存6个月
加固方法
1现场检查:
登陆至天融信集中控制中心或第三方日志服务软件,查看是否正常接收日志,且是否有近6个月内的日志;确认服务器的存储空间是否足够
备注
4.3.3.防火墙设备的审计记录
编号
要求内容
能够查看设备的登录审计记录
加固方法
查看设备的登录审计记录。
检测方法
查看设备的相关登录审计记录,包含登录成功、登录失败、接口的up记录等。
天融信该功能截图:
路径:
日志与报警=》日志查看
备注
防火墙施工方案
编制依据:
建筑装修内部设计防火规范(GB50222—95)所采用的施工方法:
1、放线将柱与柱中间放线,沿续到梁和地面。
2、按放线将方钢支架,连接到柱、梁、地面上,用膨胀螺栓焊接固定。
方钢支架焊制前应先将方钢防锈处理,用台钻将安装膨胀螺栓处打Φ16MM孔,打孔部位尽量靠近角铁肢背一侧以利于受力,两孔距离不小于600MM.焊接采用E4301—Φ3。
2电焊条3、方钢按举架6米,按2米平分安装横向方钢。
(方钢与方钢相连接处焊接)。
3、在梁与地面之间,用轻钢龙骨按竖向间距400mm连接。
安装沿顶、地龙骨时一般用射钉或金属膨胀螺栓固定,间距不大于600MM.与竖向龙骨采用抽芯铆钉固定。
4、安装管线与设备。
5、安装防火岩棉。
填充岩棉要密实、均匀、无下坠,安装墙体内填充材料要与另一面石膏板同时进行安装。
6、安装防火石膏板(两面).安装石膏板前要检查各工序的质量,石膏板要用自攻螺钉固定,板边钉距不应大于200MM,板中间钉距不应大于300MM,螺钉距石膏板边缘的距离应为10—16MM。
石膏板接缝要刮嵌缝腻子、粘贴接缝带、刮中层腻子、刮平腻子、细部处理。
7、安装彩钢板,彩钢板颜色要与墙面装修好颜色相一致。
彩钢板与彩钢板相连之间要厚度均匀、整齐、严密、牢固,颜色一致。
8、安装防火门,防火卷帘。
质量要求:
骨架隔墙所用龙骨、配件、墙面板、填充材料及嵌缝材料的品种、规格、性能应符合设计要求。
边框龙骨必须与基本结构连接牢固,并应平整、垂直、位置准确。
骨架隔墙工程中龙骨间距和构造连接方法应符合设计要求.墙面板应安装牢固,无脱层、翘曲、折裂及缺损.施工时要保证骨架的固定间距、位置和连接方法符合设计和规范要求,安装石膏板前要检查龙骨的平整度,挑选厚度一致的石膏板。
隔墙与顶棚及其他墙体的交接处应采取防开裂措施。
骨架隔墙上的孔洞、槽、盒位置要正确,套割吻合,边缘要整齐,隔墙内的填充材料要密实、均匀、无下坠。
施工完的隔墙要注意成品保护。
安全环保措施:
施工中使用脚手架搭设应符合安全规定,进入现场要戴安全帽,使用电动工具要戴绝缘手套,夜间不在光线不足地方施工,采用垂直运输设备上料时严禁超载。
清理施工垃圾不得从窗口、阳台等处往下抛.切割龙骨、石膏板时应封闭,并尽量在白天作业,减少噪声与扬尘污染,做到工完场清,垃圾及时装袋清运,集中消纳。
材料应符合现行国家标准《民用建筑工程室内环境污染控制规范》GB50325的规定。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 运行 安全管理 制度