信息系统防火墙规范.docxVIP

胜 利 石 油 管 理 局 企 业 标 准 Q/SL STA-f－2002 信息系统防火墙规范 1 总则 为了减少外部网络对企业内部网络的干扰，为了阻击非法用户进入企业内 部网络，为了企业用户更好的利用外部网络，根据《应用级防火墙安全技术要 求》，《包过滤级防火墙安全技术要求》，《中华人民共和国信息系统安全保护条 列》等国家规定，制定本规范。 2 范围 本 规 范 规 定 了 防 火 墙的 安 全 技 术 要 求 。 本 规 范 适 用 于 防 火 墙安 全 功 能 的 使 用 ， 测 试 和 产 品 采 购 。 3 规范解释权 本规范的解释权在胜利油田管理局信息安全管理中心。 4 引用标准 GB/T 17900 – 1999 《网络代理服务器的安全技术要求》 GB/T 18019 – 1999 《信息技术 包过滤防火墙安全技术要求》 GB/T 18020 – 1999 《信息技术 应用级防火墙安全技术要求》 GB 9813 – 88 《微型数字电子计算机通用技术条件》 5 防火墙类型 5.1应用级别防火墙。 5.2在应用层上根据预先设定的标准判断是否允许对某些应用程序的访问的防 火墙。应用级防火墙检查所有应用层的信息，放行符合预先设定标准的数据 包。 5.3包过滤。 5.4采用包过滤技术保护整个网络不受非法入侵的防火墙。它在网络层上简单检 查所有进入网络的信息，并将不符合预先设定标准的数据丢掉。 5.5应用代理。 5.6控制两边的应用程序只能通过服务器间接通信的防火墙。此防火墙接受来自 一边的通信，检查这一通信是否授权通过，如果是则启动到通信目标的连接。 相反则反之。 5.7混合型防火墙。 5.8使用包过滤、应用层控制技术和网络代理的防火墙。 6 防火墙安全运行环境 符合本规范的防火墙用于敏 感 但不保密的信息处理环境。防火墙应提供访 问控制策略、身份标识与鉴别、远程管理员会话加密、一定的审计能力以及最 基本的安全保证。 6.1 安全使用条件 防火墙的使用操作环境及运行环境符合以下条件： 6.1.1 连接条件 单一接入：防火墙是内外网络之间的唯一连接点。 6.1.2 物理条件 物 理 访 问 控 制 。 防 火 墙 和 与 其 直 接 相连 的 控 制 台 在 物 理 上 是 安 全 的 ， 而 且 仅 供 授 权 人 使 用 。 通 信 保 护 。 信 息 传 输 的 保 护 级 别应 该 与 信 息 的 敏 感 性 一 致 （ 例 如 ： 受 物 理 保 护 的 传 输 媒 体 ， 加 密 ）， 或 者 明 确 说 明 该 信 息 可 以 明 文 传 输 。 6.1.3 人员条件 ? 用 户 服 务 。 1 应 用 级 防 火 墙 提 供 的不 是 通 常 意 义 下 的 计 算 能 力 ， 对 网 络 用 户 基 本 上 是 “ 透 明 ” 的 ， 只 有 授权 管 理 员 才 能 直 接 访 问 和 远 程 访 问 防 火 墙 。 授 权 管 理 员 。 管理员应值得信任、无恶意，能够正确执行各项职责。 6.2 安全威胁 符 合 本 标 准 的 防火墙应 能 阻 止 以 下 威 胁： 6.2.1 未授权逻辑访问 未 经 授 权 的 人 可 能 在逻 辑 上 访 问 防 火 墙 。 未 经 授 权 的 人 是 指 除 防 火 墙 的 授 权 用 户 之 外 ， 所 有 已经 或 可 能 企 图 访 问 这 个 系 统 的 人 。 6.2.2 假冒网络地址攻击 一 个 主 体 可 能 假 冒 成另 一 个 主 体 获 得 对 特 定 信 息 的 访 问 。 例 如 ， 外 部 网 上 的 一 个 用 户 可 能 利 用假 地 址 伪 装 成 内 部 网 上 的 用 户 访 问 内 部 资 源 。 6.2.3 针对内部网络的攻击 攻 击 者 利 用 高 层 协 议和 服 务 ， 对 内 部 受 保 护 网 络 或 者 网 上 的 主 机 进 行 攻 击 ， 这 类 攻 击 可 能 以 拒 绝服 务 和 穿 透 主 机 或 网 络 结 点 为 目 的 。 6.2.4 审计记录丢失或破坏 攻 击 者 可 能 采 取 耗 尽审 计 存 储 量 的 方 法 导 致 审 计 记 录 丢 失 或 破 坏 。 6.2.5 对防火墙的配置和其它与安全相关数据的更改 这 类 攻 击 包 括 所 有 采用 读 取 或 修 改 防 火 墙 的 内 部 代 码 或 数 据 结 构 、 以 及 防 火 墙 的 配 置 参 数 和 与安 全 相 关 的 数 据 ， 对 防 火 墙 实 施 的 攻 击 。 2 6.2.6 绕开身份标识和鉴别机制 这 类 攻 击 企 图 绕 过 或欺 骗 身 份 识 别 和 鉴 别 机 制 ， 假 冒 成 另 一 个