防火墙运行安全管理制度

1、防火墙运行安全管理制度第一章总则第一条为保障信息网络的安全、稳定运行，特制订本制度。第二条本制度适用于信息网络的所有防火墙及相关设备管理和 运行。第二章防火墙管理员职责第三条 防火墙系统管理员的任命应遵循“任期有限、权限分散” 的原则。第四条系统管理员的任期可根据系统的安全性要求而定，最长 为三年，期满通过考核后可以续任。第五条必须签订保密协议书。第六条 防火墙系统管理员的职责：（一）恪守职业道德，严守企业秘密；熟悉国家安全生产法以及 有关信息安全管理的相关规程；（二）负责网络安全策略的编制，更新和维护等工作；（三）对信息网络实行分级授权管理，按照岗位职责授予不同的 管理级别和权限；（四）不断

2、的学习和掌握最新的网络安全知识，防病毒知识和专 业技能；（五）遵守防火墙设备各项管理规范。第三章用户管理第七条只有防火墙系统管理员才具有修改入侵检测设备策略配 置、分析的权限。第八条 为用户级和特权级模式设置口令，不能使用缺省口令， 确保用户级和特权级模式口令不同。第九条 防火墙设备口令长度应采用8位以上，由大小写、字母、 数字和字符组成，并定期更换，不能使用容易猜解的口令。第四章设备管理第十条防火墙设备部署位置的环境应满足相应的国家标准和规 范，以保证防火墙设备的正常运行。第十一条防火墙设备定期检测和维护要求如下：（一）每月定期安装、更新厂家发布的防火墙补丁程序，及时修补防火墙操作系统的漏洞

3、，并做好升级记录；（二）一周内至少审计一次日志报表；（三）一个月内至少重新启动一次防火墙；（四）根据入侵检测系统、安全漏洞扫描系统的提示，适时调整 防火墙安全规则；（五）及时修补防火墙宿主机操作系统的漏洞；（六）对网络安全事故要及时处理，保证信息网络的安全运行。第十二条防火墙设备安全规则设置、更改的授权、审批依据防火墙配置变更审批表（参见附表1）进行。防火墙设备安全规 则的设置、更改，应该得到信息系统运行管理部门负责人的批准，由 系统管理员具体负责实施。第十三条防火墙设备配置操作规程要求如下：（一）记录网络环境，定义防火墙网络接口；（二）配置静态路由或代理路由；（三）定义防火墙的网络对象和应用

4、端口；（四）定义安全策略；（五）配置冗余的防火墙设备，并安装到网络当中；（六）定义管理员清单和管理权限；（七）测试防火墙性能和做好网管资料。第十四条防火墙设备安全规则的备份和恢复。修改防火墙安 全规则之前对现运行的安全规则必须进行备份，以便于修改防火墙安 全规则失败后能够快速恢复现运行的安全规则。第十五条系统管理员应定期和不定期地检查防火墙设备的运 行状况，及时查看防火墙日志，对异常情况的发生，及时上报，并做 好记录。第十六条 对防火墙设备的CPU和内存利用率、数据流量、地 址翻译数量等进行均时监测、跟踪工作，每周形成报表。第十七条 防火墙设备安全事件处理和报告，由系统管理员填 写防火墙维护和

5、应急处理记录（参见附表2）。当防火墙设备发生 宕机引起网络拥塞或网络瘫痪等重大安全事件时，应立即启动紧急响 应程序，对网络进行紧急处理，堵塞攻击入口，恢复网络的正常运行， 并追查攻击来源，及时上报。防火墙配置变更审批表II编号:申请部门责任人联系申请日期授权性质新增策略策略变更授权期限起始日期：结束日期：申请权限要求（网络名称/IP范围）、访问资源、访问方式、访问目的等）：申请理由：申请部门意见：签名：日期：系统运行管理部门意见：签名：日期：执行记录控制名称控制目的源地址目的地址访问权限设定其他设置执行人执行日期防火墙维护和应急处理记录防火墙名称防火墙型号日期执行人维护内容/故障现象及其应急处

6、理情况：安全配置作业指导书防火墙设备XXXX集团公司2021年7月刖言为规范XXXX集团公司网络设备的安全管理，建立统一的防火墙设备安全配置标 准，特制定本安全配置作业指导书。本技术基线由XXXX集团公司提出并归口本技术基线起草单位：XXXX集团公司本技术基线主要起草人：本技术基线主要审核人：适用范围1规范性引用文件1术语和定义1防火墙安全配置规范2防火墙自身安全性检查2检查系统时间是否准确2.检查是否存在分级用户管理3密码认证登录3.登陆认证机制4.登陆失败处理机制5.检查是否做配置的定期备份6.检查双防火墙冗余情况下，主备切换情况7.防止信息在网络传输过程中被窃听84.1.9.设备登录地址

7、进行限制10访问控制104.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤及时升级12防火墙业务防御检查12启用安全域控制功能12.检查防火墙访问控制策略13防火墙访问控制粒度检查144.2.4 .检查防火墙的地址转换转换情况15日志与审计检查16设备日志的参数配置16防火墙流量日志检查17防火墙设备的审计记录18适用范围本基作业指导书范适用于XXXX集团公司各级机构。规范性引用文件ISO27001 标准/ISO27002 指南GB 17859-1999计算机信息系统安全保护等级划分准则GB/T 20271-2006信息安全技术信息系统通用安全技术要求GB/T 20272-20

8、06信息安全技术操作系统安全技术要求GB/T 20273-2006信息安全技术数据库管理系统安全技术要求GB/T 22239-2021信息安全技术信息系统安全等级保护基本要求术语和定义安全设备安全基线：指针对各类安全设备的安全特性，选择合适的安全控制措 施，定义不同网络设备的最低安全配置要求，则该最低安全配置要求就称为安全设 备安全基线。严重漏洞（Critical）：攻击者可利用此漏洞以网络蠕虫或无需用户任何操作等 方式实现完全控制受影响的系统重要漏洞（Important）：攻击者可利用此漏洞实现破坏用户数据和信息资源的 机密性、完整性或可用性。中等漏洞（Moderate）:攻击者利用此漏洞有

9、可能未经授权访问信息。注意，虽 然攻击者无法利用此漏洞来执行代码提升他们的用户权限，但此漏洞可用于生成有 用信息，这些信息可用于进一步危及受影响系统的安全。轻微漏洞（Low）：攻击者通常难以利用此漏洞，或者几乎不会对信息安全造成明显损失。4.防火墙安全配置规范防火墙自身安全性检查检查系统时间是否准确编号要求内 容检查系统时间是否准确加固方 法重新和北京时间做校队1现场检查：如下截图路径，检查系统时间是否和北京时间一致，如果相差在一分钟之 内，则认为符合要求，否则需要重新修正。天融信该功能截图：路径：系统管理二配置击税季翱1菲SS盛带1 m 1版匕队队狂irrlftfl 1幕用工反检测方 法帽番

10、当前时甚，480_虎80；4号可咨昭退备W St 日耶二 EBOB-07-15T当同词：2U：5?：3S土设吾策啊闸；设置谑倒t区=|此而 虫珂工存木井 击*台此做_r|营理4lt当前时间;：SMStT月】弓日-M：43 所管理抓更新时何看同贵|叫运程更果时何们推且每脂二贸停生tEP :，吕初 好止炒罪务叫二上】间发二时问曰 1 叩乾备注4.1.2.检查是否存在分级用户管理编号要求内 容管理员分：超级管理员、管理用户、审计用户、虚拟系统用户加固方 法在防火墙设备上配置管理账户和审计账户检测方 法1现场检查：如下截图路径，如果系统中仅存在四个账户，分别为：超级管理员、管理 用户、审计用户、虚拟系

11、统用户，且四个账号分别对应于各自不同级别的 权限，则符合要求；如果无三个，则不符合要求天融信该功能截图：路径：系统管理二管理员管理员列表添加用户名枳限描述修改 删除EUf.erfflUL凶氯管理员80安全审计hh间131Ik虚系统用户WNoComment口同备注4.1.3.密码认证登录编号要求内容加固方要求内容加固方法检查防火墙内置账户不得存在缺省密码或弱口令帐户修改防火墙设备的登录设备的口令，满足安全性及复杂性要求1、口令复杂度查看防火墙设备的管理员登录设备的口令安全性及复杂性，登录设备 验证口令的复杂性，。如果需要输入口令并且口令为8位以上，并且是包含字母、数字、特殊字符的混合体，判定结果

12、为符合；如果不需要任何认证过程，判定结果为不符合2、检查账户不得使用缺省密码。天融信防火墙该功能截图：检测方法路径：系统管理二管理员检测方法除改用户届性用户名称：superman新的超用F名：新口令：* 密码位数不小于白位 TOC o 1-5 h z 踊U口令:*用尸描述：0用户权限:|超级菅理员3确定| 取消|4.1.4.登陆认证机制编号要求内 容检查登陆时是否采用多重身份认证的鉴别技术加固方米用强度高于用户名+静态口令的认证机制实现用户身份鉴别1、检查：现场验证登陆防火墙，查看是否支持用户名+静态口令;天融信防火墙登陆窗口：检测方 法用户名：superman4.1.5.登陆失败处理机制编号

13、要求内 容检查登陆失败时处理机制加固方 法具有登录失败处理功能，可采取结束会话、登陆失败时阻断间隔、限制非 法登录次数和当防火墙登录连接超时自动退出等措施检测方 法1、检查:防火墙设备上的安全设置，查看其是否有对鉴别失败采取相应的措施的 设置；查看是否有限制非法登录次数的功能；管理员登录地址进行限制；查看登陆失败时阻断时间；查看是否设置登录连接超时，并自动退出；2、测试:验证鉴别失败处理措施（如模拟失败登录，观察设备的动作等），限制非 法登录次数（如模拟非法登录，观察网络设备的动作等），对设备的管理员 登录地址进行限制（如使用任意地址登录，观察设备的动作等）等功能是 否有效；验证其网络登录连接

14、超自动退出的设置是否有效（如长时间连接 无任何操作，观察观察网络设备的动作等）；3、产品举例:天融信防火墙用户登录超时设置：路径：系统管配置理二维护=系统配置系扬停教1开放服督|时间nbiiiA证3肝注珊1篇用工具基本居牲设名布 i Top4CDS即皿超时时间:Q口。龄口表示永不13时】fiiafiiHiM何:亳级建性 m nr最夫并发骨理裁：S* 不大刑4个同一用官最大芥辰宫理数：5* 不大于个同一用户最大置景地专ID* 不大于WM0个最大登录失袖况数：$二! *【不大于1 口校备注检查是否做配置的定期备份号要求内检查是否对防火墙的配置定期做备份容加固方法督促管理员定期对防火墙做配置备份加固

15、方法督促管理员定期对防火墙做配置备份1访谈方式：和管理员了解防火墙配置的备份情况2验证：在网管服务器上，查看防火墙配置文件夹，确认是否定期做配置备份。3加固：第一步：天融信防火墙配置导出位置截图：路径：系统管理=维护配宣姓护I色降和恢垣1升绑I垣启I健成记挈既笑出厂恢建配墨| 恢M是栖出厂配宜G匚总：诙金出厂西EE后.原和己置持全部击失，诘醐1导由岁前配置11检测方：Ht最改宣地莲法励入百己置：I- 上传 上住配贸:匚| 上但|下截S日斐：眦址厂 JR薛厂 时向厂I- E同机!IJ6嘲I- MPft&l- f st铲配管替巍:.| gBE. | 音繇 |HS3TfiS； 国亍配置|保存配置|吴

16、型| 文二|后用咨若汨七| 空右谋吞|第二步：网管机上建立防火墙配置文件备份文件夹检查双防火墙冗余情况下，主备切换情况编号要求内 容检查双防火墙冗余情况下，主备切换情况加固方 法如该功能未达到要求，需厂商人员检查、加固检测方 法1访谈方式咨询管理员近期是否有过设备切换现象，切换是否成功等2现场验证拔掉主墙线缆后，备墙可以实现正常切换，网络快速切换，应用正常。3加固措施第一步：如该功能未达到，检查防火墙双机热备配置是否正确、监控状态是否正常第二步：如果配置有误，需要尽快协商厂商人员解决天融信防火墙该功能截图：路径：高可用性二双机热备当前状奏械态:没有启酒启用 | 停止| 启用 | 停止| 应用地

17、备粗添加Vrii 忧先缀 抢占状态度量值 援口 修改 册除2254enable BOTRUH 0ethJO百防止信息在网络传输过程中被窃听要求内容当对网络设备进行远程管理时，采取必要措施防止鉴别信息在网络传输过 程中被窃听。可采用S、SSH等安全远程管理手段。要求内容加 固方 通过s和ssh登陆管理设备。法1现场验证:能够通过s和ssh登陆管理设备，判定结果为符合；通过 和telnet登陆管理设备，判定结果为不符合。2加固措施：按照下述截图位置，只开放S,SSH登陆方式，去除其他登陆方式。天融信防火墙该功能截图：EC检测方用尸名:superman*检测方用尸名:superman*中相未永检查如

18、下的SSH方式及S权限配置:路径：系统管理二配置二开放服务左iffi分散 I并W昼务 I时间 |证 |1富用H曰监校阳矣.启动胃止SSHJIB.r .归 2 停止TEL2TET躲苗：启母停止HTTPfiBl-.圮;初信止NTPiefr 后2 停止并敏（窘服务名称控制区地控制地趾修改朋隰piigvthD曰lSie sita=wt hOany*1_3.1up dat. awrw a _ t hQIZ) iip i*w * _ t hO囹圜】宵:KFw LiO：ua*3 slvpn9Tm _ e 1110nx臼国3 slrpniniErarc -r -要求内容查看日志服务器是否正常接收日志，并且日志

19、必须保存6个月加固方 法1现场检查：登陆至天融信集中控制中心或第三方日志服务软件，查看是否正常接收日 志，且是否有近6个月内的日志；确认服务器的存储空间是否足够4.3.3,防火墙设备的审计记录编号要求内能够查看设备的登录审计记录容加固方 法查看设备的登录审计记录。查看设备的相关登录审计记录，包含登录成功、登录失败、接口的up记录 等。天融信该功能截图：路径：日志与报警二日志查看日志豆诣i刷SfiE志【箔空日志魄1箜我日朗，时间类型检测方2D08-D7-18/LB：H:226配置E理i d= Lae SM-TdjiEtjOS 此即二副st5= 192. EE. 83 221J tsuited r

20、eeorder-cTLEig nsg=Hnillrf敬1 吨 Im ceunC r法配理苔理id= tos. f=TapEecGS nEer=Eupernn trc=192. L68.63. 20 flEoli.-tl rc ar d-tr c an.i g nsg nuLl1Dp-lug count* r洞&-W-擀/由加S白配置Ma dr tP% fv-T糜胜齐阳邳伯的=1*“ LB我日3 汹vrf resullO reoriie!r=e&j,kfL itEgFullop-syiitffik Ygbvii 如8id= f=Iqp5；cCSsr=l.a etas r4E.nlrtc-Mdtr

21、ci-nfig： rTiErulLP尸迁NSP vtril 931 12O-D7-19/L0：U-22G歪藐匡竹ifw-TpscGS w刊MFKippman st=1*92.S3 ZJC典3血产犯止niffs Eaeetii*5-咋皿 t三口防火墙施工方案编制依据：建筑装修内部设计防火规范（GB5022295）所采用的施工方法：1、放线将柱与柱中间放线，沿续到梁和地面。2、按放线将方钢支架，连接到柱、梁、地面上，用膨胀螺栓焊接固定。方钢支 架焊制前应先将方钢防锈处理，用台钻将安装膨胀螺栓处打16MM孔，打孔部位尽 量靠近角铁肢背一侧以利于受力，两孔距离不小于600MM.焊接采用E43013。2 电焊条&方钢按举架6米按2米平分安装横向方钢。（方钢与方钢相连接处焊接）。3、在梁与地面之间，用轻钢龙骨按竖向间距400mm连接。安装沿顶、地龙骨时 一般用射钉或金属膨胀螺栓固定，间距不大于600MM.与竖向龙骨采用抽芯铆钉固 定。4、安装管线与设