现场测评指导书(三级)日期: 2019.9.30现场测评指导书(三级)安全控制点控制项检查内容安全通用要求边界防护a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;1) 应核查在网络边界处是否部署访问控制设备;2) 应核查设备配置信息是否指定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全策略;3) 应采用其他技术手段(如非法无线网络设备定位、核查设备配置信息等)核查或测试验证是否不存在其他未受控端口进行跨越边界的网络通信。b)应能够对非授权设备私自联到内部网络的行为进行检查或限制;1) 应核查是否采用技术措施防止非授权设备接入内部网络;2) 应核查所有路由器和交换机等相关设备闲置端口是否均已关闭。c)应能够对内部用户非授权联到外部网络的行为进行检查或限制;应核查是否采用技术措施防止内部用户存在非法外联行为。d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。1) 应核查无线网络的部署方式,是否单独组网后再连接到有线网络;2) 应核查无线网络是否通过受控的边界防护设备接入到内部有线网络。访问控制入侵防范a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;1) 应核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略;2) 应核查设备的最后一条访问控制策略是否为禁止所有网络通信。b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;1) 应核查是否不存在多余或无效的访问控制策略;2) 应核查不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理。c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;1) 应核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数;2) 应测试验证访问控制策略中设定的相关配置参数是否有效。d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;1) 应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力;2) 应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力。e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。1) 应核查是否部署访问控制设备并启用访问控制策略;2) 应测试验证设备访问控制策略是否能够对进出网络的数据流实现基于应用协议和应用内容的访问控制。a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;1) 应核查相关系统或组件是否能够检测从外部发起的网络攻击行为;入侵防范恶意代码和垃圾邮件防范a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;2) 应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本;3) 应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点;4) 应测试验证相关系统或组件的配置信息或安全策略是否有效。b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;1) 应核查相关系统或组件是否能够检测到从内部发起的网络攻击行为;2) 应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本;3) 应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点;4) 应测试验证相关系统或组件的配置信息或安全策略是否有效。c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;1) 应核查是否部署相关系统或组件对新型网络攻击进行检测和分析;2) 应测试验证是否对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析。d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。1) 应核查相关系统或组件的记录是否包括攻击源IP、攻击类型、攻击目标、攻击时间等相关内容;2) 应测试验证相关系统或组件的报警策略是否有效。a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;1) 应核查在关键网络节...
