通用部分包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理十個(gè)層面。

今天給大家分享的是通用部分【安全區(qū)域邊界】（三級）測評指導(dǎo)書！

8.1.3.1 邊界防護(hù)

a) 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信；

測評對象：

網(wǎng)閘、防火墻、路由器、交換機(jī)和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件

測評方法：

1、應(yīng)核查在網(wǎng)絡(luò)邊界處是否部署訪問控制設(shè)備；

2、應(yīng)核查設(shè)備配置信息是否指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信，指定端口是否配置并啟用了安全策略；

3、應(yīng)采用其他技術(shù)手段（如非法無線網(wǎng)絡(luò)設(shè)備定位、核查設(shè)備配置信息等）核查或測試驗(yàn)證是否不存在其他未受控端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信。

b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；

測評對象：

終端管理系統(tǒng)或相關(guān)設(shè)備

測評方法：

1、應(yīng)核查是否采用技術(shù)措施防止非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)；

2、應(yīng)核查所有路由器和交換機(jī)等相關(guān)設(shè)備閑置端口是否已關(guān)閉。

c) 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；

測評對象：

終端管理系統(tǒng)或相關(guān)設(shè)備

測評方法：

應(yīng)核查是否采用技術(shù)措施防止內(nèi)部用戶存在非法外聯(lián)行為。

d) 應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

測評對象：

網(wǎng)絡(luò)拓?fù)浜蜔o線網(wǎng)絡(luò)設(shè)備

測評方法：

1、應(yīng)核查無線網(wǎng)絡(luò)的部署方式，是否單獨(dú)組網(wǎng)后再連接到有限網(wǎng)絡(luò)；

2、應(yīng)核查無線網(wǎng)絡(luò)是否通過受控的邊界防護(hù)設(shè)備接入到內(nèi)部有線網(wǎng)絡(luò)。

8.1.3.2 訪問控制

a) 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；

測評對象：

網(wǎng)閘、防火墻、路由器、交換機(jī)和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件

測評方法：

1、應(yīng)核查在網(wǎng)絡(luò)邊界或區(qū)域之間是否部署訪問控制設(shè)備并啟用訪問控制策略；

2、應(yīng)核查設(shè)備的最后一條訪問控制策略是否為禁止所有網(wǎng)絡(luò)通信。

b) 應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；

測評對象：

網(wǎng)閘、防火墻、路由器、交換機(jī)和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件

測評方法：

1、應(yīng)核查是否不存在多余或無效的訪問控制策略；

2、應(yīng)核查不同的訪問控制策略之間的邏輯關(guān)系及前后排列順序是否合理。

c) 應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出；

測評對象：

網(wǎng)閘、防火墻、路由器、交換機(jī)和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件

測評方法：

1、應(yīng)核查設(shè)備的訪問控制策略中是否設(shè)定了源地址、目的地址、源端口、目的端口和協(xié)議等相關(guān)配置參數(shù)；

2、應(yīng)測試驗(yàn)證訪問控制策略中設(shè)定的相關(guān)配置參數(shù)是否有效。

d) 應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；

測評對象：

網(wǎng)閘、防火墻、路由器、交換機(jī)和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件

測評方法：

1、應(yīng)核查是否采用會話認(rèn)證等機(jī)制為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；

2、應(yīng)測試驗(yàn)證是否為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。

e) 應(yīng)對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。

測評對象：

第二代防火墻等提供應(yīng)用層訪問控制功能的設(shè)備或相關(guān)組件

測評方法：

1、應(yīng)核查是否部署訪問控制設(shè)備并啟用訪問控制策略；

2、應(yīng)測試驗(yàn)證設(shè)備訪問控制策略是否能夠?qū)M(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。

8.1.3.3 入侵防范

a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；

測評對象：

抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報(bào)檢測系統(tǒng)、抗DDoS攻擊和入侵保護(hù)系統(tǒng)或相關(guān)組件

測評方法：

1、應(yīng)核查相關(guān)系統(tǒng)或組件是否能夠檢測從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；

2、應(yīng)核查相關(guān)系統(tǒng)或組件的規(guī)則庫版本或威脅情報(bào)庫是否已經(jīng)更新到最新版本；

3、應(yīng)核查相關(guān)系統(tǒng)或組件的配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點(diǎn)；

4、應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或組件的配置信息或安全策略是否有效。

b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；

測評對象：

抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報(bào)檢測系統(tǒng)、抗DDoS攻擊和入侵保護(hù)系統(tǒng)或相關(guān)組件

測評方法：

1、應(yīng)核查相關(guān)系統(tǒng)或組件是否能夠檢測到從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；

2、應(yīng)核查相關(guān)系統(tǒng)或組件的規(guī)則庫版本或威脅情報(bào)庫是否已經(jīng)更新到最新版本；

3、應(yīng)核查相關(guān)系統(tǒng)或組件的配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點(diǎn)；

4、應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或組件的配置信息或安全策略是否有效。

c) 應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；

測評對象：

抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報(bào)檢測系統(tǒng)、抗DDoS攻擊和入侵保護(hù)系統(tǒng)或相關(guān)組件

測評方法：

1、應(yīng)核查是否部署相關(guān)系統(tǒng)或組件對新型網(wǎng)絡(luò)攻擊進(jìn)行檢測和分析；

2、應(yīng)測試驗(yàn)證是否對網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析。

d) 當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源 IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

測評對象：

抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報(bào)檢測系統(tǒng)、抗DDoS攻擊和入侵保護(hù)系統(tǒng)或相關(guān)組件

測評方法：

1、應(yīng)核查相關(guān)系統(tǒng)或組件的記錄是否包括攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間等相關(guān)內(nèi)容；

2、應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或組件的報(bào)警策略是否有效。

8.1.3.4 惡意代碼和垃圾郵件防范

a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新；

測評對象：

防病毒網(wǎng)關(guān)和UTM等提供防惡意代碼功能的系統(tǒng)或相關(guān)組件

測評方法：

1、應(yīng)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否部署防惡意代碼產(chǎn)品等技術(shù)措施；

2、應(yīng)核查防惡意代碼產(chǎn)品運(yùn)行是否正常，惡意代碼庫是否已更新到最新；

3、應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或組件的安全策略是否有效。

b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對垃圾郵件進(jìn)行檢測和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級和更新。

測評對象：

防垃圾郵件網(wǎng)關(guān)等提供防垃圾郵件功能的系統(tǒng)或相關(guān)組件

測評方法：

1、應(yīng)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否部署了防垃圾郵件產(chǎn)品等技術(shù)措施；

2、應(yīng)核查防垃圾郵件產(chǎn)品運(yùn)行是否正常，防垃圾郵件規(guī)則庫是否已經(jīng)更新到最新；

3、應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或組件的安全策略是否有效。

8.1.3.5 安全審計(jì)

a) 應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)；

測評對象：

綜合安全審計(jì)系統(tǒng)等

測評方法：

1、應(yīng)核查是否部署了綜合安全審計(jì)系統(tǒng)或類似功能的系統(tǒng)平臺；

2、應(yīng)核查安全審計(jì)范圍是否覆蓋到每個(gè)用戶；

3、應(yīng)核查是否對重要的用戶行為和重要安全事件進(jìn)行了審計(jì)。

b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；

測評對象：

綜合安全審計(jì)系統(tǒng)等

測評方法：

應(yīng)核查審計(jì)記錄信息是否包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。

c) 應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；

測評對象：

綜合安全審計(jì)系統(tǒng)等

測評方法：

1、應(yīng)核查是否采取了技術(shù)措施對審計(jì)記錄進(jìn)行保護(hù)；

2、應(yīng)核查是否采取技術(shù)措施對審計(jì)記錄進(jìn)行定期備份，并核查其備份策略。

d) 應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。

測評對象：

上網(wǎng)行為管理系統(tǒng)或綜合安全審計(jì)系統(tǒng)

測評方法：

應(yīng)核查是否對遠(yuǎn)程訪問用戶及互相聯(lián)網(wǎng)訪問用戶行為單獨(dú)進(jìn)行審計(jì)分析。

8.1.3.6 可信驗(yàn)證

可基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。

測評對象：

提供可信驗(yàn)證的設(shè)備或組件、提供集中審計(jì)功能的系統(tǒng)

測評方法：

1、應(yīng)核查是否基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證；

2、應(yīng)核查是否在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證；

3、應(yīng)測試驗(yàn)證當(dāng)檢測到邊界設(shè)備的可信性受到破壞后是否進(jìn)行報(bào)警；

4、應(yīng)測試驗(yàn)證結(jié)果是否以審計(jì)記錄的形式發(fā)送至安全管理中心。