新版15-SGISLOP-SA17-10 IDS等级保护测评作业指导书(三级).doc

天天开心 控制编号 控制编号：SGISL/OP-SA17-10 信息安全等级保护测评作业指导书 IDS（三级） 版 号： 第 2 版 修 改 次 数： 第 0 次 生 效 日 期： 2010年01月06日 中国电力科学研究信息安全实验室  修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA17-10 唐斐 按公安部要求修订 詹雄 2010.3.8 一、安全审计 1．日志记录 测评项编号 ADT-FW-04 对应要求 应对设备运行状况、网络流量等进行日志记录 测评项名称 日志记录 测评分项1：记录IDS的管理行为、设备运行状况和网络异常流量。 操作步骤 查看IDS日志，是否存在设备运行状况和网络异常流量等相关日志记录 适用版本 任何产品 实施风险 无 符合性判定 存在防火墙的管理行为、网络流量等相关日志记录，判定结果为符合 包含上述内容不全面，判定结果为不符合 测评分项2： 审计记录应包括：事件的日期和时间、用户、事件类型、事件结果等 操作步骤 查看日志记录内容，是否包含事件的日期和时间、用户、事件类型、事件结果 适用版本 所有内容 实施风险 无 符合性判定 包含事件的日期和时间、用户、事件类型、事件结果，判定结果为符合 包含上述内容不全面，判定结果为不符合 备注 2．日志分析 测评项编号 ADT-FW-04 对应要求 应能够根据记录数据进行分析，并生成审计报表 测评项名称 日志分析 测评分项1：根据各种审计数据分析，并生成报表 操作步骤 登陆IDS管理界面，获取日志分析报告及图表 适用版本 任何产品 实施风险 无 符合性判定 能获取到日志分析报告及图表，判定结果为符合 不能获取到日志分析报告及图表，判定结果为不符合 3．审计记录的保护 测评项编号 ADT-FW-04 对应要求 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等 测评项名称 审计记录的保护 测评分项1： 审计记录的完好性保护 操作步骤 查看审计记录的存储，是否未经授权可删除、修改审计记录 适用版本 任何产品 实施风险 无 符合性判定 未经授权，不可删除、修改审计记录，判定结果为符合 未经授权，可删除、修改审计记录，判定结果为不符合 三、安全防护 1．身份鉴别方式 测评项编号 ADT-FW-04 对应要求 应对登陆网络设备的用户进行身份鉴别 测评项名称 身份鉴别 测评分项1： 限制管理员的登录IP地址 操作步骤 使用限制地址范围之外的IP地址登陆IDS 适用版本 所有内容 实施风险 无 符合性判定 登陆失败，判定结果为符合 登陆成功，判定结果为失败 测评分项2： 用户标识唯一 操作步骤 检查防火墙管理员是否都有单独的帐号 适用版本 所有内容 实施风险 无 符合性判定 帐号独立，判定结果为符合 只存在一个超级管理员帐号，或多人共用一个帐号，判定结果为不符合 测评分项3： 使用两种或两种以上组合的鉴别技术进行身份鉴别 操作步骤 检查防火墙是否使用双因子鉴别方式，如口令+证书等 适用版本 所有内容 实施风险 无 符合性判定 使用双因子身份鉴别方式，判定结果为符合 未使用双因子身份鉴别方式，判定结果为不符合 备注 2．身份鉴别方式的防护 测评项编号 ADT-FW-04 对应要求 身份鉴别信息应具有不易被冒用的特点 测评项名称 身份鉴别 测评分项1：修改默认帐号及口令 操作步骤 使用默认帐号及口令，通过WEB界面和Console口方式登陆IDS 适用版本 任何产品 实施风险 无 符合性判定 登陆失败，判定结果为符合 登陆成功，判定结果为不符合 测评分项2：口令的复杂性和定期更换 操作步骤 访谈设备管理员，口令的长度、复杂度要求，口令是否定期更换 适用版本 任何产品 实施风险 无 符合性判定 口令具备长度和复杂度要求，并定期更换，判定结果为符合 上述情况不满足，判定结果为不符合 测评分项3：身份鉴别失败处理和登陆超时处理 操作步骤 管理员登陆失败次数超出设定数值后，是否采取措施如结束会话，锁定用户等。管理员成功登陆IDS后，网络连接超出设定时间后是否自动注销用户。 适用版本 任何产品 实施风险 无 符合性判定 具有上述鉴别失败处理机制和超时退出机制的，判定结果为符合 上述情况不满足，判定结果为不符合 测评分项4：远程管理信息的机密性 操作步骤 远程管理的信息在传输过程中是否采取加密措施 适用版本 任何产品 实施风险 无 符合性判定 远程管理信息采取加密措施，判定结果为符合 远程管理信息明文传输，判定结果为不符合 测评分项5：特权用户的权限分离 操作步骤 防火墙管理员应实现审计权限和安全策略配置权限的分离 适用版本 任何产品 实施风险 无 符合性判定 防火墙的管理员具备独立的审计账户，仅具有查