1、防火墻運(yùn)行安全管理制度第一章總則第一條為保障信息網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行，特制訂本制度。第二條本制度適用于信息網(wǎng)絡(luò)的所有防火墻及相關(guān)設(shè)備管理和 運(yùn)行。第二章防火墻管理員職責(zé)第三條 防火墻系統(tǒng)管理員的任命應(yīng)遵循“任期有限、權(quán)限分散” 的原則。第四條系統(tǒng)管理員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長(zhǎng) 為三年，期滿通過(guò)考核后可以續(xù)任。第五條必須簽訂保密協(xié)議書。第六條 防火墻系統(tǒng)管理員的職責(zé)：（一）恪守職業(yè)道德，嚴(yán)守企業(yè)秘密；熟悉國(guó)家安全生產(chǎn)法以及 有關(guān)信息安全管理的相關(guān)規(guī)程；（二）負(fù)責(zé)網(wǎng)絡(luò)安全策略的編制，更新和維護(hù)等工作；（三）對(duì)信息網(wǎng)絡(luò)實(shí)行分級(jí)授權(quán)管理，按照崗位職責(zé)授予不同的 管理級(jí)別和權(quán)限；（四）不斷

2、的學(xué)習(xí)和掌握最新的網(wǎng)絡(luò)安全知識(shí)，防病毒知識(shí)和專 業(yè)技能；（五）遵守防火墻設(shè)備各項(xiàng)管理規(guī)范。第三章用戶管理第七條只有防火墻系統(tǒng)管理員才具有修改入侵檢測(cè)設(shè)備策略配 置、分析的權(quán)限。第八條 為用戶級(jí)和特權(quán)級(jí)模式設(shè)置口令，不能使用缺省口令， 確保用戶級(jí)和特權(quán)級(jí)模式口令不同。第九條 防火墻設(shè)備口令長(zhǎng)度應(yīng)采用8位以上，由大小寫、字母、 數(shù)字和字符組成，并定期更換，不能使用容易猜解的口令。第四章設(shè)備管理第十條防火墻設(shè)備部署位置的環(huán)境應(yīng)滿足相應(yīng)的國(guó)家標(biāo)準(zhǔn)和規(guī) 范，以保證防火墻設(shè)備的正常運(yùn)行。第十一條防火墻設(shè)備定期檢測(cè)和維護(hù)要求如下：（一）每月定期安裝、更新廠家發(fā)布的防火墻補(bǔ)丁程序，及時(shí)修補(bǔ)防火墻操作系統(tǒng)的漏洞

3、，并做好升級(jí)記錄；（二）一周內(nèi)至少審計(jì)一次日志報(bào)表；（三）一個(gè)月內(nèi)至少重新啟動(dòng)一次防火墻；（四）根據(jù)入侵檢測(cè)系統(tǒng)、安全漏洞掃描系統(tǒng)的提示，適時(shí)調(diào)整 防火墻安全規(guī)則；（五）及時(shí)修補(bǔ)防火墻宿主機(jī)操作系統(tǒng)的漏洞；（六）對(duì)網(wǎng)絡(luò)安全事故要及時(shí)處理，保證信息網(wǎng)絡(luò)的安全運(yùn)行。第十二條防火墻設(shè)備安全規(guī)則設(shè)置、更改的授權(quán)、審批依據(jù)防火墻配置變更審批表（參見(jiàn)附表1）進(jìn)行。防火墻設(shè)備安全規(guī) 則的設(shè)置、更改，應(yīng)該得到信息系統(tǒng)運(yùn)行管理部門負(fù)責(zé)人的批準(zhǔn)，由 系統(tǒng)管理員具體負(fù)責(zé)實(shí)施。第十三條防火墻設(shè)備配置操作規(guī)程要求如下：（一）記錄網(wǎng)絡(luò)環(huán)境，定義防火墻網(wǎng)絡(luò)接口；（二）配置靜態(tài)路由或代理路由；（三）定義防火墻的網(wǎng)絡(luò)對(duì)象和應(yīng)用

4、端口；（四）定義安全策略；（五）配置冗余的防火墻設(shè)備，并安裝到網(wǎng)絡(luò)當(dāng)中；（六）定義管理員清單和管理權(quán)限；（七）測(cè)試防火墻性能和做好網(wǎng)管資料。第十四條防火墻設(shè)備安全規(guī)則的備份和恢復(fù)。修改防火墻安 全規(guī)則之前對(duì)現(xiàn)運(yùn)行的安全規(guī)則必須進(jìn)行備份，以便于修改防火墻安 全規(guī)則失敗后能夠快速恢復(fù)現(xiàn)運(yùn)行的安全規(guī)則。第十五條系統(tǒng)管理員應(yīng)定期和不定期地檢查防火墻設(shè)備的運(yùn) 行狀況，及時(shí)查看防火墻日志，對(duì)異常情況的發(fā)生，及時(shí)上報(bào)，并做 好記錄。第十六條 對(duì)防火墻設(shè)備的CPU和內(nèi)存利用率、數(shù)據(jù)流量、地 址翻譯數(shù)量等進(jìn)行均時(shí)監(jiān)測(cè)、跟蹤工作，每周形成報(bào)表。第十七條 防火墻設(shè)備安全事件處理和報(bào)告，由系統(tǒng)管理員填 寫防火墻維護(hù)和

5、應(yīng)急處理記錄（參見(jiàn)附表2）。當(dāng)防火墻設(shè)備發(fā)生 宕機(jī)引起網(wǎng)絡(luò)擁塞或網(wǎng)絡(luò)癱瘓等重大安全事件時(shí)，應(yīng)立即啟動(dòng)緊急響 應(yīng)程序，對(duì)網(wǎng)絡(luò)進(jìn)行緊急處理，堵塞攻擊入口，恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行， 并追查攻擊來(lái)源，及時(shí)上報(bào)。防火墻配置變更審批表II編號(hào):申請(qǐng)部門責(zé)任人聯(lián)系申請(qǐng)日期授權(quán)性質(zhì)新增策略策略變更授權(quán)期限起始日期：結(jié)束日期：申請(qǐng)權(quán)限要求（網(wǎng)絡(luò)名稱/IP范圍）、訪問(wèn)資源、訪問(wèn)方式、訪問(wèn)目的等）：申請(qǐng)理由：申請(qǐng)部門意見(jiàn)：簽名：日期：系統(tǒng)運(yùn)行管理部門意見(jiàn)：簽名：日期：執(zhí)行記錄控制名稱控制目的源地址目的地址訪問(wèn)權(quán)限設(shè)定其他設(shè)置執(zhí)行人執(zhí)行日期防火墻維護(hù)和應(yīng)急處理記錄防火墻名稱防火墻型號(hào)日期執(zhí)行人維護(hù)內(nèi)容/故障現(xiàn)象及其應(yīng)急處

6、理情況：安全配置作業(yè)指導(dǎo)書防火墻設(shè)備XXXX集團(tuán)公司2021年7月刖言為規(guī)范XXXX集團(tuán)公司網(wǎng)絡(luò)設(shè)備的安全管理，建立統(tǒng)一的防火墻設(shè)備安全配置標(biāo) 準(zhǔn)，特制定本安全配置作業(yè)指導(dǎo)書。本技術(shù)基線由XXXX集團(tuán)公司提出并歸口本技術(shù)基線起草單位：XXXX集團(tuán)公司本技術(shù)基線主要起草人：本技術(shù)基線主要審核人：適用范圍1規(guī)范性引用文件1術(shù)語(yǔ)和定義1防火墻安全配置規(guī)范2防火墻自身安全性檢查2檢查系統(tǒng)時(shí)間是否準(zhǔn)確2.檢查是否存在分級(jí)用戶管理3密碼認(rèn)證登錄3.登陸認(rèn)證機(jī)制4.登陸失敗處理機(jī)制5.檢查是否做配置的定期備份6.檢查雙防火墻冗余情況下，主備切換情況7.防止信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)84.1.9.設(shè)備登錄地址

7、進(jìn)行限制10訪問(wèn)控制104.1.11.防火墻自帶的病毒庫(kù)、入侵防御庫(kù)、應(yīng)用識(shí)別、web過(guò)濾及時(shí)升級(jí)12防火墻業(yè)務(wù)防御檢查12啟用安全域控制功能12.檢查防火墻訪問(wèn)控制策略13防火墻訪問(wèn)控制粒度檢查144.2.4 .檢查防火墻的地址轉(zhuǎn)換轉(zhuǎn)換情況15日志與審計(jì)檢查16設(shè)備日志的參數(shù)配置16防火墻流量日志檢查17防火墻設(shè)備的審計(jì)記錄18適用范圍本基作業(yè)指導(dǎo)書范適用于XXXX集團(tuán)公司各級(jí)機(jī)構(gòu)。規(guī)范性引用文件ISO27001 標(biāo)準(zhǔn)/ISO27002 指南GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T 20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T 20272-20

8、06信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T 20273-2006信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求GB/T 22239-2021信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求術(shù)語(yǔ)和定義安全設(shè)備安全基線：指針對(duì)各類安全設(shè)備的安全特性，選擇合適的安全控制措 施，定義不同網(wǎng)絡(luò)設(shè)備的最低安全配置要求，則該最低安全配置要求就稱為安全設(shè) 備安全基線。嚴(yán)重漏洞（Critical）：攻擊者可利用此漏洞以網(wǎng)絡(luò)蠕蟲或無(wú)需用戶任何操作等 方式實(shí)現(xiàn)完全控制受影響的系統(tǒng)重要漏洞（Important）：攻擊者可利用此漏洞實(shí)現(xiàn)破壞用戶數(shù)據(jù)和信息資源的 機(jī)密性、完整性或可用性。中等漏洞（Moderate）:攻擊者利用此漏洞有

9、可能未經(jīng)授權(quán)訪問(wèn)信息。注意，雖 然攻擊者無(wú)法利用此漏洞來(lái)執(zhí)行代碼提升他們的用戶權(quán)限，但此漏洞可用于生成有 用信息，這些信息可用于進(jìn)一步危及受影響系統(tǒng)的安全。輕微漏洞（Low）：攻擊者通常難以利用此漏洞，或者幾乎不會(huì)對(duì)信息安全造成明顯損失。4.防火墻安全配置規(guī)范防火墻自身安全性檢查檢查系統(tǒng)時(shí)間是否準(zhǔn)確編號(hào)要求內(nèi) 容檢查系統(tǒng)時(shí)間是否準(zhǔn)確加固方 法重新和北京時(shí)間做校隊(duì)1現(xiàn)場(chǎng)檢查：如下截圖路徑，檢查系統(tǒng)時(shí)間是否和北京時(shí)間一致，如果相差在一分鐘之 內(nèi)，則認(rèn)為符合要求，否則需要重新修正。天融信該功能截圖：路徑：系統(tǒng)管理二配置擊稅季翱1菲SS盛帶1 m 1版匕隊(duì)隊(duì)狂irrlftfl 1幕用工反檢測(cè)方 法帽番

10、當(dāng)前時(shí)甚，480_虎80；4號(hào)可咨昭退備W St 日耶二 EBOB-07-15T當(dāng)同詞：2U：5?：3S土設(shè)吾策啊閘；設(shè)置謔倒t區(qū)=|此而 蟲珂工存木井 擊*臺(tái)此做_r|營(yíng)理4lt當(dāng)前時(shí)間;：SMStT月】弓日-M：43 所管理抓更新時(shí)何看同貴|叫運(yùn)程更果時(shí)何們推且每脂二貿(mào)停生tEP :，呂初 好止炒罪務(wù)叫二上】間發(fā)二時(shí)問(wèn)曰 1 叩乾備注4.1.2.檢查是否存在分級(jí)用戶管理編號(hào)要求內(nèi) 容管理員分：超級(jí)管理員、管理用戶、審計(jì)用戶、虛擬系統(tǒng)用戶加固方 法在防火墻設(shè)備上配置管理賬戶和審計(jì)賬戶檢測(cè)方 法1現(xiàn)場(chǎng)檢查：如下截圖路徑，如果系統(tǒng)中僅存在四個(gè)賬戶，分別為：超級(jí)管理員、管理 用戶、審計(jì)用戶、虛擬系

11、統(tǒng)用戶，且四個(gè)賬號(hào)分別對(duì)應(yīng)于各自不同級(jí)別的 權(quán)限，則符合要求；如果無(wú)三個(gè)，則不符合要求天融信該功能截圖：路徑：系統(tǒng)管理二管理員管理員列表添加用戶名枳限描述修改 刪除EUf.erfflUL兇氯管理員80安全審計(jì)hh間131Ik虛系統(tǒng)用戶WNoComment口同備注4.1.3.密碼認(rèn)證登錄編號(hào)要求內(nèi)容加固方要求內(nèi)容加固方法檢查防火墻內(nèi)置賬戶不得存在缺省密碼或弱口令帳戶修改防火墻設(shè)備的登錄設(shè)備的口令，滿足安全性及復(fù)雜性要求1、口令復(fù)雜度查看防火墻設(shè)備的管理員登錄設(shè)備的口令安全性及復(fù)雜性，登錄設(shè)備 驗(yàn)證口令的復(fù)雜性，。如果需要輸入口令并且口令為8位以上，并且是包含字母、數(shù)字、特殊字符的混合體，判定結(jié)果

12、為符合；如果不需要任何認(rèn)證過(guò)程，判定結(jié)果為不符合2、檢查賬戶不得使用缺省密碼。天融信防火墻該功能截圖：檢測(cè)方法路徑：系統(tǒng)管理二管理員檢測(cè)方法除改用戶屆性用戶名稱：superman新的超用F名：新口令：* 密碼位數(shù)不小于白位 TOC o 1-5 h z 踴U口令:*用尸描述：0用戶權(quán)限:|超級(jí)菅理員3確定| 取消|4.1.4.登陸認(rèn)證機(jī)制編號(hào)要求內(nèi) 容檢查登陸時(shí)是否采用多重身份認(rèn)證的鑒別技術(shù)加固方米用強(qiáng)度高于用戶名+靜態(tài)口令的認(rèn)證機(jī)制實(shí)現(xiàn)用戶身份鑒別1、檢查：現(xiàn)場(chǎng)驗(yàn)證登陸防火墻，查看是否支持用戶名+靜態(tài)口令;天融信防火墻登陸窗口：檢測(cè)方 法用戶名：superman4.1.5.登陸失敗處理機(jī)制編號(hào)

13、要求內(nèi) 容檢查登陸失敗時(shí)處理機(jī)制加固方 法具有登錄失敗處理功能，可采取結(jié)束會(huì)話、登陸失敗時(shí)阻斷間隔、限制非 法登錄次數(shù)和當(dāng)防火墻登錄連接超時(shí)自動(dòng)退出等措施檢測(cè)方 法1、檢查:防火墻設(shè)備上的安全設(shè)置，查看其是否有對(duì)鑒別失敗采取相應(yīng)的措施的 設(shè)置；查看是否有限制非法登錄次數(shù)的功能；管理員登錄地址進(jìn)行限制；查看登陸失敗時(shí)阻斷時(shí)間；查看是否設(shè)置登錄連接超時(shí)，并自動(dòng)退出；2、測(cè)試:驗(yàn)證鑒別失敗處理措施（如模擬失敗登錄，觀察設(shè)備的動(dòng)作等），限制非 法登錄次數(shù)（如模擬非法登錄，觀察網(wǎng)絡(luò)設(shè)備的動(dòng)作等），對(duì)設(shè)備的管理員 登錄地址進(jìn)行限制（如使用任意地址登錄，觀察設(shè)備的動(dòng)作等）等功能是 否有效；驗(yàn)證其網(wǎng)絡(luò)登錄連接

14、超自動(dòng)退出的設(shè)置是否有效（如長(zhǎng)時(shí)間連接 無(wú)任何操作，觀察觀察網(wǎng)絡(luò)設(shè)備的動(dòng)作等）；3、產(chǎn)品舉例:天融信防火墻用戶登錄超時(shí)設(shè)置：路徑：系統(tǒng)管配置理二維護(hù)=系統(tǒng)配置系揚(yáng)停教1開(kāi)放服督|時(shí)間nbiiiA證3肝注珊1篇用工具基本居牲設(shè)名布 i Top4CDS即皿超時(shí)時(shí)間:Q口。齡口表示永不13時(shí)】fiiafiiHiM何:亳級(jí)建性 m nr最夫并發(fā)骨理裁：S* 不大刑4個(gè)同一用官最大芥辰宮理數(shù)：5* 不大于個(gè)同一用戶最大置景地專ID* 不大于WM0個(gè)最大登錄失袖況數(shù)：$二! *【不大于1 口校備注檢查是否做配置的定期備份號(hào)要求內(nèi)檢查是否對(duì)防火墻的配置定期做備份容加固方法督促管理員定期對(duì)防火墻做配置備份加固

15、方法督促管理員定期對(duì)防火墻做配置備份1訪談方式：和管理員了解防火墻配置的備份情況2驗(yàn)證：在網(wǎng)管服務(wù)器上，查看防火墻配置文件夾，確認(rèn)是否定期做配置備份。3加固：第一步：天融信防火墻配置導(dǎo)出位置截圖：路徑：系統(tǒng)管理=維護(hù)配宣姓護(hù)I色降和恢垣1升綁I垣啟I健成記挈既笑出廠恢建配墨| 恢M是棲出廠配宜G匚總：詼金出廠西EE后.原和己置持全部擊失，詰醐1導(dǎo)由歲前配置11檢測(cè)方：Ht最改宣地蓮法勵(lì)入百己置：I- 上傳 上住配貿(mào):匚| 上但|下截S日斐：眥址廠 JR薛廠 時(shí)向廠I- E同機(jī)!IJ6嘲I- MPft&l- f st鏟配管替巍:.| gBE. | 音繇 |HS3TfiS； 國(guó)亍配置|保存配置|吳

16、型| 文二|后用咨若汨七| 空右謀吞|第二步：網(wǎng)管機(jī)上建立防火墻配置文件備份文件夾檢查雙防火墻冗余情況下，主備切換情況編號(hào)要求內(nèi) 容檢查雙防火墻冗余情況下，主備切換情況加固方 法如該功能未達(dá)到要求，需廠商人員檢查、加固檢測(cè)方 法1訪談方式咨詢管理員近期是否有過(guò)設(shè)備切換現(xiàn)象，切換是否成功等2現(xiàn)場(chǎng)驗(yàn)證拔掉主墻線纜后，備墻可以實(shí)現(xiàn)正常切換，網(wǎng)絡(luò)快速切換，應(yīng)用正常。3加固措施第一步：如該功能未達(dá)到，檢查防火墻雙機(jī)熱備配置是否正確、監(jiān)控狀態(tài)是否正常第二步：如果配置有誤，需要盡快協(xié)商廠商人員解決天融信防火墻該功能截圖：路徑：高可用性二雙機(jī)熱備當(dāng)前狀奏械態(tài):沒(méi)有啟酒啟用 | 停止| 啟用 | 停止| 應(yīng)用地

17、備粗添加Vrii 憂先綴 搶占狀態(tài)度量值 援口 修改 冊(cè)除2254enable BOTRUH 0ethJO百防止信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)要求內(nèi)容當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò) 程中被竊聽(tīng)。可采用S、SSH等安全遠(yuǎn)程管理手段。要求內(nèi)容加 固方 通過(guò)s和ssh登陸管理設(shè)備。法1現(xiàn)場(chǎng)驗(yàn)證:能夠通過(guò)s和ssh登陸管理設(shè)備，判定結(jié)果為符合；通過(guò) 和telnet登陸管理設(shè)備，判定結(jié)果為不符合。2加固措施：按照下述截圖位置，只開(kāi)放S,SSH登陸方式，去除其他登陸方式。天融信防火墻該功能截圖：EC檢測(cè)方用尸名:superman*檢測(cè)方用尸名:superman*中相未永檢查如

18、下的SSH方式及S權(quán)限配置:路徑：系統(tǒng)管理二配置二開(kāi)放服務(wù)左iffi分散 I并W晝務(wù) I時(shí)間 |證 |1富用H曰監(jiān)校陽(yáng)矣.啟動(dòng)胃止SSHJIB.r .歸 2 停止TEL2TET躲苗：?jiǎn)⒛竿Ｖ笻TTPfiBl-.圮;初信止NTPiefr 后2 停止并敏（窘服務(wù)名稱控制區(qū)地控制地趾修改朋隰piigvthD曰lSie sita=wt hOany*1_3.1up dat. awrw a _ t hQIZ) iip i*w * _ t hO囹圜】宵:KFw LiO：ua*3 slvpn9Tm _ e 1110nx臼國(guó)3 slrpniniErarc -r -要求內(nèi)容查看日志服務(wù)器是否正常接收日志，并且日志

19、必須保存6個(gè)月加固方 法1現(xiàn)場(chǎng)檢查：登陸至天融信集中控制中心或第三方日志服務(wù)軟件，查看是否正常接收日 志，且是否有近6個(gè)月內(nèi)的日志；確認(rèn)服務(wù)器的存儲(chǔ)空間是否足夠4.3.3,防火墻設(shè)備的審計(jì)記錄編號(hào)要求內(nèi)能夠查看設(shè)備的登錄審計(jì)記錄容加固方 法查看設(shè)備的登錄審計(jì)記錄。查看設(shè)備的相關(guān)登錄審計(jì)記錄，包含登錄成功、登錄失敗、接口的up記錄 等。天融信該功能截圖：路徑：日志與報(bào)警二日志查看日志豆詣i刷SfiE志【箔空日志魄1箜我日朗，時(shí)間類型檢測(cè)方2D08-D7-18/LB：H:226配置E理i d= Lae SM-TdjiEtjOS 此即二副st5= 192. EE. 83 221J tsuited r

20、eeorder-cTLEig nsg=Hnillrf敬1 噸 Im ceunC r法配理苔理id= tos. f=TapEecGS nEer=Eupernn trc=192. L68.63. 20 flEoli.-tl rc ar d-tr c an.i g nsg nuLl1Dp-lug count* r洞&-W-搟/由加S白配置Ma dr tP% fv-T糜勝齊陽(yáng)邳伯的=1*“ LB我日3 洶vrf resullO reoriie!r=e&j,kfL itEgFullop-syiitffik Ygbvii 如8id= f=Iqp5；cCSsr=l.a etas r4E.nlrtc-Mdtr

21、ci-nfig： rTiErulLP尸遷NSP vtril 931 12O-D7-19/L0：U-22G歪藐匡竹ifw-TpscGS w刊MFKippman st=1*92.S3 ZJC典3血產(chǎn)犯止niffs Eaeetii*5-咋皿 t三口防火墻施工方案編制依據(jù)：建筑裝修內(nèi)部設(shè)計(jì)防火規(guī)范（GB5022295）所采用的施工方法：1、放線將柱與柱中間放線，沿續(xù)到梁和地面。2、按放線將方鋼支架，連接到柱、梁、地面上，用膨脹螺栓焊接固定。方鋼支 架焊制前應(yīng)先將方鋼防銹處理，用臺(tái)鉆將安裝膨脹螺栓處打16MM孔，打孔部位盡 量靠近角鐵肢背一側(cè)以利于受力，兩孔距離不小于600MM.焊接采用E43013。2 電焊條&方鋼按舉架6米按2米平分安裝橫向方鋼。（方鋼與方鋼相連接處焊接）。3、在梁與地面之間，用輕鋼龍骨按豎向間距400mm連接。安裝沿頂、地龍骨時(shí) 一般用射釘或金屬膨脹螺栓固定，間距不大于600MM.與豎向龍骨采用抽芯鉚釘固 定。4、安裝管線與設(shè)