15-SGISLOP-SA17-10 IDS等级保护测评作业指导书(三级).doc

1、信息安全等级保护测评作业指导书IDS（三级）版 号： 第 2 版修 改 次 数： 第 0 次生 效 日 期： 2010 年 01 月 06 日中国电力科学研究信息安全实验室控制编号：SGISL/OP-SA17-10控制编号：SGISL/OP-SA17-10中国电力科学研究院信息安全实验室第 1 页 共 8 页第 2 版 第 0 次修订IDS 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日修改页修订号 控制编号 版号/章节号 修改人 修订原因 批准人 批准日期 备注1 SGISL/OP-SA17-10 唐斐 按公安部要求修订 詹雄 2010.3.8控制编号：SGISL/

2、OP-SA17-10中国电力科学研究院信息安全实验室第 2 页 共 8 页第 2 版 第 0 次修订IDS 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日一、安全审计1日志记录测评项编号 ADT-FW-04 对应要求应对设备运行状况、网络流量等进行日志记录测评项名称 日志记录测评分项 1：记录 IDS 的管理行为、设备运行状况和网络异常流量。查看 IDS 日志，是否存在设备运行状况和网络异常流量等相关日志记录适用版本 任何产品操作步骤实施风险 无符合性判定存在防火墙的管理行为、网络流量等相关日志记录，判定结果为符合包含上述内容不全面，判定结果为不符合测评分项 2： 审

3、计记录应包括：事件的日期和时间、用户、事件类型、事件结果等查看日志记录内容，是否包含事件的日期和时间、用户、事件类型、事件结果适用版本 所有内容操作步骤实施风险 无符合性判定包含事件的日期和时间、用户、事件类型、事件结果，判定结果为符合包含上述内容不全面，判定结果为不符合控制编号：SGISL/OP-SA17-10中国电力科学研究院信息安全实验室第 3 页 共 8 页第 2 版 第 0 次修订IDS 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日备注2日志分析测评项编号 ADT-FW-04 对应要求应能够根据记录数据进行分析，并生成审计报表测评项名称 日志分析测评分项

4、1：根据各种审计数据分析，并生成报表登陆 IDS 管理界面，获取日志分析报告及图表适用版本 任何产品操作步骤实施风险 无符合性判定能获取到日志分析报告及图表，判定结果为符合不能获取到日志分析报告及图表，判定结果为不符合3审计记录的保护测评项编号 ADT-FW-04 对应要求应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等测评项名称 审计记录的保护测评分项 1： 审计记录的完好性保护查看审计记录的存储，是否未经授权可删除、修改审计记录操作步骤适用版本 任何产品控制编号：SGISL/OP-SA17-10中国电力科学研究院信息安全实验室第 4 页 共 8 页第 2 版 第 0 次修订IDS

5、等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日实施风险 无符合性判定未经授权，不可删除、修改审计记录，判定结果为符合未经授权，可删除、修改审计记录，判定结果为不符合三、安全防护1身份鉴别方式测评项编号 ADT-FW-04 对应要求 应对登陆网络设备的用户进行身份鉴别测评项名称 身份鉴别测评分项 1： 限制管理员的登录 IP 地址使用限制地址范围之外的 IP 地址登陆 IDS适用版本 所有内容操作步骤实施风险 无符合性判定登陆失败，判定结果为符合登陆成功，判定结果为失败测评分项 2： 用户标识唯一检查防火墙管理员是否都有单独的帐号适用版本 所有内容操作步骤实施风险 无符

6、合性判定帐号独立，判定结果为符合只存在一个超级管理员帐号，或多人共用一个帐号，判定结果为不符控制编号：SGISL/OP-SA17-10中国电力科学研究院信息安全实验室第 5 页 共 8 页第 2 版 第 0 次修订IDS 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日合测评分项 3： 使用两种或两种以上组合的鉴别技术进行身份鉴别检查防火墙是否使用双因子鉴别方式，如口令+证书等适用版本 所有内容操作步骤实施风险 无符合性判定使用双因子身份鉴别方式，判定结果为符合未使用双因子身份鉴别方式，判定结果为不符合备注2身份鉴别方式的防护测评项编号 ADT-FW-04 对应要求 身

7、份鉴别信息应具有不易被冒用的特点测评项名称 身份鉴别测评分项 1：修改默认帐号及口令使用默认帐号及口令，通过 WEB 界面和 Console 口方式登陆 IDS适用版本 任何产品操作步骤实施风险 无符合性判定登陆失败，判定结果为符合登陆成功，判定结果为不符合测评分项 2：口令的复杂性和定期更换控制编号：SGISL/OP-SA17-10中国电力科学研究院信息安全实验室第 6 页 共 8 页第 2 版 第 0 次修订IDS 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日访谈设备管理员，口令的长度、复杂度要求，口令是否定期更换适用版本 任何产品操作步骤实施风险 无符合性判定

8、口令具备长度和复杂度要求，并定期更换，判定结果为符合上述情况不满足，判定结果为不符合测评分项 3：身份鉴别失败处理和登陆超时处理管理员登陆失败次数超出设定数值后，是否采取措施如结束会话，锁定用户等。管理员成功登陆 IDS 后，网络连接超出设定时间后是否自动注销用户。适用版本 任何产品操作步骤实施风险 无符合性判定具有上述鉴别失败处理机制和超时退出机制的，判定结果为符合上述情况不满足，判定结果为不符合测评分项 4：远程管理信息的机密性远程管理的信息在传输过程中是否采取加密措施适用版本 任何产品操作步骤实施风险 无符合性判定远程管理信息采取加密措施，判定结果为符合远程管理信息明文传输，判定结果为不

9、符合控制编号：SGISL/OP-SA17-10中国电力科学研究院信息安全实验室第 7 页 共 8 页第 2 版 第 0 次修订IDS 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日测评分项 5：特权用户的权限分离 防火墙管理员应实现审计权限和安全策略配置权限的分离适用版本 任何产品操作步骤实施风险 无符合性判定防火墙的管理员具备独立的审计账户，仅具有查看权限，判定结果为符合上述情况不满足，判定结果为不符合备注四、备份和恢复1备份测评项编号 ADT-FW-01 对应要求应制定设备配置数据备份策略，对 IDS日志及安全策略进行备份测评项名称 备份测评分项 1：IDS 日志及安全策略的备份查看 IDS 的日志及安全策略是否依据制定的数据备份策略实施适用版本 任何版本操作步骤实施风险 无符合性判定依据数据备份策略实施，判定结果为符合；未依据数据备份策略实施，判定结果为不符合。控制编号：SGISL/OP-SA17-10中国电力科学研究院信息安全实验室第 8 页 共 8 页第 2 版 第 0 次修订IDS 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日备注