测评指标控制项检查对象边界防护终端管理系统或相关设备终端管理系统或相关设备网络拓扑和无线网络设备访问控制入侵防范a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件b)应能够对非授权设备私自联到内部网络的行为进行限制或检查;c)应能够对内部用户非授权联到外部网络的行为进行限制或检查;d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或 相关组件b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或 相关组件c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或 相关组件d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或 相关组件e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。第二代防火墙等提供应用层访问控制功能的设备或相关组件a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;抗 APT 攻击系统、网络回溯系统、威胁情报检测系统、抗 DDoS 攻击系统和入侵保 护系统或相关组件b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;抗 APT 攻击系统、网络回溯系统、威胁情报检测系统、抗 DDoS 攻击系统和入侵保 护系统或相关组件入侵防范安全审计综合安全审计系统等综合安全审计系统等综合安全审计系统等c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;抗 APT 攻击系统、网络回溯系统和威胁情报检测系统或相关组件d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵时间时应提供报警。抗 APT 攻击系统、网络回溯系统、威胁情报检测系统、抗 DDoS 攻击系统和入侵保 护系统或相关组件恶意代码和垃圾邮件防范a)应在关键网络节点处对恶意代码进行检测和清除,并维持恶意代码防护机制的升级和更新;防病毒网关和 UTM 等提供防恶意代码功能的系统或相关组件b)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。防垃圾邮件网关等提供防垃圾邮件功能的系统或相关组件a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和事件、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。上网行为管理系统或综合安全审计系统可信验证云安全扩展要求访问控制入侵防范a)可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可 信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警, 并将验证结果形成审计记录送至安全管理中心。 提供可信验证的设备或组件、提供集中审计功能的系统a) 应在虚拟化网络边界部署访问控制机制,并设置访问控制规则; 访问控制机制、网络边界设备和虚拟化网络边界设备b) 应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。网闸、防火墙、路由器和交换机等提供访问控制功能的设备a) 应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; 抗 APT 攻击系统、网络回溯系统、威胁情报检测系统、抗 DDoS 攻击系统和入侵保 护系统或相关组件b) 应...
