安全子類--邊界防護

a) 應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信；

一、測評對象

網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關設備等提供訪問控制功能的設備或相關組件

二、測評實施

1)應核查在網(wǎng)絡邊界處是否部署訪問控制設備；

2) 應核查設備配置信息是否指定端口進行跨越邊界的網(wǎng)絡通信，指定端口是否配置并啟用了安全策略；

3) 應采用其他技術(shù)手段（如非法無線網(wǎng)絡設備定位、核查設備配置信息等）核查或測試驗證是否不存在其他未受控端口進行跨越邊界的網(wǎng)絡通信。

三、單元判定

如果1）-3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

四、高風險判定

【互聯(lián)網(wǎng)邊界訪問控制設備不可控】判例內(nèi)容：互聯(lián)網(wǎng)邊界訪問控制設備無管理權(quán)限，且無其他邊界防護措施的，難以保證邊界防護的有效性，也無法根據(jù)業(yè)務需要或所發(fā)生的安全事件及時調(diào)整訪問控制策略，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：1、互聯(lián)網(wǎng)邊界訪問控制設備無管理權(quán)限；2、無其他任何有效訪問控制措施；3、無法根據(jù)業(yè)務需要或所發(fā)生的安全事件及時調(diào)整訪問控制策略。

【互聯(lián)網(wǎng)邊界訪問控制不當】判例內(nèi)容：互聯(lián)網(wǎng)出口無任何訪問控制措施，或訪問控制措施配置失效，存在較大安全隱患，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：

1、互聯(lián)網(wǎng)出口無任何訪問控制措施。2、互聯(lián)網(wǎng)出口訪問控制措施配置不當，存在較大安全隱患。3、互聯(lián)網(wǎng)出口訪問控制措施配置失效，無法起到相關控制功能。

b) 應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查或限制；

一、測評對象

終端管理系統(tǒng)或相關設備

二、測評實施

1) 應核查是否采用技術(shù)措施防止非授權(quán)設備接入內(nèi)部網(wǎng)絡；

2) 應核查所有路由器和交換機等相關設備閑置端口是否均已關閉。

三、單元判定

如果1）-2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

四、高風險判定

判例內(nèi)容：非授權(quán)設備能夠直接接入重要網(wǎng)絡區(qū)域，如服務器區(qū)、管理網(wǎng)段等，且無任何告警、限制、阻斷等措施的，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：1、3級及以上系統(tǒng)；2、機房、網(wǎng)絡等環(huán)境不可控，存在非授權(quán)接入可能；3、可非授權(quán)接入網(wǎng)絡重要區(qū)域，如服務器區(qū)、管理網(wǎng)段等；4、無任何控制措施，控制措施包括限制、檢查、阻斷等。

c) 應能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡的行為進行檢查或限制；

一、測評對象

終端管理系統(tǒng)或相關設備

二、測評實施

應核查是否采用技術(shù)措施防止內(nèi)部用戶存在非法外聯(lián)行為；

三、單元判定

如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。

四、高風險判定

判例內(nèi)容：核心重要服務器設備、重要核心管理終端，如無法對非授權(quán)聯(lián)到外部網(wǎng)絡的行為進行檢查或限制，或內(nèi)部人員可旁路、繞過邊界訪問控制設備私自外聯(lián)互聯(lián)網(wǎng)，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：1、3級及以上系統(tǒng)；2、機房、網(wǎng)絡等環(huán)境不可控，存在非授權(quán)外聯(lián)可能；3、對于核心重要服務器、重要核心管理終端存在私自外聯(lián)互聯(lián)網(wǎng)可能；4、無任何控制措施，控制措施包括限制、檢查、阻斷等。

d) 應限制無線網(wǎng)絡的使用，保證無線網(wǎng)絡通過受控的邊界設備接入內(nèi)部網(wǎng)絡。

一、測評對象

網(wǎng)絡拓撲和無線網(wǎng)絡設備

二、測評實施

1) 應核查無線網(wǎng)絡的部署方式，是否單獨組網(wǎng)后再連接到有線網(wǎng)絡；

2) 應核查無線網(wǎng)絡是否通過受控的邊界防護設備接入到內(nèi)部有線網(wǎng)絡。

三、單元判定

如果1）-2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

四、高風險判定

判例內(nèi)容：內(nèi)部核心網(wǎng)絡與無線網(wǎng)絡互聯(lián)，且之間無任何管控措施，一旦非授權(quán)接入無線網(wǎng)絡即可訪問內(nèi)部核心網(wǎng)絡區(qū)域，存在較大安全隱患，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：1、3級及以上系統(tǒng)；2、內(nèi)部核心網(wǎng)絡與無線網(wǎng)絡互聯(lián)，且不通過任何受控的邊界設備，或邊界設備控制策略設置不當；3、非授權(quán)接入無線網(wǎng)絡將對內(nèi)部核心網(wǎng)絡帶來較大安全隱患。

安全子類--訪問控制

a) 應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；

一、測評對象

網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關設備等提供訪問控制功能的設備或相關組件

二、測評實施

1)應核查在網(wǎng)絡邊界或區(qū)域之間是否部署訪問控制設備并啟用訪問控制策略；

2)應核查設備的最后一條訪問控制策略是否為禁止所有網(wǎng)絡通信。

三、單元判定

如果1）-2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

四、高風險判定

判例內(nèi)容：與互聯(lián)網(wǎng)互連的系統(tǒng)，邊界處如無專用的訪問控制設備或配置了全通策略，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：1、互聯(lián)網(wǎng)出口無任何訪問控制措施。2、互聯(lián)網(wǎng)出口訪問控制措施配置不當，存在較大安全隱患。3、互聯(lián)網(wǎng)出口訪問控制措施配置失效，啟用透明模式，無法起到相關控制功能。

b) 應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；

一、測評對象

網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關設備等提供訪問控制功能的設備或相關組件

二、測評實施

1) 應核查是否不存在多余或無效的訪問控制策略；

2) 應核查不同的訪問控制策略之間的邏輯關系及前后排列順序是否合理。

三、單元判定

如果1）-2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

c) 應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出；

一、測評對象

網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關設備等提供訪問控制功能的設備或相關組件

二、測評實施

1) 應核查設備的訪問控制策略中是否設定了源地址、目的地址、源端口、目的端口和協(xié)議等相關配置參數(shù)；

2) 應測試驗證訪問控制策略中設定的相關配置參數(shù)是否有效。

三、單元判定

如果1）-2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

d) 應能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；

一、測評對象

網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關設備等提供訪問控制功能的設備或相關組件

二、測評實施

1) 應核查是否根據(jù)會話狀態(tài)信息對數(shù)據(jù)流進行控制，為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；

2) 應測試驗證是否為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。

三、單元判定

如果1）-2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

e) 應對進出網(wǎng)絡的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內(nèi)容的訪問控制。

一、測評對象

第二代防火墻等提供應用層訪問控制功能的設備或相關組件

二、測評實施

1) 應核查是否部署訪問控制設備并啟用訪問控制策略；

2) 應測試驗證設備訪問控制策略是否能夠?qū)M出網(wǎng)絡的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內(nèi)容的訪問控制。

三、單元判定

如果1）-2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

安全子類--入侵防范

a) 應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為；

一、測評對象

抗APT攻擊系統(tǒng)、網(wǎng)絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護系統(tǒng)或相關組件

二、測評實施

1) 應核查相關系統(tǒng)或組件是否能夠檢測從外部發(fā)起的網(wǎng)絡攻擊行為；

2) 應核查相關系統(tǒng)或組件的規(guī)則庫版本或威脅情報庫是否已經(jīng)更新到最新版本；

3) 應核查相關系統(tǒng)或組件的配置信息或安全策略是否能夠覆蓋網(wǎng)絡所有關鍵節(jié)點；

4) 應測試驗證相關系統(tǒng)或組件的配置信息或安全策略是否有效。

三、單元判定

如果1）-4）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

四、高風險判定

判例內(nèi)容：關鍵網(wǎng)絡節(jié)點（如互聯(lián)網(wǎng)邊界處）未采取任何防護措施，無法檢測、阻止或限制互聯(lián)網(wǎng)發(fā)起的攻擊行為，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：1、3級及以上系統(tǒng)；2、關鍵網(wǎng)絡節(jié)點（如互聯(lián)網(wǎng)邊界處）無任何入侵防護手段（如入侵防御設備、云防、WAF等對外部網(wǎng)絡發(fā)起的攻擊行為進行檢測、阻斷或限制）。

b) 應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為；

一、測評對象

抗APT攻擊系統(tǒng)、網(wǎng)絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護系統(tǒng)或相關組件

二、測評實施

1) 應核查相關系統(tǒng)或組件是否能夠檢測到從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為；

2) 應核查相關系統(tǒng)或組件的規(guī)則庫版本或威脅情報庫是否已經(jīng)更新到最新版本；

3) 應核查相關系統(tǒng)或組件的配置信息或安全策略是否能夠覆蓋網(wǎng)絡所有關鍵節(jié)點；

4) 應測試驗證相關系統(tǒng)或組件的配置信息或安全策略是否有效。

三、單元判定

如果1）-4）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

四、高風險判定

判例內(nèi)容：關鍵網(wǎng)絡節(jié)點（如核心服務器區(qū)與其他內(nèi)部網(wǎng)絡區(qū)域邊界處）未采取任何防護措施，無法檢測、阻止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：1、3級及以上系統(tǒng)；2、關鍵網(wǎng)絡節(jié)點（如核心服務器區(qū)與其他內(nèi)部網(wǎng)絡區(qū)域邊界處）無任何入侵防護手段（如入侵防御、防火墻等對內(nèi)部網(wǎng)絡發(fā)起的攻擊行為進行檢測、阻斷或限制）。

c) 應采取技術(shù)措施對網(wǎng)絡行為進行分析，實現(xiàn)對網(wǎng)絡攻擊特別是新型網(wǎng)絡攻擊行為的分析；

一、測評對象

抗APT攻擊系統(tǒng)、網(wǎng)絡回溯系統(tǒng)和威脅情報檢測系統(tǒng)或相關組件

二、測評實施

1) 應核查是否部署相關系統(tǒng)或組件對新型網(wǎng)絡攻擊進行檢測和分析；

2) 應測試驗證是否對網(wǎng)絡行為進行分析，實現(xiàn)對網(wǎng)絡攻擊特別是未知的新型網(wǎng)絡攻擊的檢測和分析。

三、單元判定

如果1）- 2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

d) 當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。

一、測評對象

抗APT攻擊系統(tǒng)、網(wǎng)絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護系統(tǒng)或相關組件

二、測評實施

1) 應核查相關系統(tǒng)或組件的記錄是否包括攻擊源IP、攻擊類型、攻擊目標、攻擊時間等相關內(nèi)容；

2) 應測試驗證相關系統(tǒng)或組件的報警策略是否有效。

三、單元判定

如果1）-2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

安全子類--惡意代碼和垃圾郵件防范

a) 應在關鍵網(wǎng)絡節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新；

一、測評對象

防病毒網(wǎng)關和UTM等提供防惡意代碼功能的系統(tǒng)或相關組件

二、測評實施

1) 應核查在關鍵網(wǎng)絡節(jié)點處是否部署防惡意代碼產(chǎn)品等技術(shù)措施；

2) 應核查防惡意代碼產(chǎn)品運行是否正常，惡意代碼庫是否已經(jīng)更新到最新；

3) 應測試驗證相關系統(tǒng)或組件的安全策略是否有效。

三、單元判定

如果1）-3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

四、高風險判定

判例內(nèi)容：主機和網(wǎng)絡層均無任何惡意代碼檢測和清除措施的，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：1、主機層無惡意代碼檢測和清除措施；2、網(wǎng)絡層無惡意代碼檢測和清除措施。

b) 應在關鍵網(wǎng)絡節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。

一、測評對象

防垃圾郵件網(wǎng)關等提供防垃圾郵件功能的系統(tǒng)或相關組件

二、測評實施

1) 應核查在關鍵網(wǎng)絡節(jié)點處是否部署了防垃圾郵件產(chǎn)品等技術(shù)措施；

2) 應核查防垃圾郵件產(chǎn)品運行是否正常，防垃圾郵件規(guī)則庫是否已經(jīng)更新到最新；

3) 應測試驗證相關系統(tǒng)或組件的安全策略是否有效。

三、單元判定

如果1）-3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

安全子類--安全審計

a) 應在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；

一、測評對象

綜合安全審計系統(tǒng)等

二、測評實施

1) 應核查是否部署了綜合安全審計系統(tǒng)或類似功能的系統(tǒng)平臺；

2) 應核查安全審計范圍是否覆蓋到每個用戶；

3) 應核查是否對重要的用戶行為和重要安全事件進行了審計。

三、單元判定

如果 1）-3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

四、高風險判定

判例內(nèi)容：在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點無任何安全審計措施，無法對重要的用戶行為和重要安全事件進行日志審計，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點無法對重要的用戶行為和重要安全事件進行日志審計。

b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

一、測評對象

綜合安全審計系統(tǒng)等

二、測評實施

應核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。

三、單元判定

如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。

c) 應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；

一、測評對象

綜合安全審計系統(tǒng)等

二、測評實施

1) 應核查是否采取了技術(shù)措施對審計記錄（主要還是針對重要的用戶行為和重要安全事件）進行保護；

2) 應核查是否采取技術(shù)措施對審計記錄進行定期備份，并核查其備份策略。

三、單元判定

如果 1）-2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

四、高風險判定

判例內(nèi)容：《網(wǎng)絡安全法》要求“采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術(shù)措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月”；因此，如相關設備日志留存不滿足法律法規(guī)相關要求，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件：1、3級及以上系統(tǒng)；2、對網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件等日志的留存不滿足法律法規(guī)規(guī)定的相關要求（不少于六個月）。

d) 應能對遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析。

一、測評對象

上網(wǎng)行為管理系統(tǒng)或綜合安全審計系統(tǒng)

二、測評實施

應核查是否對遠程訪問用戶及互聯(lián)網(wǎng)訪問用戶行為單獨進行審計分析。

三、單元判定

如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。

安全子類--可信驗證

可基于可信根對邊界設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信驗證，并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心。

一、測評對象

提供可信驗證的設備或組件、提供集中審計功能的系統(tǒng)

二、測評實施

1) 應核查是否基于可信根對邊界設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信驗證；

2) 應核查是否在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證；

3) 應測試驗證當檢測到邊界設備的可信性受到破壞后是否進行報警；

4) 應測試驗證結(jié)果是否以審計記錄的形式送至安全管理中心。

三、單元判定

如果1）-4）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。

安全子類--訪問控制（云計算安全擴展要求）

a) 應在虛擬化網(wǎng)絡邊界部署訪問控制機制，并設置訪問控制規(guī)則；

一、測評對象

訪問控制機制、網(wǎng)絡邊界設備和虛擬化網(wǎng)絡邊界設備

二、測評實施

1) 應核查是否在虛擬化網(wǎng)絡邊界部署訪問控制機制，并設置訪問控制規(guī)則；

2) 應核查并測試驗證云計算平臺和云服務客戶業(yè)務系統(tǒng)虛擬化網(wǎng)絡邊界訪問控制規(guī)則和訪問控制策略是否有效；

3) 應核查并測試驗證云計算平臺的網(wǎng)絡邊界設備或虛擬化網(wǎng)絡邊界設備安全保障機制、訪問控制規(guī)則和訪問控制策略等是否有效；

4) 應核查并測試驗證不同云服務客戶間訪問控制規(guī)則和訪問控制策略是否有效；

5) 應核查并測試驗證云服務客戶不同安全保護等級業(yè)務系統(tǒng)之間訪問控制規(guī)則和訪問控制策略是否有效。

三、單元判定

如果1）-5)均為肯定，則符合本單元測評指標要求，否則不符合或部分符合本單元測評指標要求。

四、高風險判例

判例內(nèi)容：無文章來源地址http://www.zghlxwxcb.cn/news/detail-670593.html

b) 應在不同等級的網(wǎng)絡區(qū)域邊界部署訪問控制機制，設置訪問控制規(guī)則。

一、測評對象

網(wǎng)閘、防火墻、路由器和交換機等提供訪問控制功能的設備

二、測評實施

1) 應核查是否在不同等級的網(wǎng)絡區(qū)域邊界部署訪問控制機制，設置訪問控制規(guī)則；

2) 應核查不同安全等級網(wǎng)絡區(qū)域邊界的訪問控制規(guī)則和訪問控制策略是否有效；

3) 應測試驗證不同安全等級的網(wǎng)絡區(qū)域間進行非法訪問時，是否可以正確拒絕該非法訪問。

三、單元判定

如果1）-3)均為肯定，則符合本單元測評指標要求，否則不符合或部分符合本單元測評指標要求。

四、高風險判例

判例內(nèi)容：無

安全子類--入侵防范（云計算安全擴展要求）

a) 應能檢測到云服務客戶發(fā)起的網(wǎng)絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；

一、測評對象

抗APT攻擊系統(tǒng)、網(wǎng)絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護系統(tǒng)或相關組件

二、測評實施

1) 應核查是否采取了入侵防范措施對網(wǎng)絡入侵行為進行防范，如部署抗APT攻擊系統(tǒng)、網(wǎng)絡回溯系統(tǒng)和網(wǎng)絡入侵保護系統(tǒng)等入侵防范設備或相關組件；

2) 應核查部署的抗APT攻擊系統(tǒng)、網(wǎng)絡入侵保護系統(tǒng)等入侵防范設備或相關組件的規(guī)則庫升級方式，核查規(guī)則庫是否進行及時更新；

3) 應核查部署的抗APT攻擊系統(tǒng)、網(wǎng)絡入侵保護系統(tǒng)等入侵防范設備或相關組件是否具備異常流量、大規(guī)模攻擊流量、高級持續(xù)性攻擊的檢測功能，以及報警功能和清洗處置功能；

4) 應驗證抗APT攻擊系統(tǒng)、網(wǎng)絡入侵保護系統(tǒng)等入侵防范設備或相關組件對異常流量和未知威脅的監(jiān)控策略是否有效（如模擬產(chǎn)生攻擊動作，驗證入侵防范設備或相關組件是否能記錄攻擊類型、攻擊時間、攻擊流量）；

5) 應驗證抗APT攻擊系統(tǒng)、網(wǎng)絡入侵保護系統(tǒng)等入侵防范設備或相關組件對云服務客戶網(wǎng)絡攻擊行為的報警策略是否有效（如模擬產(chǎn)生攻擊動作，驗證抗APT攻擊系統(tǒng)或網(wǎng)絡入侵保護系統(tǒng)是否能實時報警）；

6) 應核查抗APT攻擊系統(tǒng)、網(wǎng)絡入侵保護系統(tǒng)等入侵防范設備或相關組件是否具有對SQL注入、跨站腳本等攻擊行為的發(fā)現(xiàn)和阻斷能力；

7) 應核查抗APT攻擊系統(tǒng)、網(wǎng)絡入侵保護系統(tǒng)等入侵防范設備或相關組件是否能夠檢測出具有惡意行為、過分占用計算資源和帶寬資源等惡意行為的虛擬機；

8) 應核查云管理平臺對云服務客戶攻擊行為的防范措施，核查是否能夠?qū)υ品湛蛻舻木W(wǎng)絡攻擊行為進行記錄，記錄應包括攻擊類型、攻擊時間和攻擊流量等內(nèi)容；

9) 應核查云管理平臺或入侵防范設備是否能夠?qū)υ朴嬎闫脚_內(nèi)部發(fā)起的惡意攻擊或惡意外連行為進行限制，核查是否能夠?qū)?nèi)部行為進行監(jiān)控；

10) 通過對外攻擊發(fā)生器偽造對外攻擊行為，核查云租戶的網(wǎng)絡攻擊日志，確認是否正確記錄相應的攻擊行為，攻擊行為日志記錄是否包含攻擊類型、攻擊時間、攻擊者IP和攻擊流量規(guī)模等內(nèi)容；

11) 應核查運行虛擬機監(jiān)控器（VMM）和云管理平臺軟件的物理主機，確認其安全加固手段是否能夠避免或減少虛擬化共享帶來的安全漏洞。

三、單元判定

如果1）-11)均為肯定，則符合本單元測評指標要求，否則不符合或部分符合本單元測評指標要求。

四、高風險判例

判例內(nèi)容：無

b) 應能檢測到對虛擬網(wǎng)絡節(jié)點的網(wǎng)絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；

一、測評對象

抗APT攻擊系統(tǒng)、網(wǎng)絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護系統(tǒng)或相關組件

二、測評實施

1) 應核查是否部署網(wǎng)絡攻擊行為檢測設備或相關組件對虛擬網(wǎng)絡節(jié)點的網(wǎng)絡攻擊行為進行防范，并能記錄攻擊類型、攻擊時間、攻擊流量等；

2) 應核查網(wǎng)絡攻擊行為檢測設備或相關組件的規(guī)則庫是否為最新；

3) 應測試驗證網(wǎng)絡攻擊行為檢測設備或相關組件對異常流量和未知威脅的監(jiān)控策略是否有效。

三、單元判定

如果1）-3)均為肯定，則符合本單元測評指標要求，否則不符合或部分符合本單元測評指標要求。

四、高風險判例

判例內(nèi)容：無

c) 應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量；

一、測評對象

虛擬機、宿主機、抗APT攻擊系統(tǒng)、網(wǎng)絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護系統(tǒng)或相關組件

二、測評實施

1) 應核查是否具備虛擬機與宿主機之間、虛擬機與虛擬機之間的異常流量的檢測功能；

2) 應測試驗證對異常流量的監(jiān)測策略是否有效。

三、單元判定

如果1）-2)均為肯定，則符合本單元測評指標要求，否則不符合或部分符合本單元測評指標要求。

四、高風險判例

判例內(nèi)容：無

d) 應在檢測到網(wǎng)絡攻擊行為、異常流量情況時進行告警。

一、測評對象

虛擬機、宿主機、抗APT攻擊系統(tǒng)、網(wǎng)絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護系統(tǒng)或相關組件

二、測評實施

1) 應核查檢測到網(wǎng)絡攻擊行為、異常流量時是否進行告警；

2) 應測試驗證其對異常流量的監(jiān)測策略是否有效。

三、單元判定

如果1）-2)均為肯定，則符合本單元測評指標要求，否則不符合或部分符合本單元測評指標要求。

四、高風險判例

判例內(nèi)容：無

安全子類--安全審計（云計算安全擴展要求）

a) 應對云服務商和云服務客戶在遠程管理時執(zhí)行的特權(quán)命令進行審計，至少包括虛擬機刪除、虛擬機重啟；

一、測評對象

堡壘機或相關組件

二、測評實施

1) 應核查云服務商（含第三方運維服務商）和云服務客戶在遠程管理時執(zhí)行的遠程特權(quán)命令是否有相關審計記錄；

2) 應測試驗證云服務商或云服務客戶遠程刪除或重啟虛擬機后，是否有產(chǎn)生相應審計記錄。

三、單元判定

如果1）-2)均為肯定，則符合本單元測評指標要求，否則不符合或部分符合本單元測評指標要求。

四、高風險判例

判例內(nèi)容：無

b) 應保證云服務商對云服務客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務客戶審計。

一、測評對象

綜合審計系統(tǒng)或相關組件

二、測評實施

1) 應核查是否能夠保證云服務商對云服務客戶系統(tǒng)和數(shù)據(jù)的操作（如增、刪、改、查等操作）可被云服務客戶審計；

2) 應測試驗證云服務商對云服務客戶系統(tǒng)和數(shù)據(jù)的操作是否可被云服務客戶審計。

三、單元判定

如果1）-2）均為肯定，則符合本單元測評指標要求，否則不符合或部分符合本單元測評指標要求。

四、高風險判例

判例內(nèi)容：無

到了這里，關于等保測評--安全區(qū)域邊界--測評方法的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！