安全设备-防火墙
控制点
3.
安全审计
安全审计是指对等级保护对象中与安全活动相关的信息进行识别、记录、存储和分析的整个过程。安全审计功能可以确保用户对其行为负责,证实安全政策得以实施,并可以作为调查工具使用。通过检查审计记录结果,可以判断等级保护对象中进行了哪些与安全相关的活动及哪个用户要对这些活动负责。另外,安全审计可以协助安全管理员及时发现网络系统中的入侵行为及潜在的系统漏洞及隐患。安全审计主要关注是否对重要事件进行了审计、审计的内容、审计记录的保护及审计进程保护。
a)
安全要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
要求解读:为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录,需要启用系统日志功能。系统日志中的每条信息都被分配了一个严重级别,并伴随一些指示性问题或事件的描述信息。
防火墙的系统日志信息通常被输出至各种管理端口(例如控制台端口)、内部缓存或者日志服务器。在默认情况下,控制台端口的日志功能处于启用状态。
检查方法
以天融信防火墙为例,在登录界面输入防火墙管理员的用户名/密码后,点击“登录”按钮,进入管理界面。然后在左侧导航栏中选择日志与报警>>日志设置,如下图所示:
在界面右侧将显示“日志设置”页面,用于设置服务器地址、端口、日志级别和日志类型等。例如,如果希望记录0-3级的阻断策略日志,则将日志级别设置为“3”,同时勾选“阻断策略”复选框,如下图所示。
期望结果
防火墙设置了正确的服务器地址、服务器端口、日志级别和日志类型等。
b)
安全要求:审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
要求解读:防火墙的日志审计内容应包括日期和时间、用户、事件类型、事件是否成功等信息。
检查方法
以天融信防火墙为例,在登录界面输入防火墙管理员的用户名和密码,单击“登录”按钮,进入管理界面。然后在左侧导航栏中选择“日志与报警”下的“日志设置”选项,查看日志服务器地址,如下图所示:
登录日志服务器,并选择“管理策略”下的“日志收集源”选项,进入日志源配置界面,查看所有日志收集源。核查日志源列表中是否包含该防火墙的IP地址。选择“功能”下的“日志查询”选项,选择“审计域”标签页。根据IP地址选择防火墙。对该防火墙的日志进行核查。确认是否包括日期和时间、用户、事件类型、事件是否成功等信息。
期望结果
审计记录包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
c)
安全要求:应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
要求解读:审计记录能够帮助管理人员及时发现系统运行问题和网络攻击行为,因此,需要对审计记录实施技术和管理上的保护,防止未授权修改、删除和破坏。
检查方法
以天融信防火墙为例,在登录界面输入防火墙管理员的用户名和密码,单击“登录”按钮,进入管理界面。在左侧导航栏中选择“日志与报警”下的“日志设置”选项,查看日志服务器地址,如下图所示。
登录日志服务器,并选择“管理策略”下的“日志收集源”选项,进入日志源配置界面,查看所有日志收集源。核查日志源列表中是否包含该防火墙的IP地址。收集的日志数据会保存在日志系统的数据库中。通过对该数据库进行备份操作,可以实现对防火墙数据的备份和保护。
选择“管理策略”下的“任务调度策略”选项,然后在界面左侧的“本地配置”中单击“任务调度策略”选项,核查是否存在类型为“备份数据库任务”的计划任务。定时执行数据库备份任务,可以达到备份防火墙日志信息的目的。
期望结果
防火墙的日志信息被定期转发至日志服务器。在日志服务器上可以查看半年前的审计记录。
d)
安全要求:应对审计进程进行保护,防止未经授权的中断。
要求解读:保护审计进程,确保当安全事件发生时能够及时记录事件的详细信息。
检查方法
通过非审计员账户中断审计进程,以验证审计进程是否受到了保护(应为无法中断审计进程)。
期望结果
非审计员账户不能中断审计进程。