标准名称 - CSEE



ICS 35.240.50

L 80

|      |

CSEE

中国电机工程学会标准

T/CSEE XXXX—YYYY

|      |

电力企业防火墙安全配置技术规范

Technical specification for firewall security configuration in electric power enterprise

点击此处添加与国际标准一致性程度的标识

| |

|      |

XXXX - XX - XX发布

XXXX - XX - XX实施

中国电机工程学会   发布

目  次

前言 III

1 范围 4

2 规范性引用文件 4

3 术语和定义 4

4 符号、代号和缩略语 5

5 防火墙选型与部署基本要求 5

5.1 防火墙选型 5

5.2 防火墙部署 5

6 访问控制规则配置要求 5

6.1 包过滤规则配置 6

6.2 应用层协议控制规则配置 6

6.3 访问控制规则管理要求 6

7 安全防护策略配置要求 7

7.1 IP/MAC绑定策略配置 7

7.2 攻击防范策略配置 7

7.3 恶意代码防范策略配置 7

7.4 网络地址转换策略配置 7

7.5 协同联动策略配置 8

7.6 负载均衡策略配置 8

7.7 日志记录与告警策略配置 8

7.8 其它安全防护策略配置 8

8 安全管理功能配置要求 8

8.1 身份鉴别功能配置 8

8.2 访问控制功能配置 9

8.3 安全审计功能配置 9

8.4 其它安全管理功能配置 9

附录A (资料性附录) 防火墙部署与策略配置方法 10

附录B (资料性附录) 高风险网络端口 14

编制说明 20

前  言

本标准按照《中国电机工程学会标准管理办法》的规定要求,依据GB/T 1.1—2009 《标准化工作导则》的规则起草。

本标准以电力企业防火墙为研究对象,重点考虑了防火墙安全配置要求。

本标准制定的主要技术内容为:

• 规定了适用范围(见1);

• 提出了规范性引用文件(见2);

• 明确了本标准适用的术语和定义(见3.1~3.5);

• 规范了本标准涉及的缩略语(见4);

• 明确了防火墙选型与部署的基本要求(见5);

• 规定了电力企业防火墙访问控制规则配置基本要求(见6.1~6.3);

• 规定了电力企业防火墙安全防护策略配置基本要求(见7.1~7.11);

• 规定了电力企业防火墙安全管理功能配置基本要求(见8.1~8.4);

• 明确了防火墙部署与策略配置方法(见A.1~A.4);

• 明确了防火墙策略配置过程中的高风险网络端口(见B)。

请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。

本标准由中国电机工程学会提出。

本标准由中国电机工程学会电力信息化专业委员会归口和解释。

本标准起草单位:中国电力科学研究院有限公司、国家电网公司信息通信分公司、国网甘肃省电力公司、国网湖北省电力公司、国网浙江省电力公司、国家电网公司华北分部、北京神州绿盟信息安全科技股份有限公司。

本标准主要起草人:XXX、XXX、XXX。

本标准为首次发布。

本标准在执行过程中形成的意见或建议反馈至中国电机工程学会标准执行办公室。

电力企业防火墙安全配置技术规范

范围

本标准规定了电力企业防火墙的选型与部署、访问控制规则、安全防护策略、安全管理功能配置等基本技术要求。

本标准适用于电力企业防火墙的安全配置管理工作。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 20281—2015 信息安全技术 防火墙技术要求和测试评价方法

GB/T 25069 信息安全技术 术语

术语和定义

GB/T 25069、GB/T 20281—2015界定的以及下列术语和定义适用于本部分。

1.

防火墙 firewall

部署于不同安全域之间,具备网络层访问控制及过滤功能,并具备应用层协议分析、控制及内容检测等功能,能够适用于IPv4、IPv6等不同的网络环境的安全网关产品。

[GB/T 20281—2015,定义3.1]

2.

安全域 security domain

由防火墙隔离出来的由一组具有相同安全保障需求并相互信任的系统组成并共享安全保障策略的逻辑区域。

3.

访问控制规则 access control rule

在防火墙中配置的用于在不同安全域之间实现访问控制与过滤等功能的规则。

4.

安全防护策略 security protect policy

用于防范对防火墙及其所保护资产的网络攻击、恶意代码传播等攻击行为的防火墙配置。

5.

安全管理功能 security management function

为保证防火墙配置与运维安全而提供的功能。

符号、代号和缩略语

下列符号、代号和缩略语适用于本文件。

ARP:地址解析协议(Address Resolution Protocol)

FTP:文件传输协议(File Transfer Protocol)

HTTP:超文本传输协议(Hypertext Transfer Protocol)

ICMP:网间控制报文协议(Internet Control Messages Protocol)

IDS:入侵检测系统(Intrusion Detection System)

IPS:入侵防御系统(Intrusion Prevention System)

IP:网际协议 (Internet Protocol)

IPv6:网际协议版本6(Internet Protocol Version 6)

MAC:介质访问控制层(Media Access Control)

NAT:网络地址转换(Network Address Translation)

POP3:邮局协议版本3(Post Office Protocol version 3)

SFTP:安全文件传输协议(Secure File Transfer Protocol)

SMTP:简单邮件传输协议(Simple Mail Transfer Protocol)

SNMP:简单网络管理协议(Simple Network Management Protocol)

SSH:安全外壳协议(Secure Shell)

TCP:传输控制协议(Transport Control Protocol)

UDP:用户数据报协议(User Datagram Protocol)

URL:统一资源定位器(Uniform Resource Locator)

USB:通用串行总线(Universal Serial Bus)

VLAN:虚拟局域网(Virtual Local Area Network)

VPN:虚拟专用网(Virtual Private Network)

防火墙选型与部署基本要求

1. 防火墙选型

应根据受防火墙保护的信息系统安全等级选择满足安全防护需求的防火墙设备。防火墙分级可参考GB/T 20281—2015。当防火墙防护范围内包含安全保护等级为三级及以上信息系统时,应选择满足GB/T 20281—2015中“增强级”要求的防火墙设备,其他情况应至少选择满足GB/T 20281—2015中“基本级”要求的防火墙设备。

2. 防火墙部署

防火墙的目的是在不同安全域之间建立安全控制点,根据预先定义的访问控制规则和安全防护策略,解析和过滤经过防火墙的数据流,实现向被保护的安全域提供访问可控的服务请求。附录A给出了防火墙的典型部署结构及其访问控制规则、安全防护策略、安全管理功能的配置方法。

访问控制规则配置要求

1. 包过滤规则配置

包过滤规则配置应满足以下要求:

a. 应符合最小安全原则,包括:

1) 最后一条规则应配置为“拒绝所有访问”,即规则的源地址、目标地址、源端口、目的端口均配置为“ANY”,过滤操作配置为“拒绝”;

2) 不宜开放已证实存在安全隐患的高风险端口(参见附录B),当因业务应用需要必须开放相关端口时,应将源地址和目标地址限定为所必需的最小地址范围;

3) 为临时性访问配置的规则应设置有效期,保证访问结束后策略失效或删除;

4) 应阻断含有回环地址的流量。

b. 应符合业务可用原则,包括:

1) 应根据业务应用需求配置访问控制规则;

2) 应采取分组、合并等办法减少规则数量,以确保防火墙性能。

c. 对过滤操作配置为“丢弃”或“拒绝”的规则,应启用日志记录和告警功能,记录触发该规则的网络访问行为,并在必要时向管理员告警。

2. 应用层协议控制规则配置

应用层协议控制规则配置应满足以下要求:

a) 应根据业务应用需要开放所需要的应用协议;

b) 应严格限制开放高风险的应用协议(如FTP、Telnet、Rlogin等),因业务应用需要必须开放相关协议时,应严格限制源和目标地址,在防火墙支持时采取限制访问时间、IP/MAC地址绑定等措施,或采用安全增强协议(如SFTP、SSH等)。

c) 在互联网边界、第三方接入边界部署的防火墙上应根据业务需求开放应用服务,配置应用层访问控制规则,实现对HTTP、SMTP、POP3等协议的内容过滤,包括:

1) 对HTTP、SMTP和POP3等应用的文件类型及其上传、下载等操作访问控制;

2) 对即时聊天、P2P、流媒体、网络游戏、股票软件等应用进行识别与控制;

3) 其他类型的应用内容。

d) 对过滤操作配置为“丢弃”或“拒绝”的规则,应启用日志记录和告警功能,记录触发该规则的网络访问行为,并在必要时向管理员告警。

3. 访问控制规则管理要求

访问控制规则应按以下要求管理:

a) 分组管理:

1) 应对访问控制规则进行分组管理,宜按照保护对象或服务类型将访问控制规则分组并配置在一起,以增强访问控制规则的可读性和可维护性;

2) 应对组成访问控制规则的源/目标地址、端口、应用服务、用户等进行分组管理,根据访问控制规则对IP地址/段、端口、服务类型、用户等进行分组,按照分组配置访问控制规则,以尽可能减少规则数量。

b) 优先级管理:

1) 访问控制规则应遵从优先级由高到低的顺序排列。宜将防范已知恶意攻击行为的规则(过滤操作通常设为“丢弃”)放在规则库的最前端,之后配置明确拒绝的规则(过滤操作设为“拒绝”),再配置明确允许访问的规则(过滤操作设为“接受”),最后配置“默认拒绝”规则;

2) 对放行的网络访问,可根据用户/用户组、IP地址、应用类型划分带宽优先级,配置最大带宽、保障带宽等参数,并保证重要连接和数据吞吐量大的连接对应的规则优先得到匹配。

c) 应定期对访问控制规则进行梳理,通过技术手段检测冗余、冲突、无效的访问控制规则,及时调整冗余、冲突规则,调整规则优先级及其排序,清理或转移无效、失效规则。

d) 应及时导出防火墙访问控制规则并备份:

1) 在每次定期梳理访问控制规则前后应执行备份操作;

2) 应将备份文件保存在防火墙设备及其管理控制台之外的其它主机和存储介质上。

安全防护策略配置要求

1. IP/MAC绑定策略配置

以下情况可启用IP/MAC绑定功能,并配置需要绑定的IP/MAC地址对:

a. 当防火墙用于保护某些重要业务应用系统,防止服务器IP地址被篡改时,可将服务器IP地址与MAC地址绑定。

b. 当在一个局域网内限定某些特定终端访问重要业务应用系统或主机时,可在终端与业务应用系统之间的边界防火墙上启用IP/MAC地址绑定功能,绑定终端的IP和MAC地址。

2. 攻击防范策略配置

当网络边界没有部署专用网络入侵检测/防御设备(如IDS/IPS、抗DDOS攻击网关等)时,可根据需要启用防火墙攻击防范功能,包括:

a) 在互联网边界部署的防火墙宜启用防范拒绝服务攻击功能,包括ICMP洪水攻击、UDP洪水攻击、SYN洪水攻击、超大ICMP数据包攻击、TearDrop攻击、LAND攻击、WinNuke攻击、Smurf攻击等;

b) 在互联网边界、信息内网第三方边界、信息内网纵向边界部署的防火墙宜启用防范网络欺骗或虚假地址攻击功能;

c) 在互联网边界、信息内网第三方边界、信息内网纵向边界部署的防火墙宜启用防范恶意软件(如冰河、僵尸网络等)攻击的策略;

d) 在互联网边界、信息内网第三方边界、信息内网纵向边界部署的防火墙宜启用防范通用服务的口令暴力破解策略,如FTP、Telnet、数据库等口令破解;

e) 在信息内网横向域间边界、信息外网横向域间边界部署的防火墙不宜启用攻击防范功能。

3. 恶意代码防范策略配置

当网络边界没有部署专用恶意代码防范设备(如防病毒网关、IPS)时,可根据需要启用防火墙恶意代码防范功能,包括:

a) 在互联网边界、信息内网第三方边界、信息内网纵向边界部署的防火墙宜启用防范恶意代码检测和阻断功能;

b) 在信息内、外网横向域间边界部署的防火墙不宜启用恶意代码检测和阻断功能。

4. 网络地址转换策略配置

以下情况可启用网络地址转换功能,并配置转换规则:

a) 部署在互联网边界用于保护对外服务业务系统的防火墙设备,当公网IP地址不能满足应用需求时,可启用网络地址转换功能,将对外服务业务系统所使用的私有地址转换为公网IP地址。

b) 部署在信息内网第三方边界用于与政府、金融等系统互联的防火墙设备,为保护内网IP地址和网络拓扑,可启用网络地址转换功能,将与第三方互联的内网主机IP地址转换为其它网段地址。

c) 其它防火墙设备均应关闭网络地址转换功能,除非有特殊需要。

5. 协同联动策略配置

应谨慎启用防火墙与其它网络边界安全防护设备(如网络入侵检测/防御、抗拒绝服务攻击网关等)的协同联动功能,尤其需关闭自动联动功能。

6. 负载均衡策略配置

互联网边界未部署负载均衡设备时,可启用防火墙的负载均衡功能。其它边界部署的防火墙应关闭负载均衡功能。

7. 日志记录与告警策略配置

应启用防火墙的日志记录与告警功能,并配置以下策略:

a) 应启用非授权访问日志记录与告警功能,对被拒绝的网络访问行为进行记录与告警。

b) 当防火墙启用了攻击防范策略时,应同时启用网络攻击报警功能,并记录相关网络攻击访问行为数据,包括攻击日期、时间、源地址、目标地址、对应的应用类型、事件描述等。

8. 其它安全防护策略配置

其它安全防护策略应按以下要求配置:

a) 应及时升级防火墙软件,安装防火墙补丁。

b) 应关闭防火墙设备的非必需网络服务(如FTP、TELNET、HTTP等)。

c) 应关闭防火墙的代理ARP功能。

d) 应根据访问控制规则配置需求,配置用户鉴别方式和功能。

e) 应启用异常处理功能,在防火墙非正常关机(比如掉电、强行关机)重启后,实现安全策略恢复到关机前所保存的状态、日志信息不会丢失、管理员重新认证。

f) 应定期对防火墙安全防护策略配置进行备份。

g) 如需启用防火墙的SNMP服务,应采用安全性增强版本,设定复杂的Community控制字段,不使用“Public”、“Private”等默认字段。

安全管理功能配置要求

1. 身份鉴别功能配置

应对登录防火墙的防火墙管理员进行身份鉴别,并满足以下要求:

a) 应保证防火墙管理员账号的唯一性和独立性,确保帐号与实际使用人一一对应,不应允许多个管理员共用一个账号。

b) 应保证防火墙管理账号的口令符合以下安全要求:

1) 口令长度应至少8位字符;

2) 口令应至少包含大写字母、小写字母、数字、特殊字符中的三类字符;

3) 不同管理员账号不应使用相同的口令;

4) 同一用户在不同防火墙设备上的账号不应使用相同的口令等。

c) 宜采用两种或两种以上组合鉴别方式对管理员身份进行鉴别。

d) 应保证防火墙采用不可逆算法对管理员账号口令进行加密存储。

e) 应启用登录超时处理功能,在用户登录后超过设定时间没有进行任何操作自动锁定控制台,需重新登录方可继续操作。超时时间不应超过20分钟。

f) 应删除或禁用与防火墙配置、维护无关的账号。

2. 访问控制功能配置

应对登录防火墙的管理员进行访问控制,并满足以下要求:

a) 应限制登录防火墙的管理终端IP地址。

b) 应配置基于用户/用户组的用户访问控制规则。

c) 应实现防火墙管理账号和权限分离,至少设置安全管理、系统管理和审计管理三类账号,其中审计管理账号负责防火墙日志审计管理,安全管理账号负责除防火墙日志审计之外的其它安全管理功能配置,系统管理账号负责访问控制规则和安全防护策略的配置。

3. 安全审计功能配置

应启用防火墙的日志记录与审计功能,并满足以下要求:

a) 应记录防火墙管理员的配置操作,包括:

1) 防火墙管理员登录、退出等操作;

2) 防火墙管理员执行的访问控制规则与安全防护策略配置、变更等操作;

3) 防火墙管理员执行的其它重要安全参数配置等操作;

4) 对防火墙的失败登录请求。

b) 应记录防火墙的运行状态,包括:

1) 防火墙启动、关闭等情况;

2) 防火墙运行状态异常情况,如CPU、内存、带宽等超过设定阈值。

c) 应记录防火墙对访问控制规则与安全防护策略的过滤与处理情况,包括:

1) 被防火墙访问控制规则拒绝、丢弃的访问请求;

2) 其它在访问控制规则中被放行但是设置为需要记录的网络访问。

d) 防火墙日志记录应包括网络访问行为的具体情况,包括访问日期和时间、源地址、目标地址、用户、服务类型、访问结果等。

e) 应保证只有授权的审计管理账号能够访问防火墙日志记录和审计数据。

f) 宜采用独立的专用日志服务器和日志系统,将审计记录发送至日志服务器进行集中管理,避免其受到未预期的删除、修改或覆盖。应保证能够保存至少6个月以上的审计记录。

4. 其它安全管理功能配置

应满足以下要求:

a) 宜采用独立的运维堡垒机对防火墙进行配置管理。

b) 不应开放通过互联网对防火墙进行远程管理的功能。其它情况下对防火墙设备进行远程管理时,应采用安全的非明文的远程管理方式(如SSH等),并限定可进行远程管理的网络接口。

A.

A.

B.

(资料性附录)

防火墙部署与策略配置方法

防火墙典型部署结构

防火墙通常以路由模式或透明模式运行,通过物理网络接口将网络划分为若干安全域,通过访问控制策略实现对不同安全域间服务和访问的审计和控制。

图A.1是防火墙在数据中心的典型部署结构示意图。防火墙主要用于保护数据中心的应用与数据,确保来自外部网络的用户只能访问数据中心指定的应用与服务,同时防止来自外部网络的攻击。

[pic]

1. 数据中心防火墙典型部署示意图

图A.2是防火墙在办公网络边界的典型部署结构示意图。防火墙主要用于控制内部办公终端对外部网络和服务的控制,同时可以防止来自外部网络的攻击。

[pic]

2. 办公网络边界防火墙典型部署示意图

访问控制规则及其配置方法

访问控制规则用于在防火墙隔离的不同安全域之间实现访问控制与过滤等功能,应根据网络访问控制需求,由防火墙管理员执行配置操作而产生。

根据防火墙的软件设计,没有配置任何访问控制规则的防火墙设备可能采取两种截然不同的策略:

a) 默认允许策略:即所有网络访问都被放行;

b) 默认拒绝策略:即所有网络访问都被拒绝通过。

访问控制规则分为网络层包过滤规则和应用层协议控制规则:

a) 网络层包过滤规则一般由源地址、目标地址、源端口、目的端口、过滤操作组成。其中源/目标地址应配置为IP地址/段;源/目的端口应配置为TCP、UDP、ICMP等协议及其端口。

b) 应用层协议控制规则一般由源地址、目标地址、应用服务类型、过滤操作组成。其中源地址可配置为IP地址/段,也可配置为由防火墙或第三方鉴别系统提供鉴别的用户账号;目标地址可配置为IP地址/段、应用服务器域名或URL;应用服务类型可配置为HTTP、FTP、SMTP、POP3等应用协议。

安全防护策略及其配置方法

安全防护策略是防火墙上用于防范对防火墙及其所保护资产的网络攻击、恶意代码传播等攻击行为的配置,包括IP/MAC地址绑定、攻击防范、恶意代码防范、网络地址转换、流量统计、时间同步等典型策略。

安全防护策略通常由防火墙控制台提供图形管理界面进行配置,防火墙管理员只需要决定是否启用或关闭相关选项。启用防火墙安全防护策略应综合考虑安全防护策略是否可实施及其对网络性能是否会造成不利影响,如有影响应考虑采用专用安全防护设备(如网络入侵检测/防御、防病毒网关、流量清洗、WEB应用防火墙等设备)来实现。

安全管理功能及其配置方法

安全管理功能是在防火墙中为保证防火墙配置与运维安全而提供的功能,主要包括防火墙管理员的身份鉴别、访问控制、安全审计等。

防火墙通常提供专用管理界面实现管理功能配置。

B.

C.

(资料性附录)

高风险网络端口

表B.1给出了已证实存在安全隐患的高风险网络端口。表中“开放建议”列中,设为“关闭”的端口属于存在高风险、关闭后不影响正常业务应用与网络访问的端口(通常为固定服务端口);设为“受控开放”的端口属于在特定情况下(如感染特定病毒、木马后)存在高风险,但是关闭后可能会影响正常业务应用与网络访问的端口(例如端口110关闭后将影响正常邮件服务),需根据业务应用需求严格限制开放。

1. 高风险网络端口列表

|序号 |端口号 |对应服务 |风险描述 |开放建议 |

|1 |0 |保留端口 |“0”是无效端口,常被用于分析操作系统类型。 |关闭 |

|2 |1 |tcpmux |该服务通常存在于特定主机(SGI Irix),这些主机通常存在默认无密码帐号,攻击 |关闭 |

| | | |者通过搜索该服务可以识别特定操作系统并利用其存在的无密码帐号。 | |

|3 |7 |Echo |通过发送echo包获取到达某个节点的路径,并通过往返时间获取路径长度。 |关闭 |

|4 |19 |Character Generator |存在拒绝服务攻击风险 |关闭 |

|5 |21 |FTP |存在高安全风险,包括传输不加密、允许匿名登录、允许使用弱口令或默认口令,存 |受控开放 |

| | | |在远程代码执行漏洞,未做登录次数限制等。 | |

|6 |22 |SSH |存在暴力破解风险,存在心脏滴血漏洞。 |受控开放 |

|7 |23 |TELNET |存在高安全风木马险,包括传输通道不加密、口令被暴力破解、权限未分级等,被攻 |受控开放 |

| | | |击后服务器可被直接控制。 | |

|8 |31 |MSG Authentication |木马Master Paradise、Hackers Paradise使用的通信端口。 |关闭 |

|9 |67 |Bootp |67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端) |关闭 |

| | | |和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。Bootp服务可以为 | |

| | | |局域网中的计算机动态分配IP地址。黑客可利用该服务分配的IP地址进行“中间人攻击| |

| | | |”。 | |

|10 |68 | | |关闭 |

|11 |69 |TFTP |TFTP是Cisco公司开发的一个简单文件传输协议,不具有复杂的交互存取接口和认证控|受控开放 |

| | | |制。攻击者可以利用TFTP的错误配置从系统获取任何文件。 | |

|12 |70 |gopher |可以模拟任何服务访问方式,容易造成SSRF攻击。 |关闭 |

|13 |79 |Finger Server |可被用于网络扫描以获取用户信息,查询操作系统,探测已知的缓冲区溢出错误等。 |关闭 |

| | | |此外,79端口还被Firehotcker木马作为默认的端口。 | |

表B.1 (续)

|序号 |端口号 |对应服务 |风险描述 |开放建议 |

|14 |99 |Metagram Relay |该服务比较少见,不常用。该端口常被Hidden Port、NCx99等木马程序利用。 |关闭 |

|15 |109 |POP2 |POP2、POP3存在大量安全漏洞。另外,110端口也被ProMail |关闭 |

| | | |trojan等木马程序所利用,通过110端口可以窃取POP账号用户名和密码。 | |

|16 |110 |POP3 | |受控开放 |

|17 |111 |RPC |RPC服务存在安全漏洞。 |受控开放 |

|18 |113 |Authentication Service |113端口常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器,会被相应的木 |受控开放 |

| | | |马程序所利用,比如基于IRC聊天室控制的木马。 | |

|19 |115 |SFTP |存在弱密码和暴力破解风险,易造成敏感信息泄露。 |受控开放 |

|20 |119 |NNTP |Happy99蠕虫病毒会使用119端口,如果中了该病毒会不断发送电子邮件进行传播,并 |受控开放 |

| | | |造成网络的堵塞。 | |

|21 |135 |RPC |存在较多安全漏洞并被病毒利用,如“冲击波”病毒。 |受控开放 |

|22 |137 |NetBIOS Session Service |主要用于提供Windows文件和打印机共享以及Unix中的Samba服务,常被攻击者利用进 |受控开放 |

| | | |行攻击。攻击者通过发送请求可以获取目标主机相关信息,通过捕获正在利用137、13| |

| | | |8端口进行通信的信息包,还能得到目标主机的启动和关闭时间,并进一步利用专门工| |

| | | |具进行攻击。 | |

|23 |138 | | |受控开放 |

|24 |139 | | |受控开放 |

|25 |143 |IMAP |存在缓冲区溢出漏洞,可以获取用户名和密码。另外,一种名为“admv0rm”的Linux蠕 |受控开放 |

| | | |虫病毒会利用该端口进行繁殖。 | |

|26 |161 |SNMP |通过SNMP可以获得网络中各种设备的状态信息,还能用于对网络设备进行控制。 |受控开放 |

|27 |177 |X Display Manager Control |许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 |受控开放 |

| | |Protocol | | |

|28 |389 |LDAP、ILS |存在弱口令、允许匿名登录造成的未授权访问、SQL注入等漏洞。 |受控开放 |

|29 |445 |CIFS |攻击者可以利用该端口漏洞访问默认共享文件,甚至格式化硬盘。 |受控开放 |

|30 |456 |无固定服务 |木马HACKERS PARADISE使用该端口。 |关闭 |

|31 |513 |Rlogin |远程登录服务,存在较高安全风险。 |关闭 |

|32 |514 |Rshell、RCP |远程shell和远程复制为攻击者进入系统提供了信息。 |关闭 |

|33 |548 |Macintosh、File |Macintosh通信端口。 |关闭 |

| | |Services(AFP/IP) | | |

|34 |553 |CORBA IIOP |存在被攻击者利用的广播信息。 |关闭 |

|35 |554 |RTSP |流媒体传输协议,存在缓冲区溢出漏洞。 |受控开放 |

|36 |555 |DSF |木马PhAse1.0、Stealth Spy、IniKiller使用的通信端口。 |关闭 |

|37 |568 |Membership DPA |Membership DPA通信端口。 |关闭 |

|38 |569 |Membership MSN | |关闭 |

表B.1 (续)

|序号 |端口号 |对应服务 |风险描述 |开放建议 |

|39 |593 |无固定服务 |RPC缓冲区溢出漏洞MS03-026,可以通过端口135,139,445,593(或任何其他特殊配|关闭 |

| | | |置的RPC端口)被利用。 | |

|40 |635 |mountd |存在扫描漏洞。 |关闭 |

|41 |636 |LDAP |存在SSL漏洞。 |受控开放 |

|42 |666 |Doom Id Software |木马Attack FTP、Satanz Backdoor使用的通信端口。 |关闭 |

|43 |777 |multiling-http |木马AimSpy、a.k.a. Backdoor.TDS、4Fuk、Trojan.Win32.TrojanRunner.Levil使用 |关闭 |

| | | |的通信端口。 | |

|44 |873 |rsync |可以往服务器上同步上传下载文件。 |受控开放 |

|45 |993 |IMAP |存在SSL漏洞。 |受控开放 |

|46 |1001 |无固定服务 |木马Silencer、WebEx使用的通信端口。 |关闭 |

|47 |1011 |无固定服务 |木马Doly Trojan使用的通信端口。 |关闭 |

|48 |1024 |保留 |存在被监听攻击的风险。 |关闭 |

|49 |1025 |无固定服务 |木马Fraggle Rock、md5 Backdoor、NetSpy、Remote Storm默认使用的通信端口。 |受控开放 |

|50 |1029 |无固定服务 |木马Clandestine、KWM、Litmus、SubSARI默认使用的通信端口。 |受控开放 |

|51 |1033 |无固定服务 |木马netspy使用的通信端口。 |受控开放 |

|52 |1080 |SOCKS |存在穿透防火墙的风险。 |受控开放 |

|53 |1170 |无固定服务 |木马Streaming Audio Trojan、Psyber Stream Server、Voice使用的通信端口。 |受控开放 |

|54 |1234 |无固定服务 |木马SubSeven2.0、Ultors Trojan使用的通信端口。 |受控开放 |

|55 |1243 |无固定服务 |木马SubSeven1.0/1.9使用的通信端口。 |受控开放 |

|56 |1245 |无固定服务 |木马Vodoo使用的通信端口。 |受控开放 |

|57 |1352 |Lotus |存在控制台弱口令、信息泄露、XSS攻击等漏洞。 |受控开放 |

|58 |1433 |MS SQL Server |黑客通过该端口对SQL server帐号进行暴力破解,达到控制服务器的目的。存在本地 |受控开放 |

| | | |提权漏洞,可用于权限提升。 | |

|59 |1434 | | |受控开放 |

|60 |1492 |stone-design-1 |木马FTP99CMP使用的通信端口。 |受控开放 |

|61 |1500 |RPC |RPC客户会话查询固定端口。 |受控开放 |

|62 |1503 |NetMeeting T.120 |存在缓冲区溢出漏洞。 |受控开放 |

|63 |1521 |Oracle |黑客经常通过该端口对Oracle服务进行暴力破解,达到控制服务器的目的。 |受控开放 |

|64 |1524 |无固定服务 |许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC|受控开放 |

| | | |服务漏洞的脚本。 | |

|65 |1600 |issd |木马Shivka-Burka使用的通信端口。 |受控开放 |

|66 |1701 |l2tp |建立VPN服务。 |受控开放 |

|67 |1720 |NetMeeting |NetMeeting使用通信端口。 |受控开放 |

|68 |1731 | | |受控开放 |

|69 |1807 |无固定服务 |木马SpySender使用的通信端口。 |受控开放 |

|70 |1812 |radius |radius认证服务。 |受控开放 |

表B.1 (续)

|序号 |端口号 |对应服务 |风险描述 |开放建议 |

|71 |1813 |radius |radius记账服务。 |受控开放 |

|72 |1981 |无固定服务 |木马ShockRave使用的通信端口。 |受控开放 |

|73 |1999 |无固定服务 |木马BackDoor使用的通信端口。 |受控开放 |

|74 |2000 |无固定服务 |木马GirlFriend 1.3、Millenium 1.0使用的通信端口。 |受控开放 |

|75 |2001 |无固定服务 |木马Millenium 1.0、Trojan Cow使用的通信端口。 |受控开放 |

|76 |2023 |无固定服务 |木马Pass Ripper使用的通信端口。 |受控开放 |

|77 |2049 |NFS |NFS使用通信端口。 |受控开放 |

|78 |2115 |无固定服务 |木马Bugs使用的通信端口。 |受控开放 |

|79 |2140 |无固定服务 |木马Deep Throat 1.0/3.0使用的通信端口。 |受控开放 |

|80 |2375 |docker RMI端口 |docker 远程管理端口,可以控制服务器。 |受控开放 |

|81 |2425 |无固定服务 |即时聊天程序(Feiq,飞秋)使用端口,部分老版程序存在溢出漏洞,可被利用以控 |受控开放 |

| | | |制目标主机。 | |

|82 |2500 |RPC |固定端口会话复制的RPC客户端口。 |受控开放 |

|83 |2583 |无固定服务 |木马Wincrash 2.0使用的通信端口。 |受控开放 |

|84 |2638 |Sybase |攻击者可以通过该端口进行密码猜解、远程执行代码以及DDOS攻击影响业务使用。 |受控开放 |

|85 |2745 |无固定服务 |木马Beagle使用的通信端口,通过电子邮件和文件共享网络传播群发邮件蠕虫。 |受控开放 |

|86 |2801 |无固定服务 |木马Phineas Phucker使用的通信端口。 |受控开放 |

|87 |3024 |无固定服务 |木马WinCrash使用的通信端口。 |受控开放 |

|88 |3127 |无固定服务 |病毒W32/MyDoom、蠕虫A.K.A W32/Mydoom@MM利用该端口传播。 |受控开放 |

|89 |3128 |Squid |Squid HTTP代理服务器的默认端口。 |受控开放 |

|90 |3129 |无固定服务 |木马Master Paradise使用的通信端口。 |受控开放 |

|91 |3150 |无固定服务 |木马Deep Throat 1.0/3.0、The Invasor使用的通信端口。 |受控开放 |

|92 |3210 |无固定服务 |木马SchoolBus使用的通信端口。 |受控开放 |

|93 |3306 |MySQL |黑客经常通过该端口对mysql服务进行暴力破解,达到控制服务器的目的,Mysql本地 |受控开放 |

| | | |提前漏洞,可用于权限提升。 | |

|94 |3333 |dec-notes |蠕虫病毒W32.Bratle.A利用微软Windows |受控开放 |

| | | |LSASS缓冲区溢出漏洞(MS04-011)进行传播;木马Daodan、Backdoor.Slao使用的通 | |

| | | |信端口。 | |

|95 |3389 |远程桌面服务端口 |黑客经常通过暴力猜解对用户名口令进行猜解,达到控制服务器的目的。 |受控开放 |

|96 |3700 |无固定服务 |木马Portal of Doom开放此端口。 |受控开放 |

|97 |3996 |无固定服务 |木马RemoteAnything开放此端口。 |受控开放 |

|98 |4011 |PXE |服务器通过网络启动的服务,建议在单独网络使用。 |受控开放 |

|99 |4060 |无固定服务 |木马RemoteAnything开放此端口。 |受控开放 |

|100 |4092 |无固定服务 |木马WinCrash使用的通信端口。 |受控开放 |

|101 |4100 |Sybase |该端口的开放使得攻击者可以猜解密码、远程执行代码以及DDOS攻击影响业务使用。 |受控开放 |

表B.1 (续)

|序号 |端口号 |对应服务 |风险描述 |开放建议 |

|102 |4321 |无固定服务 |木马SchoolBus使用的通信端口。 |受控开放 |

|103 |4422 |无固定服务 |木马Backdoor.Acidoor使用的通信端口。 |受控开放 |

|104 |4433 |无固定服务 |木马Backdoor.Acidoor使用的通信端口。 |受控开放 |

|105 |4444 |无固定服务 |木马CrackDown、Prosiak、Swift Remote,蠕虫W32.Blaster.Worm默认使用的通信端 |受控开放 |

| | | |口。 | |

|106 |4590 |无固定服务 |木马ICQTrojan使用的通信端口。 |受控开放 |

|107 |4899 |无固定服务 |远程控制软件Radmin的默认服务端口。该端口也被经常被一些木马使用。 |受控开放 |

|108 |5000 |Sybase、DB2 |该端口的开放使得攻击者可以猜解密码、远程执行代码以及DDOS攻击影响业务使用; |受控开放 |

| | | |存在数据库弱口令、命令注入等漏洞。木马blazer5使用的通信端口。 | |

|109 |5001 |无固定服务 |木马Sockets de Troie使用的通信端口。 |受控开放 |

|110 |5002 |无固定服务 |木马Shaft、cd00r、Linux Rootkit IV使用的通信端口。 |受控开放 |

|111 |5321 |无固定服务 |木马Sockets de Troie使用的通信端口。 |受控开放 |

|112 |5400 |无固定服务 |木马Back Construction、Blade Runner、Digital Spy使用的通信端口。 |受控开放 |

|113 |5400 |无固定服务 |木马Blade Runner使用的通信端口。 |受控开放 |

|114 |5401 |无固定服务 |木马Blade Runner使用的通信端口。 |受控开放 |

|115 |5402 |无固定服务 |木马Blade Runner使用的通信端口。 |受控开放 |

|116 |5550 |无固定服务 |木马xtcp使用的通信端口。 |受控开放 |

|117 |5554 |无固定服务 |木马Sasser Worm、漏洞MS04-011、W32.Dabber使用的通信端口。 |受控开放 |

|118 |5569 |无固定服务 |木马Robo-Hack使用的通信端口。 |受控开放 |

|119 |5631 |PCAnywhere软件 |远程控制软件PCAnywhere的远程管理通信端口,该端口的开放使得攻击者可以猜解密 |受控开放 |

| | | |码。 | |

|120 |5632 | |存在扫描局域网风险。 |受控开放 |

|121 |5742 |无固定服务 |木马WinCrash1.03开放此端口。 |受控开放 |

|122 |5900 |VNC软件 |远程控制软件VNC的默认服务端口,通过该端口可以与服务器进行通信并进行远程控制|受控开放 |

| | | |。 | |

|123 |5901 | | |受控开放 |

|124 |6000 |X-windows软件 |X-windows软件远程管理通信端口,该端口的开放使得攻击者可以猜解密码。 |受控开放 |

|125 |6112 |无固定服务 |存在远程利用缓冲区溢出漏洞,攻击者利用此漏洞可以执行任意代码。 |受控开放 |

|126 |6192 |无固定服务 |远程控制软件DameWare的默认服务端口,通过该端口可以与服务器进行通信并进行远 |受控开放 |

| | | |程控制。 | |

|127 |6267 |无固定服务 |木马广外女生开放此端口。 |受控开放 |

|128 |6379 |无固定服务 |弱存在口令、未授权访问、配合ssh key提权等漏洞。 |受控开放 |

|129 |6400 |无固定服务 |木马The tHing开放此端口。 |受控开放 |

|130 |6670 |无固定服务 |木马Deep Throat开放此端口。 |受控开放 |

表B.1 (续)

|序号 |端口号 |对应服务 |风险描述 |开放建议 |

|131 |6671 |无固定服务 |木马Deep Throat 3.0开放此端口。 |受控开放 |

|132 |6711 |无固定服务 |木马SubSeven1.0/1.9开放此端口。 |受控开放 |

|133 |6712 |无固定服务 |木马BackDoor-G、SubSeven (Sub7)、KiLo trojan、Funny trojan使用的通信端口。 |受控开放 |

|134 |6776 |无固定服务 |木马SubSeven2.0、SubSeven1.0/1.9、Ultors Trojan使用的通信端口。 |受控开放 |

|135 |6883 |无固定服务 |木马DeltaSource开放此端口。 |受控开放 |

|136 |6969 |无固定服务 |木马Gatecrasher、Priority开放此端口。 |受控开放 |

|137 |6970 |RealAudio |RealAudio客户端口通信端口。 |受控开放 |

|138 |7000 |无固定服务 |木马Remote Grab开放此端口。 |受控开放 |

|139 |7001 |WebLogic |使用默认WEB管理端口的WebLogic服务器存在暴露后台的风险,存在反序列化、Weblog|受控开放 |

| | | |ic uuid csrf及XSS等漏洞。 | |

|140 |7300 |无固定服务 |木马NetMonitor开放此端口。 |受控开放 |

|141 |7301 | | |受控开放 |

|142 |7306 | | |受控开放 |

|143 |7307 | | |受控开放 |

|144 |7308 | | |受控开放 |

|145 |7323 |无固定服务 |Sygate代理软件使用的端口,可以被病毒程序所利用,遥控被感染的计算机。 |受控开放 |

|146 |7626 |无固定服务 |木马Giscier使用的通信端口。 |受控开放 |

|147 |7789 |无固定服务 |木马ICKiller使用的通信端口。 |受控开放 |

|148 |8010 |无固定服务 |Wingate代理软件使用的端口,可以被病毒程序所利用,遥控被感染的计算机。 |受控开放 |

|149 |8080 |无固定服务 |Apache Tomcat和Apache |受控开放 |

| | | |JBoss的默认WEB管理端口;常用于替代80端口提供WEB服务。对使用默认WEB管理端口 | |

| | | |的Apache Tomcat和Apache | |

| | | |JBoss存在暴露后台的风险。8080端口可以被各种病毒程序所利用,比如木马病毒Brow| |

| | | |n | |

| | | |Orifice(BrO)可以利用该端口完全遥控被感染的计算机。另外,木马RemoConChubo | |

| | | |、RingZero也利用该端口进行攻击。 | |

|150 |8089 |无固定服务 |开源软件Jenkens的服务端口,存在反序列化、控制台弱口令或默认口令等漏洞。 |受控开放 |

|151 |8161 |Apache ActiveMQ |存在默认帐号、密码(admin/admin)。 |受控开放 |

|152 |9080 |WebSphere |存在控制台弱口令爆破、反序列化、任意文件泄露等漏洞。 |受控开放 |

|153 |9081 | | |受控开放 |

|154 |9090 | | |受控开放 |

|155 |9200 |无固定服务 |elasticsearch搜索服务器使用的端口,某些老版本之前有命令执行漏洞。 |受控开放 |

|156 |9400 |无固定服务 |木马Incommand 1.0使用的通信端口。 |受控开放 |

|157 |9401 |无固定服务 |木马Incommand 1.0使用的通信端口。 |受控开放 |

表B.1 (续)

|序号 |端口号 |对应服务 |风险描述 |开放建议 |

|158 |9402 |无固定服务 |木马Incommand 1.0使用的通信端口。 |受控开放 |

|159 |9875 |无固定服务 |木马Portal of Doom使用的通信端口。 |受控开放 |

|160 |9989 |无固定服务 |木马iNi-Killer使用的通信端口。 |受控开放 |

|161 |10067 |无固定服务 |木马Portal of Doom使用的通信端口。 |受控开放 |

|162 |10167 |无固定服务 |木马Portal of Doom使用的通信端口。 |受控开放 |

|163 |11000 |无固定服务 |木马SennaSpy使用的通信端口。 |受控开放 |

|164 |11223 |无固定服务 |木马Progenic trojan使用的通信端口。 |受控开放 |

|165 |12076 |无固定服务 |木马Telecommando使用的通信端口。 |受控开放 |

|166 |12223 |无固定服务 |木马Hack'99 KeyLogger使用的通信端口。 |受控开放 |

|167 |12345 |无固定服务 |木马NetBus1.60/1.70、GabanBus使用的通信端口。 |受控开放 |

|168 |12346 |无固定服务 |木马NetBus1.60/1.70、GabanBus使用的通信端口。 |受控开放 |

|169 |12361 |无固定服务 |木马Whack-a-mole使用的通信端口。 |受控开放 |

|170 |13223 |无固定服务 |聊天程序(PowWow)使用的端口。它会“驻扎”在这一TCP端口等待回应,造成类似心跳|受控开放 |

| | | |间隔的连接企图。 | |

|171 |16969 |无固定服务 |木马Priority使用的通信端口。 |受控开放 |

|172 |17027 |无固定服务 |广告软件Conducent的服务端口,存在黑客利用共享软件外向连接的风险。 |受控开放 |

|173 |19132 |无固定服务 |游戏软件Minecraft的默认开服端口,存在黑客利用游戏默认端口联机控制的风险。 |受控开放 |

|174 |19191 |无固定服务 |木马蓝色火焰使用的通信端口 |受控开放 |

|175 |20000 |无固定服务 |木马Millennium使用的通信端口。 |受控开放 |

|176 |20001 |无固定服务 |木马Millennium使用的通信端口。 |受控开放 |

|177 |20034 |无固定服务 |木马NetBus Pro使用的通信端口。 |受控开放 |

|178 |20432 |无固定服务 |木马Shaft的通信端口,用于进行DDOS攻击。 |受控开放 |

|179 |21554 |无固定服务 |木马Exploiter、Kid |受控开放 |

| | | |Terror、Winsp00fer、GirlFriend、Schwindler默认使用的通信端口。 | |

|180 |22222 |无固定服务 |木马Prosiak使用的通信端口。 |受控开放 |

|181 |23456 |无固定服务 |木马Evil FTP、Ugly FTP使用的通信端口。 |受控开放 |

|182 |25565 |无固定服务 |游戏软件Minecraft的默认开服端口,存在黑客利用游戏默认端口联机控制的风险。 |受控开放 |

|183 |26274 |无固定服务 |木马Delta使用的通信端口。 |受控开放 |

|184 |27017 |MongoDB服务端口 |MongoDb弱口令,未授权访问。 |受控开放 |

|185 |27374 |无固定服务 |木马Subseven 2.1使用的通信端口。 |受控开放 |

|186 |30003 |无固定服务 |漏洞CVE-2012-0698、木马Lamers Death trojan使用的通信端口。 |受控开放 |

|187 |30100 |无固定服务 |木马NetSphere使用的通信端口。 |受控开放 |

|188 |30303 |无固定服务 |木马Socket23使用的通信端口。 |受控开放 |

|189 |30999 |无固定服务 |木马Kuang使用的通信端口。 |受控开放 |

|190 |31337 |无固定服务 |木马BO(Back Orifice)使用的通信端口。 |受控开放 |

表B.1 (续)

|序号 |端口号 |对应服务 |风险描述 |开放建议 |

|191 |31338 |无固定服务 |木马BO(Back Orifice)使用的通信端口。 |受控开放 |

|192 |31339 |无固定服务 |木马LittleWitch, 木马Net Spy使用的通信端口。 |受控开放 |

|193 |31666 |无固定服务 |木马BOWhack使用的通信端口。 |受控开放 |

|194 |31789 |无固定服务 |木马Hack a tack开放此端口。 |受控开放 |

|195 |33333 |无固定服务 |木马Prosiak使用的通信端口。 |受控开放 |

|196 |34324 |无固定服务 |木马Tiny Telnet Server、BigGluck、TN使用的通信端口。 |受控开放 |

|197 |40412 |无固定服务 |木马The Spy使用的通信端口。 |受控开放 |

|198 |40421 |无固定服务 |木马Masters Paradise使用的通信端口。 |受控开放 |

|199 |40422 |无固定服务 |木马Masters Paradise使用的通信端口。 |受控开放 |

|200 |40423 |无固定服务 |木马Masters Paradise使用的通信端口。 |受控开放 |

|201 |40426 |无固定服务 |木马Masters Paradise使用的通信端口。 |受控开放 |

|202 |43210 |无固定服务 |木马SchoolBus 1.0/2.0使用的通信端口。 |受控开放 |

|203 |44445 |无固定服务 |木马Happypig使用的通信端口。 |受控开放 |

|204 |47262 |无固定服务 |木马Delta使用的通信端口。 |受控开放 |

|205 |47878 |无固定服务 |木马BirdSpy2开放此端口。 |受控开放 |

|206 |50505 |无固定服务 |木马Sockets de Troie使用的通信端口。 |受控开放 |

|207 |50766 |无固定服务 |木马Fore使用的通信端口。 |受控开放 |

|208 |53001 |无固定服务 |木马Remote Windows Shutdown使用的通信端口。 |受控开放 |

|209 |54321 |无固定服务 |漏洞CVE-2010-4741、 CVE-2014-0327、木马School Bus、yoyo使用的通信端口。 |受控开放 |

|210 |61466 |无固定服务 |木马Telecommando使用的通信端口。 |受控开放 |

|211 |64101 |无固定服务 |木马Taskman trojan使用的通信端口。 |受控开放 |

|212 |65000 |无固定服务 |木马Devil 1.03使用的通信端口。 |受控开放 |

电力企业防火墙安全配置技术规范

编制说明

目次

1 编制背景 22

2 编制主要原则 22

3 主要工作过程 22

4 标准结构和内容说明 23

5标准水平说明 23

6标准实施措施说明 24

1 编制背景

本标准是根据电机咨〔2018〕66号文,《中国电机工程学会关于印发“中国电机工程学会2018 年标准计划(第一批)”的通知》下达的制定任务,项目序号201711070001,对“电力企业防火墙安全配置技术规范”进行制定的。由中国电力科学研究院有限公司、国家电网公司信息通信分公司、国网甘肃省电力公司、国网湖北省电力公司、国网浙江省电力公司、国家电网公司华北分部、北京神州绿盟信息安全科技股份有限公司负责起草。

防火墙是电力企业网络安全防护体系的重要组成部分。防火墙访问控制规则、安全防护策略及其自身安全管理功能配置是实现有效网络安全防护的基础。目前电力企业防火墙安装数量多、部署范围广,但是由于防火墙安全配置缺乏有效规划,相互间存在配置不合理、不兼容、不匹配等问题,导致网络间访问控制不严格,访问性能不够优化等问题。制定防火墙安全配置标准,可以规范防火墙策略配置基线要求,明确设备访问控制策略、安全防护策略和功能配置,提高防火墙之间策略配置的兼容性和联动性,提升防火墙的安全防护强度和安全防护性能,保障设备安全稳定运行,保障网络安全。

2 编制主要原则

2.1规范性原则

遵循国家标准对防火墙的分级及安全功能分类,从访问控制规则、安全防护策略、安全管理功能三方面制定安全配置要求。

2.2通用性原则

标准不限定特定防火墙厂商、类型、版本等,适用于各厂商各类型防火墙设备的安全配置。

2.3可用性原则

确保标准具有较强的可操作性,能够用于指导各单位开展防火墙安全配置工作。

3 主要工作过程

2017年12月,根据中国电机工程学会团体标准立项审查会议结果,中国电力科学研究院有限公司、国家电网公司信息通信分公司、国网甘肃省电力公司、国网湖北省电力公司、国网浙江省电力公司、国家电网公司华北分部、北京神州绿盟信息安全科技股份有限公司联合成立标准编制组,召开第一次集中编制会议,基本确定标准大纲,组织开展了前期研究工作。

2018年2月8日,中国电机工程学会下达标准编制计划。

2018年4月20日,标准编制组召开第二次集中编制会议,在前期研究基础上,经过深入讨论,统一了编制思路,制定了标准大纲和各章节主要内容,并确定了各单位分工。

2018年5月底,各单位完成各自负责部分内容初稿编制,由中国电科院汇总形成标准初稿,并由各单位标准编制人员采用会议、邮件等方式在各参与编制单位内部进行了广泛的意见征求,对标准初稿进行了修改完善。

2018年7月27日,标准编制组在北京召开第三次集中编制会议,对标准初稿进行了深入讨论,并修改形成了第二稿。

2018年9月21日,标准编制组在北京组织召开专家研讨会议,对标准进行了深入研讨。根据专家意见,标准组进行了认真修改,形成标准征求意见稿。

2018年10月19日,根据中国电机工程学会电力信息化专委会意见,对征求意见稿再完善后报送专委会征求意见。

2018年10月,……征求意见,根据反馈意见修改形成送审稿;

2018年11月XX日,……,由中国电机工程学会组织召开标准评审会,……

2018年XX月,……形成标准报批稿。

4 标准结构和内容说明

本标准规定了电力企业防火墙的选型与部署、访问控制规则、安全防护策略、安全管理功能配置等基本技术要求,适用于电力企业防火墙的安全配置管理工作。

本标准包括以下主要章节:

1 范围

2 规范性引用文件

3 术语和定义

4 符号、代号和缩略语

5 防火墙选型与部署基本要求:给出防火墙选型与部署的基本要求;

6 访问控制规则配置要求:给出防火墙对经由防火墙的网络流量的访问控制规则(包括网络层包过滤规则和应用层协议控制规则)的配置要求;

7 安全防护策略配置要求:给出防火墙针对网络攻击的安全防护策略(包括IP/MAC地址绑定、攻击防范、恶意代码防范、网络地址转换、流量统计等)的配置要求;

8 安全管理功能配置要求:给出防火墙设备自身安全管理功能(包括身份鉴别、访问控制、安全审计等)的配置要求;

附录A 防火墙部署与策略配置方法:为资料性附录,给出了防火墙的典型部署结构和策略配置方法;

附录B 高风险网络端口:为资料性附录,给出了不建议开放的已证实存在安全隐患的高风险端口。

本标准按照《中国电机工程学会标准管理办法》(暂行)的要求编写。

5 标准水平说明

目前国内与防火墙相关标准主要有:GB/T 20010-2005《信息安全技术 包过滤防火墙评估准则》、GB/T 20281-2015《信息安全技术防火墙安全技术要求和测试评价方法》、GB/T 31505-2015《信息安全技术 主机型防火墙安全技术要求和测试评价方法》,在编国家标准有《信息安全技术 工业控制系统专用防火墙技术要求》、《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》。这些标准均针对防火墙本身的功能、性能提出了设计时的技术要求及测试评价方法,但均未涉及防火墙安全策略配置的相关要求。

本标准根据电力企业网络安全防护体系,结合防火墙安全配置项目与配置方法,提出电力企业防火墙部署与安全配置要求,属于创新性标准。

本标准参考并引用了国家标准GB/T20281—2015《防火墙技术要求和测试评价方法》等标准中的相关条文的规定,在国家电网公司企业标准《国家电网公司防火墙安全配置及监测技术要求》的基础上制定。

6 标准实施措施说明

本标准适用于各电力企业,包括发电企业和供电企业对企业内部署的防火墙进行安全配置管理工作。

电力企业可根据防火墙设备的《计算机信息系统安全专用产品销售许可证》(由公安部公共信息网络安全监察局发放、供货厂商提供),确定防火墙设备是否满足本标准第5章的等级要求。

在具体开展防火墙安全配置时,可依据本标准第6、7、8章,分别配置防火墙的访问控制规则、安全防护策略和安全管理功能。在具体使用时,本标准第6、7、8章不存在先后顺序要求。各项配置操作可参考附录A。

_________________________________

................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download

To fulfill the demand for quickly locating and searching documents.

It is intelligent file search solution for home and business.

Literature Lottery