控制点

测评项

测评对象

测评方法及步骤

边界防护

a)  应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件

1、应核查在网络边界处是否部署访问控制设备；2、应核查设备配置信息是否指定端口进行跨越边界的网络通信，指定端口是否配置并启用了安全策略；3、应采用其他技术手段（如非法无线网络设备定位、核查设备配置信息等）核查或测试验证是否不存在其他未受控端口进行跨越边界的网络通信。

b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制；

终端管理系统或相关设备

1、应核查是否采用技术措施防止非授权设备接入内部网络；2、应核查所有路由器和交换机等相关设备闲置端口是否已关闭。

c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制；

终端管理系统或相关设备

应核查是否采用技术措施防止内部用户存在非法外联行为。

d) 应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。

网络拓扑和无线网络设备

1、应核查无线网络的部署方式，是否单独组网后再连接到有限网络；2、应核查无线网络是否通过受控的边界防护设备接入到内部有线网络。

访问控制

a)  应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件

1、应核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略；2、应核查设备的最后一条访问控制策略是否为禁止所有网络通信。

b)  应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件

1、应核查是否不存在多余或无效的访问控制策略；2、应核查不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理。

c)  应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件

1、应核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数；2、应测试验证访问控制策略中设定的相关配置参数是否有效。

d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件

1、应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力；2、应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力。

e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

第二代防火墙等提供应用层访问控制功能的设备或相关组件

1、应核查是否部署访问控制设备并启用访问控制策略；2、应测试验证设备访问控制策略是否能够对进出网络的数据流实现基于应用协议和应用内容的访问控制。

入侵防范

a)  应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击和入侵保护系统或相关组件

1、应核查相关系统或组件是否能够检测从外部发起的网络攻击行为；    2、应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本；    3、应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点；    4、应测试验证相关系统或组件的配置信息或安全策略是否有效。

b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；

抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击和入侵保护系统或相关组件

1、应核查相关系统或组件是否能够检测到从内部发起的网络攻击行为；2、应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本；3、应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点；4、应测试验证相关系统或组件的配置信息或安全策略是否有效。

c) 应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；

抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击和入侵保护系统或相关组件

1、应核查是否部署相关系统或组件对新型网络攻击进行检测和分析；2、应测试验证是否对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析。

d) 当检测到攻击行为时，记录攻击源  IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。

抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击和入侵保护系统或相关组件

1、应核查相关系统或组件的记录是否包括攻击源IP、攻击类型、攻击目标、攻击时间等相关内容；2、应测试验证相关系统或组件的报警策略是否有效。

恶意代码防范

a)  应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；

防病毒网关和UTM等提供防恶意代码功能的系统或相关组件

1、应核查在关键网络节点处是否部署防恶意代码产品等技术措施；2、应核查防恶意代码产品运行是否正常，恶意代码库是否已更新到最新；3、应测试验证相关系统或组件的安全策略是否有效。

b) 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。

防垃圾邮件网关等提供防垃圾邮件功能的系统或相关组件

1、应核查在关键网络节点处是否部署了防垃圾邮件产品等技术措施；2、应核查防垃圾邮件产品运行是否正常，防垃圾邮件规则库是否已经更新到最新；3、应测试验证相关系统或组件的安全策略是否有效。

安全审计

a)  应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

综合安全审计系统等

1、应核查是否部署了综合安全审计系统或类似功能的系统平台；2、应核查安全审计范围是否覆盖到每个用户；3、应核查是否对重要的用户行为和重要安全事件进行了审计。

b)  审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

综合安全审计系统等

应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

综合安全审计系统等

1、应核查是否采取了技术措施对审计记录进行保护；2、应核查是否采取技术措施对审计记录进行定期备份，并核查其备份策略。

d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

上网行为管理系统或综合安全审计系统

应核查是否对远程访问用户及互相联网访问用户行为单独进行审计分析。

可信验证

可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，  并将验证结果形成审计记录送至安全管理中心。

提供可信验证的设备或组件、提供集中审计功能的系统

1、应核查是否基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证；2、应核查是否在应用程序的关键执行环节进行动态可信验证；3、应测试验证当检测到边界设备的可信性受到破坏后是否进行报警；4、应测试验证结果是否以审计记录的形式发送至安全管理中心。