网络安全等级测评师培训教材（初级）-2021版(前三章)

文章目录

• • • 第1章 安全物理环境
    • • 1.1物理位置选择
      • 1.2 物理访问控制
      • 1.3 防盗窃和防破坏
      • 1.4防雷击
      • 1.5 防火
      • 1.6 防水和防潮
      • 1.7 防静电
      • 1.8温湿度控制
      • 1.9 电力供应
      • 1.10 电磁防护
    • 第2章 安全通信网络
    • • 2.1 网络架构
      • 2.2 通信传输
      • 2.3可信验证
    • 第3章 安全区域边界
    • • 3.1边界防护
      • 3.2访问控制
      • 3.3入侵防范
      • 3.4恶意代码和垃圾邮件防范
      • 3.5安全审计
      • 3.6可信验证

第1章 安全物理环境

等级保护对象是由计算机或其他信息终端及相关设备组成的按照一定的规则和程序 対信息进行收集、存储、传输、交换、处理的系统。保障等级保护对象设备的物理安全， 包括防止设备被破坏、被盗用，保障物理环境条件，确保设备正常运行，以及减少技术 故障等，是所有安全的基础。在通常情况下，等级保护对象的相关设备均集中存放在机房 中，通过其他物理辅助设施(例如门禁、空调等)来保障安全。
安全物理环境针对物理机房提出了安全控制要求，主要对象为物理环境、物理设备、 物理设施等，涉及的安全控制点包括物理位置选择、物理访问控制、防盗窃和防破坏、防 雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
本章将以三级等级保护对象为例，介绍安全物理环境各个控制要求项的测评内容、测 评方法、证据、案例等。

1.1物理位置选择

• 等级保护对象使用的硬件设备，例如网络设备、安全设备、服务器设备、存储设备和 存储介质，以及供电和通信用线缆等，需要存放在固定的机房中。
• 为机房选择安全的物理位置和环境是等级保护对象物理安全的前提和基础。

L3-PES1-01

【安全要求】

• 机房场地应选择在具有防震、防风和防雨等能力的建筑内。

【要求解读】

• 机房场地所在的建筑物要具有防震、防风和防雨等能力。

［测评方法】

(1)核查是否有建筑物`抗震设防审批文档`。
(2)核查是否有`雨水渗漏`的痕迹。
(3)核查是否有可`灵活开启的窗户`。若有窗户，则核查是否采取了`封闭、上锁`等防护 措施。
(4)核查屋顶、墙体、门窗和地面等是否有`破损`、`开裂`的情况。

［预期结果或主要证据］
(1)机房具有验收文档。
(2 )天花板、窗台无渗漏现象。
(3 )机房无窗户，或者有窗户且釆取了防护措施。
(4)现场观测屋顶、墙体、门窗和地面等，无开裂现象。

L3-PES1-02

［安全要求】

• 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。
  ［要求解读］
• 机房场地要避免设置在建筑物的顶层或地下室。
• 如果出于某些原因无法避免，则设置 在建筑物顶层或地下室的机房需要加强防水和防潮措施。
  [测评方法】

(1)核查机房`是否`设置在建筑物的顶层或地下室。
(2)若机房设置在建筑物的顶层或地下室，则核查机房`是否`采取了防水和防潮措施。

［预期结果或主要证据】

(1)机房`未设置`在建筑物的顶层或地下室。
(2)设置在建筑物的顶层或地下室的机房，釆取了严格的防水和防潮措施。

1.2 物理访问控制

• 为防止非授权人员擅自进入机房，需要安装电子门禁系统控制人员进出机房的行为，
• 保证机房内设备、存储介质和线缆的安全。

L3-PES1-03

【安全要求】

• 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。
  ［要求解读】
• 为防止非授权人员进入机房，需要安装电子门禁系统，对机房及机房内区域的出入人 员实施访问控制，
• 避免由非授权人员擅自进入造成的系统运行中断、设备丢失或损坏、数 据被窃取或被篡改，并实现对人员进入情况的记录。
  【测评方法】

(1)核查机房出入口`是否`配置了电子门禁系统。
(2)核查电子门禁系统`是否`开启并正常运行。
(3 )核查电子门禁系统`是否`可以鉴别、记录进入的人员信息。

［预期结果或主要证据】

(1)机房出入口`配备`了电子门禁系统。
(2)电子门禁`系统`工作`正常`，可以对进出人员进行`鉴别`。

1.3 防盗窃和防破坏

• 为防止盗窃、故意破坏等行为，需要对机房釆取设备固定、安装防盗报警系统等有效 措施,保证机房内设备、存储介质和线缆的安全。

L3-PES1-04

【安全要求】

• 应将设备或主要部件进行固定，并设置明显的不易除去的标识。
  【要求解读】
• 对于安放在机房内用于保障系统正常运行的设备或主要部件，需要进行固定，并设置 明显的、不易除去的标识用于识别。
  ［测评方法］

(1 )核查机房内的设备或主要部件`是否`进行了固定。
(2)核查机房内的设备或主要部件上`是否`设置了明显的、不易除去的标识。

［预期结果或主要证据】

(1)机房内的设备`均放置`在机柜或机架上并已固定。
(2)设备或主要部件`均设置`了不易除去的标识(如果使用粘贴标识，则不能有翘起现 象)。

L3-PES1-05

【安全要求】

• 应将通信线缆铺设在隐蔽安全处。
  ［要求解读］
• 机房内的通信线缆需要铺设在隐蔽安全处，防止线缆受损。
  【测评方法］

核查机房内的通信线缆`是否`铺设在隐蔽安全处。

［预期结果或主要证据】

机房通信线缆`铺设`在线槽或桥架里。

L3-PES1-06

［安全要求］

• 应设置机房防盗报警系统或设置有专人值守的视频监控系统。
  ［要求解读］
• 机房需要安装防盗报警系统，或者在安装视频监控系统的同时安排专人进行值守，以 防止盗窃和恶意破坏行为的发生。
  ［测评方法］

(1)核查`是否`配置了防盗报警系统或有专人值守的视频监控系统。
(2)核查防盗报警系统或视频监控系统`是否`开启并正常运行。

【预期结果或主要证据］

(1 )机房内`配置了`防盗报警系统或有专人值守的视频监控系统。
(2)在进行现场观测时，视频监控系统工作`正常`。

1.4防雷击

• 为防止雷击造成的损害，需要对机房所在建筑物及机房内的设施和设备采取接地、安装防雷装置等有效措施，保证机房内设备、存储介质和线缆的安全。

L3-PES1-07

【安全要求】

• 应将各类机柜、设施和设备等通过接地系统安全接地。

［要求解读】

• 在机房内对各类机柜、设施和设备釆取接地措施，防止雷击对电子设备造成损害。
  【测评方法】

核查机房内的机柜、设施和设备等`是否`进行了接地处理。
通常`黄绿色`相间的电线为接地用线。

【预期结果或主要证据］

机房内所有的机柜、设施和设备等`均已`采取接地的控制措施。

L3-PES1-08

［安全要求】

• 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。
  【要求解读】
• 在机房内安装防雷保安器或过压保护装置等，防止感应雷对电子设备造成损害。
  【测评方法】

(1)核查机房内`是否`采取了防感应雷措施。
(2)核查防雷装置`是否`通过了验收或国家有关部门的技术检测。

【预期结果或主要证据】

(1)机房内釆取了防感应雷措施，例如设置了防雷感应器、防浪涌插座等。
(2 )防雷装置通过了国家有关部门的技术检测。

1.5 防火

• 为防止火灾造成的损害，机房需要使用防火建筑材料，进行合理分区，并釆取安装自 动消防系统等有效措施，保证机房内设备、存储介质和线缆的安全。

L3-PES1-09

［安全要求］

• 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。
  【要求解读】
• 机房内需要设置火灾自动消防系统，在发生火灾时进行自动检测、报警和灭火，例如 自动气体消防系统、自动喷淋消防系统等。
  【测评方法］

(1)核查机房内`是否`设置了火灾自动消防系统。
(2)核査火灾自动消防系统`是否`可以自动检测火情、自动报警并自动灭火。
(3)核查火灾自动消防系统`是否`通过了验收或国家有关部门的技术检测。

【预期结果或主要证据】

(1)机房内`设置`了火灾自动消防系统。
(2)在进行现场观测时，火灾自动消防系统`工作正常`。

L3-PES1-10

[安全要求］

• 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
  ［要求解读】
• 机房内需要釆用具有耐火等级的建筑材料，以防止火灾的发生和火势的蔓延。
  ［测评方法］
• 核查机房验收文档中是否明确记录了所用建筑材料的耐火等级。
  【预期结果或主要证据】

机房使用的所有材料均为`耐火材料`，
例如使用墙体、防火玻璃等，但使用金属栅栏的 情况不能算符合。

L3-PES1-11

【安全要求】

• 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。
  ［要求解读］
• 机房内需要进行区域划分并设置隔离防火措施,防止火灾发生后火势蔓延。
  ［测评方法］

(1)核查机房`是否`进行了区域划分。
(2 )核查机房内各区域之间`是否`采取了防火隔离措施。

［预期结果或主要证据]

(1)机房进行了区域划分，例如过渡区、主机房。
(2)机房内各区域之间部署了防火隔离装置。

1.6 防水和防潮

• 为防止渗水、漏水、水蒸气结露等造成的损害，需要对机房釆取防渗漏、防积水、安装水敏感检测报警系统等有效措施，保证机房内设备、存储介质和线缆的安全。

L3-PES1-12

［安全要求］

• 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。

[要求解读】

• 机房内需要采取防渗漏措施，防止窗户、屋顶和墙壁出现渗漏的情况。

［测评方法】

• 核查机房的窗户、屋顶和墙壁是否釆取了防渗漏措施。
  ［预期结果或主要证据］

机房采取了`防雨水渗透`的措施，
例如封锁窗户并采取防水措施、屋顶和墙壁均釆取`防雨水`渗透措施。

L3-PES1-13

［安全要求]

• 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
  ［要求解读］
• 机房内需要采取防结露和排水措施，防止水蒸气结露和地面积水。
  ［测评方法］

(1)核查机房内`是否`采取了防止水蒸气结露的措施。
(2)核查机房内`是否`釆取了排水措施来防止地面积水。

【预期结果或主要证据］

(1)机房内配备了专用的`精密空调`来防止水蒸气结露。
(2)机房内部署了`漏水检测装置`，可以对漏水情况进行监控和报警。

L3-PES1-14

［安全要求】

• 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。
  【要求解读】
• 机房内需要布设对水敏感的检测装置，对渗水、漏水的情况进行检测和报警。
  ［测评方法］

(1 )核查机房内是否安装了对水敏感的检测装置。
(2 )核查机房内的防水检测和报警装置是否开启并正常运行。

【预期结果或主要证据】

(1)机房内部署了漏水检测装置，例如漏水检测绳等。
(2)在进行现场观测时，防水检测和报警装置工作正常。

1.7 防静电

• 为防止静电造成的损害，需要对机房釆取安装防静电地板、配置防静电装置等有效措 施，保证机房内设备、存储介质和线缆的安全。

L3-PES1-15

【安全要求】

• 应采用防静电地板或地面并采用必要的接地防静电措施。
  【要求解读】
  机房内需要安装防静电地板或在地面釆取必要的接地措施，防止静电的产生。
  ［测评方法】

(1)核查机房内`是否`安装了防静电地板。
(2)核查机房内`是否`釆用了防静电接地措施。

［预期结果或主要证据］

(1 )机房内安装了防静电地板。
(2)机房内釆用了接地的防静电措施。

L3-PES1-16

【安全要求】

• 应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。
  【要求解读］
• 机房内需要配备静电消除器，工作人员可佩戴防静电手环等,以消除静电。
  ［测评方法］
• 核查机房内是否配备了静电消除设备。
  ［预期结果或主要证据］
• 机房内配备了静电消除设备。

1.8温湿度控制

为防止温湿度变化造成的损害，需要安装温湿度自动调节装置，保证机房内设备、存 储介质和线缆的安全。

L3-PES1-17

［安全要求】

• 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
  ［要求解读】
• 机房内需要安装溫湿度自动调节装置，
• 例如空调、除湿机、通风机等，使机房内温湿 度的变化在设备运行所允许的范围之内。
• 通常机房内适宜的温度为18-27℃,空气湿度范围是35%~75%。
  【测评方法】

(1)核查机房内`是否`配备了专用空调。
(2)核查机房内的温湿度`是否`在设备运行所允许的范围之内。

【预期结果或主要证据】

(1)机房内配备了专用的`精密空调`。
(2 )机房内温度设置在`20〜25°C`,湿度范围是`40% ~ 60%`。

1.9 电力供应

• 为防止电力中断或电流变化造成的损害，需要采用铺设冗余或并行的电力电缆线路, 以及安装稳压装置、防过载装置和备用供电装置等有效措施，保证机房内设备、存储介质 和线缆的安全。

L3-PES1-18

【安全要求】

• 应在机房供电线路上配置稳压器和过电压防护设备。

【要求解读】

• 机房供电线路上需要安装电流稳压器和电压过载保护装置，防止电力波动对电子设备造成损害。

【测评方法】

• 核查供电线路上是否配置了稳压器和过电压防护设备。
  【预期结果或主要证据】

(1)机房内的计算机系统供电线路上设置了稳压器和过电压防护设备。
(2)在进行现场观测时，稳压器和过电压防护设备工作正常。

L3-PES1-19

【安全要求】

• 应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。

【要求解读】

• 机房供电需要配备不间断电源(UPS)或备用供电系统，
• 例如备用发电机或由第三方 提供的备用供电服务，
• 防止电力中断对设备运转和系统运行造成损害。

［测评方法］

(I)核查机房是否配备了UPS等备用供电系统。
(2 )核查UPS等备用供电系统的运行切换记录和检修维护记录。
I预期结果或主要证据】
(1)机房配备了 UPS系统。
(2)UPS系统能够满足短期断电时的供电要求。

L3-PES1-20

【安全要求】

• 应设置冗余或并行的电力电缆线路为计算机系统供电。

［要求解读]

• 机房供电需要使用冗余或并行的电力电缆线路，防止电力中断对设备运转和系统运行 造成损害。
  ［测评方法］
• 核查是否设置了冗余或并行的电力电缆线路为计算机系统供电。
  ［预期结果或主要证据】
  机房配备了冗余的供电线路，例如市电双路接入。

1.10 电磁防护

为防止电磁辐射和干扰造成的损害，需要釆取电源线和通信线缆隔离铺设、安装电磁 屏蔽装置等有效措施，保证机房内设备、存储介质和线缆的安全。

L3-PES1-21

【安全要求】
电源线和通信线缆应隔离铺设，避免互相干扰。
［要求解读］
机房内的电源线和通信线缆需要隔离铺设在不同的管道或桥架内，防止电磁辐射和干 扰对设备运转和系统运行产生影响。
［测评方法}
核查机房内电源线缆和通信线缆是否隔离铺设。
［预期结果或主要证据】
机房内电源线缆和通信线缆隔离铺设，例如通过线槽或桥架进行隔离。

L3-PES1-22

【安全要求】
应对关键设备实施电磁屏蔽。
［要求解读］
机房内的关键设备需要安放在电磁屏蔽机柜或电磁屏蔽区域中，防止电磁辐射和干扰 对设备运转和系统运行产生影响。
【测评方法】
核查是否为关键设备配备了电磁屏蔽装置。
【预期结果或主要证据］
对关键设备（例如加密机）釆取了电磁屏蔽措施，例如配备屏蔽机柜或屏蔽机房。

第2章 安全通信网络

• 随着现代信息化技术的不断发展，等级保护对象通常通过网络实现资源共享和数据交 互。
• 当大量的设备联成网络后，网络安全成为最受关注的问题。
• 按照“一个中心，三重防 御”的纵深防御思想，在网络边界外部通过广域网或城域网通信的安全是首先需要考虑的问题，网络边界内部的局域网网络架构设计是否合理、内部通过网络传输的数据是否安全 也在考虑范围之内。

安全通信网络针对网络架构和通信传输提出了安全控制要求，主要对象为广域网、城 域网、局域网的通信传输及网络架构等，涉及的安全控制点包括网络架构、通信传输、可 信验证。
本章将以三级等级保护对象为例，介绍安全通信网络各个控制要求项的测评内容、测 评方法、证据、案例等。

2.1 网络架构

• 网络架构是业务运行所需的重要部分，如何根据业务系统的特点构建网络是非常关键 的。
• 首先应关注整个网络的资源分布、架构是否合理，只有架构安全了，才能在其上实现 各种技术功能，达到保护通信网络的目的。
• 下面重点对网络设备的性能、业务系统对网络 带宽的需求、网络区域的合理划分、区域间的有效防护、网络通信线路及设备的冗余等要 求进行解读。

L3-CNS1-01

【安全要求】

• 应保证网络设备的业务处理能力满足业务高峰期需要。

［要求解读］

• 为了保证主要网络设备具备足够的处理能力，应定期检查设备的资源占用情况，确保 设备的业务处理能力具备冗余空间。
  【测评方法】

  (1)访谈网络管理员，了解业务高峰时期为何时，核查边界设备和主要网络设备的处理 能力是否满足业务高峰期需要，询问采用何种手段对主要网络设备的运行状态进行监控。
   以华为交换机为例，可以输入`“display cpu-usage" "display memory-usage"`命令查看相关配置。
   一般来说，业务高峰期主要网络设备的CPU.内存的使用率`不宜超过70%`.也可以通过综合`网管系统查看主要网络设备的CPU`、`内存的使用情况`。
   (2)访谈或核查`是否`曾因设备处理能力不足而出现`宕机`的情况。可核查综合网管系统 的`告警日志`或`设备运行时间`等，或者`访谈网络管理员`，了解是否因设备处理能力不足而进 行了设备升级。
   以华为设备为例，可以输入`"display version"`命令查看设备在线时长。如果近期在设 备在线时间内有`重启的`情况，则可询问原因。
   (3)核查设备在一段时间内的`性能峰值`，结合设备自身的承载性能，分析设备`是否能 够满足业务处理要求`。

【预期结果或主要证据】
(1)设备CPU和内存使用率的峰值不大于设备处理能力的70%。可通过如下命令核 查相关情况。

 <Huawei>display cpu-usage
   CPU Usage Stat. Cycle: 60 (Second)
   CPU Usage : 3% Max: 45%
   CPU Usage Stat- Time : 2018-05-26 16:58:16
   CPU utilization for five seconds: 15%: one minute: 15%: five minutes: 15% <Huawei>display memory-usage
   CPU utilization for five seconds: 15%: one minute: 15%: five minutes: 15% System Total Memory Is: 75312648 bytes Total Memory Used Is: 45037704 bytes
   Memory Using Percentage Is: 59%

(2)未出现宕机的情况。综合网管系统未记录宕机告警日志，设备运行时间较长，示 例如下。

  <Huawei>display version
   Huawei Versatile Routing Flatform Software
   VRP {R) software, Version 5,130 (AK12Q0 V200R003CQO)
   Copyright (C) 2011-2012 HUAWEI TECH CO. , LTD
   Huawei AR1220 Router uptime is 0 week, 0 day, 0 hour^ 1 minute
   MPU 0(Master) : uptime is 0 week, 0 day, 0 hour, 1 minute

L3-CNS1-02

【安全要求】

• 应保证网络各个部分的带宽满足业务高峰期需要。
  ［要求解读］
  为了保证业务服务的连续性，应保证网络各个部分的带宽满足业务高峰期需要。如果 存在带宽无法满足业务高峰期需要的情况，则要在主要网络设备上进行带宽配置，以保证 关键业务应用的带宽需求。
  ［测评方法］

(1)询问管理员业务高峰期的流量使用情况，核查是否部署了流量控制设备对关键业 务系统的流量带宽进行控制，或者在相关设备上启用了 QoS配置对网络各个部分进行带宽 分配，以保证业务高峰期业务服务的连续性。
   (2)核查综合网管系统在业务高峰期的带宽占用情况，分析是否满足业务需求。如果 无法满足业务高峰期需要，则要在主要网络设备上进行带宽配置。
   (3 )测试验证网络各个部分的带宽是否满足业务高峰期需要。

【预期结果或主要证据］
(1)在各个关键节点处部署了流量监控系统，监测网络中的实时流量。部署了流量控 制设备，在关键节点设备上配置了 QoS策略，对关键业务系统的流量带宽进行控制。
(2)节点设备配置了流量监管和流量整形策略。
流量监管配置，示例如下。

 class-map : class-1
   bandwidth percent 50
   bandwidth 5000 (kbps) max threshold 64 (packets)
   class-map : class-2 bandwidth percent 15 bandwidth 1500 (kbps) max threshold 64 (packets)

流量整形配置，示例如下。

   traffic classifier cl operator or
   if-match acl 3002
   traffic behavior bl
   remark local-precedence af3
   traffic policy pl
   classifier cl behavior bl
   interface gigabitethernet 3/0/0
   traffic-polioy pl inbound

(3 )各通信链路的高峰期流量均不高于其带宽的70%。

L3-CNS1-03

【安全要求】
应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。
［要求解读]
应根据实际情况和区域安全防护要求，在主要网络设备上进行VLAN划分。VLAN是 一种通过将局域网内的设备逻辑地而不是物理地划分成不同子网从而实现虚拟工作组的 技术。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其他 VLAN内的用户直接通信。如果要在不同的VLAN之间进行通信，则需要通过路由器或三 层交换机等三层设备实现。
［测评方法］
询问网络管理员是否依据部门的工作职能、等级保护对象的重要程度、应用系统的级 别等实际情况和区域安全防护要求划分了不同的VLAN。核查相关网络设备配置信息，验 证划分的网络区域是否与划分原则一致。
【预期结果或主要证据］
划分了不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址，不同 网络区域之间釆取了边界防护措施。
以思科互联网操作系统(Cisco IOS)为例，可以输入“show vlan brief’命令，查看 相关配置。

   10	server	active
   20	user	active
   30	test	active
   99	management	active

L3-CNS1-04

【安全要求】
应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠 的技术隔离手段。
［要求解读］
为了保证等级保护对象的安全，应避免将重要网段部署在边界处且直接连接外部等级 保护对象，从而防止来自外部等级保护对象的攻击。同时，应在重要网段和其他网段之间 配置安全策略，进行访问控制。
【测评方法】

（1）核查网络拓扑图是否与实际网络运行环境一致。
（2）核查重要网络区域是否部署在网络边界处（应为未部署在网络边界处），以及在 网络区域边界处是否部署了安全防护措施。
（3）核查重要网络区域与其他网络区域（例如应用系统区、数据库系统区等重要网络 区域）之间是否釆取了可靠的技术隔离手段，以及是否部署了网闸、防火墙和设备访问控 制列表（ACL）等。

【预期结果或主要证据］

（1）网络拓扑图与实际网络运行环境一致。
（2）重要网络区域未部署在网络边界处。
（3）重要网络区域与其他网络区域之间部署了网闸、防火墙等安全设备，实现了技术 隔离。

L3-CNS1-05

【安全要求】
应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。
【要求解读】
本要求虽然放在“安全通信网络”分类中，但实际上是要求整个网络架构设计要有冗 余。为了避免网络设备或通信线路因出现故障而引发系统中断，应采用冗余技术设计网络 拓扑结构，以确保在通信线路或设备发生故障时提供备用方案，有效增强网络的可靠性。 同时，关键计算设备需要采用热冗余方式部署，以保证系统的高可用性。
［测评方法］

   核查系统的出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线 路冗余来保证系统的高可用性。

【预期结果或主要证据】
釆用HSRP、VRRP等冗余技术设计网络架构，在通信线路或设备发生故障时网络不 会中断，网络的可靠性有效增强。

2.2 通信传输

通信传输为等级保护对象在网络环境中的安全运行提供了支持。为了防止数据被篡改 或泄露，应确保在网络中传输的数据的保密性、完整性、可用性等。应注意，此处的通信 传输，既应关注不同安全计算环境之间的通信安全（例如，分支机构与总部之间的通信安 全，不同安全保护等级对象之间的通信安全），也应关注单一计算环境内部不同区域之间 的通信安全（例如，管理终端与被管设备之间的通信安全，业务终端与应用服务器之间的 通信安全）。
下面重点针对网络中传输的数据是否具有完整性校验机制、是否采用加密等安全措施 保障数据的完整性和保密性进行解读。

L3-CNS1-06

【安全要求】
应采用校验技术或密码技术保证通信过程中数据的完整性。
［要求解读I
为T防止数据在通信过程中被修改或破坏，应釆用校验技术或密码技术保证通信过 程中数据的完整性。这些数据包括鉴别数据、重要业务数据、重要审计数据、重要配置数 据、重要视频数据和重要个人信息等。
【测评方法】

（1）核查是否在传输过程中使用校验技术或密码技术来保证数据的完整性。
（2 ）测试验证设备或组件是否能够保证通信过程中数据的完整性。例如，使用File Checksum Integrity Verifier （适用于 MD5、SHA1 算法）、SigCheck （适用于数字签名）等 工具对数据进行完整性校验。

［预期结果或主要证据】

(1 )对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重 要个人信息等，釆用校验技术或密码技术保证通信过程中数据的完整性。
(2)使用File Checksum Integrity Verifier计算数据的散歹!］值，验证数据的完整性。

L3-CNS1-07

【安全要求】
应釆用密码技术保证通信过程中数据的保密性。
【要求解读】
根据实际情况和安全防护要求，为了防止信息被窃听，应釆取技术手段对通信过程中 的敏感信息字段或整个报文加密。可釆用对称加密、非对称加密等方式实现数据的保密性。
【测评方法】

   (1)核查是否在通信过程中釆取了保密措施，了解具体采取了哪些措施。
   (2)测试验证在通信过程中是否对敏感信息字段或整个报文进行了加密。可以使用通 信协议分析工具，通过流量镜像等方式抓取网络中的数据，验证数据是否被加密。

【预期结果或主要证据］

   (1 )对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重 要个人信息等，采用密码技术保证通信过程中数据的保密性。
   (2)通信协议分析工具可监视信息的传送过程(但显示的是加密报文)。

2.3可信验证

传统的通信设备采用缓存或其他形式来保存固件，这种方式容易遭受恶意攻击。黑客 可以未经授权访问固件或篡改固件，也可以在组件的闪存中植入恶意代码(这些代码能够 轻易躲过标准的系统检测过程，从而对系统造成永久性的破坏)。通信设备如果是基于硬 件的可信根的，可在加电后基于可信根实现预装软件(包括系统引导程序、系统程序、 相关应用程序和重要配置参数)的完整性验证或检测，确保“无篡改再执行，有篡改就报 警”，从而保证设备启动和执行过程的安全。

L3-CNS1-08

【安全要求】
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序 等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受 到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
【要求解读】
通信设备可能包括交换机、路由器和其他通信设备等。通过在设备的启动和运行过程 中对预装软件(包括系统引导程序、系统程序、相关应用程序和重要配置参数)的完整性 进行验证或检测，可以确保对系统引导程序、系统程序、重要配置参数和关键应用程序的 篡改行为能被发现并报警，便于进行后续处置。
［测评方法］

(1)核査是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应 用程序等进行了可信验证。
(2 )核查是否在应用程序的关键执行环节迸行了动态可信验证。
(3 )测试验证在检测到设备的可信性受到破坏后是否能进行报警。
(4)核查测试验证结果是否以审计记录的形式被送至安全管理中心。

［预期结果或主要证据】

(1)通信设备(交换机、路由器和其他通信设备)具有可信根芯片或硬件。
(2)启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序 等进行可信验证度量。
(3)在检测到设备的可信性受到破坏后进行报警，并将验证结果形成审计记录送至安 全管理中心。
(4)安全管理中心可以接收设备的验证结果记录。

第3章 安全区域边界

网络实现了不同系统的互联互通。然而，在现实环境中往往需要根据不同的安全需求 对系统进行切割、对网络进行划分，形成不同系统的网络边界或不同等级保护对象的边 界。按照“一个中心，三重防御”的纵深防御思想，网络边界防护构成了安全防御的第二 道防线。在不同的网络之间实现互联互通的同时，在网络边界采取必要的授权接入、访问 控制、入侵防范等措施实现对内部的保护，是安全防御的必要手段。
安全区域边界针对网络边界提出了安全控制要求，主要对象为系统边界和区域边界 等，涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、 安全审计、可信验证。
本章将以三级等级保护对象为例，描述安全区域边界各个控制要求项的测评内容、测 评方法、证据、案例等。

3.1边界防护

边界防护主要从三个方面考虑。首先，应考虑网络边界设备端口、链路的可靠性，通 过有效的技术措施保障边界设备物理端口可信，防止非授权的网络链路接入。其次，应通 过有效的技术措施对外部设备的网络接入行为及内部设备的网络外连行为进行管控，减少 外部威胁的引入。最后，应对无线网络的使用进行管控，防止因无线网络的滥用而引入安 全威胁。

L3-ABS1-01

【安全要求】
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
【要求解读〕
为了保障数据通过受控边界，应明确网络边界设备，并明确边界设备的物理端口。网
络外连链路仅能通过指定的设备端口进行数据通信。
【测评方法】

   (1 )核查网络拓扑图是否与实际的网络链路一致，是否明确了网络边界及边界设备的 物理端口。
   (2)通过路由配置信息及边界设备配置信息，核查是否由指定的物理端口进行跨越边 界的网络通信。
   (3)釆用其他技术手段核查是否存在其他能够进行跨越边界的网络通信的未受控端口 (应为不存在)。例如，可使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测 系统等相关工具检测无线访问情况。

【预期结果或主要证据】
(1)查看网络拓扑图并比对实际的网络链路，确认网络边界设备及链路接入端口的设置无误。
(2 )执行相关命令，查看设备端口、VLAN信息。
以Cisco IOS为例，可以输入“Touter#show running-config”命令查看相关配置。

 interface	IP-Address OK? Method Status	Protocol
   FastEehernetO/O 192,168,11.1 YES manual up	up
   FastEehernetO/1 192,168*12.1 YES manual up up
   Vlanl unassigned YES manual administratively down down

查看路由信息，示例如下。
Ip route 0.0.0.0 0.0.0.0 192.168.12.1
(3)通过网络管理系统的自动拓扑发现功能，监控非授权的网络出口链路。通过无线 嗅探器排查无线网络的使用情况，确认无非授权Wi-Fi.

L3-ABS1-02

【安全要求】
应能够对非授权设备私自联到内部网络的行为进行检查或限制。
［要求解读］
设备的非授权接入可能会破坏原有的边界设计策略。可以采用技术手段和管理措施对 非授权接入行为进行检查，技术手段包括部署内网安全管理系统、关闭网络设备未使用的
端口、绑定IP/MAC地址等。
【测评方法】

  (1 )询问网络管理员釆用何种技术手段或管理措施对非授权设备私自连接内部网络 的行为进行管控，并在网络管理员的配合下验证其有效性。
   (2)核查所有路由器和交换机等设备的闲置端口是否已经关闭。'
   (3)如果通过部署内网安全管理系统实现系统准入，则应核查各终端设备是否统一进 行了部署，以及是否存在不可控的特殊权限接入设备。
   (4 )如果采用IP/MAC地址绑定的方式进行准入控制，则应核查接入层网络设备是否 采取了 IP/MAC地址绑定等措施。

【预期结果或主要证据】
(1)非使用的端口均已关闭。
以Cisco IOS为例，输入show ip interfaces brief'命令，查看设备配置中是否存在如 下类似配置。
Interface FastEthernetO/1 shutdown
(2)网络中部署的终端管理系统已经启用，各终端设备均已有效部署，无特权设备。
(3)IP/MAC地址绑定结果。
以Cisco IOS为例,输入“show ip arp”命令，查看设备配置中是否存在如下类似配置。
arp 10.10.10-1 0000,e268.9980 arpa -

L3-ABS1-03

【安全要求】
应能够对内部用户非授权联到外部网络的行为进行检査或限制。
【要求解读】
内网用户设备的外部连接端口的非授权外联行为可能会破坏原有的边界设计策略。可 以通过内网安全管理系统的非授权外联管控功能或防非法外联系统实现对非授权外联行 为的控制。由于内网安全管理系统可以实现包括非授权外联管控在内的众多管理功能，所 以建议釆用该项措施，通过对用户非授权建立网络连接访问非可信网络的行为进行管控, 减少安全风险的引入。
【测评方法】

  (1 )核查是否采用了内网安全管理系统或其他技术手段对内部用户非授权连接外部网 络的行为进行限制或检查。
   (2)核查是否限制了终端设备相关端口的使用，例如是否通过禁用双网卡、USB接 口、调制解调器、无线网络等来防止内部用户进行非授权外联。

【预期结果或主要证据］

   (1)网络中部署了终端安全管理系统或非授权外联管控系统。
   (2 )网络中的各类终端设备均已正确部署了终端安全管理系统或外联管控系统并启用 了相关策略，例如禁止更改网络配置，以及禁用双网卡、USB接口、调制解调器、无线网 络等。

L3-ABS1-04

【安全要求】
应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。
［要求解读】
为了防止未经授权的无线网络接入行为，无线网络应单独组网并通过无线接入网关等 受控的边界防护设备接入内部有线网络。同时，应部署无线网络管控措施，对非授权的无 线网络进行检测、屏蔽。
【测评方法】"

  (1)询问网络管理员网络中是否有授权的无线网络，以及这些无线网络是否是在单独 组网后接入有线网络的。
   (2)核查无线网络的部署方式。核查是否部署了无线接入网关、无线网络控制器等设 备。检查无线网络设备的配置是否合理，例如无线网络设备信道的使用是否合理，用户口 令的强度是否足够，以及是否使用WPA2加密方式等。
   (3)核查网络中是否部署了对菲授权的无线设备的管控措施，以及是否能够对非授权 的无线设备进行检查、屏蔽，例如是否使用无线嗅探器、无线入侵检测/防御系统、手持式 无线信号检测系统等相关工具进行检测和限制。

[预期结果或主要证据］

（1）授权的无线网络通过无线方式接入网关，并通过防火墙等访问控制设备接入有线 网络。无线网络使用1信道防止设备间的互相干扰；使用WPA2进行加密，且对用户密码 的复杂度有要求，例如口令长度为8位及以上且由数字、大小写字母及特殊字符组成。
（2）使用无线嗅探器未发现非授权的无线设备。

3.2访问控制

访问控制技术是指通过技术措施防止对网络资源进行未授权的访问，从而使计算机系 统在合法的范围内使用。在基础网络层面，访问控制主要是通过在网络边界及各网络区域 间部署访问控制设备（例如网闸、防火墙等）实现的。
在访问控制设备中：应启用有效的访问控制策略，并采用白名单机制，仅授权用户能 够访问网络资源；应根据业务访问的需要，对源地址、目的地址、源端口、目的端口和协 议等进行管控；应能够根据业务会话的状态信息，为进岀网络的数据流提供明确的允许/ 拒绝访问的能力；应能够对进出网络的数据流所包含的内容及协议进行管控。

L3-ABS1-05

【安全要求】
应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通 信外受控接□拒绝所有通信。
【要求解读】
应在网络边界或区域之间部署网闸、防火墙、路由器、交换机和无线接入网关等具有 访问控制功能的设备或相关组件，根据访问控制策略设置有效的访问控制规则。访问控制 规则采用白名单机制。
［测评方法］

（1）	核查网络边界或区域之间是否部署了访问控制设备,是否启用了访问控制策略。
（2）	核查设备的访问控制策略是否为白名单机制，是否仅允许授权的用户访问网络资 源，是否禁止了其他所有网络访问行为。
(3 )核查所配置的访问控制策略是否实际应用到了相应接口的进或出的方向。

［预期结果或主要证据】
设备访问控制策略的示例如下。
以Cisco IOS为例，可以输入show running-config命令，检查配置文件中的访问控 制策略。

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.10 eq 3389
access-list 100 permit tcp 192 *168.1.0 0.0,0,255 host 192*168.3,11 eq 3389 
access-list 100 deny ip any any interface GigabitEthernetl/1
ip access-group 100 in

L3-ABS1-06

【安全要求】
应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最 小化。
【安全要求】
根据实际业务需求配置访问控制策略，仅开放业务运行必须使用的端口 ,禁止配置全 通策略，保证边界访问控制设备安全策略的有效性。不同访问控制策略之间的逻辑关系应 合理，访问控制策略之间不存在相互冲突、重叠或包含的情况。同时，应保证访问控制规 则数量最小化。
［测评方法］

   (1)访谈安全管理员，了解访问控制策略的配置情况，核查相关安全设备的访问控制 策略与业务和管理需求是否一致，结合策略命中数据分析访问控制策略是否有效。
   (2)检查访问控制策略中是否已经禁止全通策略或端口、地址限制范围过大的策略。
   (3)核查设备的不同访问控制策略之间的逻辑关系是否合理。

【预期结果或主要证据】
(1 )访问控制需求与访问控制策略一致。
(2 )访问控制策略的优先级配置合理。
以Cisco IOS为例，可以输入showrunning-config命令，检查配置文件中的访问控
制列表配置项。

  access-list 100 permit tcp 192.168.0.0 0.0.255.255 host 192.165.3.10
   access-list 100 deny top 192.168.1.0 0.0.0.255 host 192.163.3.10

上述访问控制策略排列顺序不合理，第二条策略应在前面，否则无法命中。
(3)全通策略已被禁用，示例如下。
access-list 100 permit tcp any host any eq any
(4)互相包含的策略已被合并，示例如下。

access-list 100 permit tcp 192.168.0.0 0.0.255.255 host 192.168.3.10 
access-list 100 permit tcp 192.168.1.0 0*0.0.255 host 192.168.3.10

上述第二条策略是没有作用的，可直接删除。

L3-ABS1-07

【安全要求】
应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包 进岀。
【要求解读】
应对网络中的网闸、防火墙、路由器、交换机和无线接入网关等能够提供访问控制功 能的设备或相关组件进行检查。访问控制策略应明确源地址、目的地址、源端口、目的端 口和协议，以允许/拒绝数据包进出。
【测评方法］
核查设备中的访问控制策略是否明确设定了源地址、目的地址、源端口、目的端口和 协议等相关参数。
【预期结果或主要证据]
配置文件中应存在如下类似配置项。
以Cisco IOS为例，希望拒绝172.16.4.0 ~ 172.16.3.0的所有FTP通信流量通过F0/0接 口。输入"show running-config”命令，可以检查配置文件中的访问控制列表配置项。

access-listlOl deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 
access-listlOl permit ip any any
interface fastethernet0/0
ip access-group 100 out

L3-ABS1-08

【安全要求】
应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。
【要求解读】
防火墙不仅能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口等对 数据包进行控制，而且能够记录通过防火墙的连接的状态，直接对数据包里的数据进行处 理。防火墙还应具有完备的状态检测表以追踪连接会话的状态，并能结合前后数据包的关 系进行综合判断，从而决定是否允许该数据包通过，通过连接的状态进行更快、更安全的 过滤0
I测评方法］
核查状态检测防火墙的访问控制策略中是否明确设定了源地址、目的地址、源端口、 目的端口和切议。
【预期结果或主要证据】
配置文件中应存在如下类似配置项。
以CiscoIOS为例，输入show running-config命令可以查看相关配置。

access-list 101 permit tcp 192.168.2.0 0.0.0.255 host 192.168.3.100 eq 21 
access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.10 eq 80 
access-list 101 deny ip any any

L3-ABS1-09

【安全要求】
应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
［要求解读】
在网络边界处采用下一代防火墙或相关安全组件，实现基于应用协议和应用内容的访 间控制。
［测评方法］

   (1)核查关键网络节点处是否部署了访问控制设备。
   (2)检查访问控制设备是否配置了相关策略，是否已对应用协议、应用内容进行访问 控制并对策略的有效性进行测试。

【预期结果或主要证据］
通过防火墙配置应用访问控制策略，根据应用协议、应用内容进行访问控制，对即时 聊天工具、视频软件及Web服务、FTP服务等进行管控。

3.3入侵防范

随着网络入侵事件数量的增加和黑客攻击水平的提高：一方面，企业网络感染病毒、 遭受攻击的速度加快，新技术不断涌现，等级保护对象与外部网络的互联具有连接形式多 样性、终端分布不均匀性，以及网络的开放性、互联性等特征，使网络较之从前更易遭受 恶意入侵和攻击，网络信息安全受到威胁；另一方面，网络遭受攻击后做出响应的时间越 来越长。因此，要维护系统安全，必须进行主动监视，以检查网络是否发生了入侵和遭受 了攻击。基于网络的入侵检测，被认为是网络访问控制之后网络安全的第二道安全闸门。 入侵检测系统主要监视所在网段内的各种数据包，对每个数据包或可疑数据包进行分析。 如果数据包与内置的规则吻合，入侵检测系统就会记录事件的各种信息并发出警报。
入侵防范需要从夕卜部网络发起的攻击、内部网络发起的攻击、对新型攻击的防范、检 测到入侵和攻击时及时告警四个方面综合考虑，以抵御各种来源、各种形式的入侵行为。

L3-ABS1-10

【安全要求】
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
［要求解读]
要维护系统安全，必须进行主动监视，以检查网络是否发生了入侵和遭受了攻击。监 视入侵和安全事件，既包括被动任务，也包括主动任务。很多入侵事件都是在攻击发生之 后通过检查日志文件发现的。这种在攻击之后进行的检测通常称为被动入侵检测，只有检 查日志文件，才能根据日志信息对攻击进行复查和再现。其他入侵尝试可以在攻击发生的 同时被检测到，这种方法称为主动入侵检测。主动入侵检测会查找已知的攻击模式或命令 并阻止它们的执行。
完整的入侵防范应首先实现事件特征分析功能，以发现潜在的攻击行为；应能发现各 种主流的攻击行为，例如端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢 岀攻击、IP碎片攻击和网络蠕虫攻击等。目前，入侵防范主要是通过在网络边界部署具有 入侵防范功能的安全设备实现的，例如抗APT攻击系统、网络回溯系统、威胁情报检测 系统、抗DDoS攻击系统、入侵检测系统(IDS)、入侵防御系统(IPS)、包含入侵防范模 块的多功能安全网关(UTM)等。
为了有效检测、防止或限制从外部发起的网络攻击行为，应在网络边界、核心等关键 网络节点处部署EPS等系统，或者在防火墙、UTM中启用入侵防护功能。
［测评方法］

   (1)核查相关系统或设备是否能够检测到从外部发起的网络攻击行为。
   (2)核查相关系统或设备的规则库是否已经更新到最新版本。
   (3)核查相关系统、设备配置信息或安全策略是否能够覆盖网络中的所有关键节点。
   (4)测试验证相关系统或设备的安全策略是否有效。

【预期结果或主要证据】

   (1)相关系统或设备中有检测到从外部发起的攻击行为的信息。
   (2)相关系统或设备的规则库已经更新，更新时间与测评时间较为接近。
   (3)配置信息、安全策略中制定的规则覆盖了系统关键节点的IP地址等。
   (4)监测到的攻击日志信息与安全策略相符。

L3-ABS1-11

【安全要求】
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
【要求解读】
为了有效检测、防止或限制从内部发起的网络攻击行为，应在网络边界、核心等关键 网络节点处部署IPS等系统，或者在防火墙、UTM中启用入侵防护功能。
【测评方法】

   (1)核查相关系统或设备是否能够检测到从内部发起的网络攻击行为。
   (2)核查相关系统或设备的规则库是否已经更新到最新版本。
   (3)核查相关系统、设备配置信息或安全策略是否能够覆盖网络中的所有关键节点。
   (4)测试验证相关系统或设备的安全策略是否有效。

【预期结果或主要证据］

   (1 )相关系统或设备中有检测到从内部发起的攻击行为的信息。
   (2)相关系统或设备的规则库已经更新，更新时间与测评时间较为接近。
   (3)配置信息、安全策略中制定的规则覆盖了系统关键节点的IP地址等。
   (4)监测到的攻击日志信息与安全策略相符。

L3-ABS1-12

【安全要求】
应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的 分析。
【要求解读】
部署网络回溯系统或抗APT攻击系统等，实现对新型网络攻击行为的检测和分析。
【测评方法】

   (1)核查是否部署了网络回溯系统或抗APT攻击系统等对新型网络攻击行为进行检 测和分析。
   (2)核査相关系统或设备的规则库是否已经更新到最新版本.
   (3)测试验证是否能够对网络行为进行分析，是否能够对网络攻击行为特别是未知的 新型网络攻击行为进行检测和分析。

【预期结果或主要证据】

   (1)系统内部署了网络回溯系统或抗APT攻击系统，系统具备对新型网络攻击行为 迸行检测和分析的功能。
   (2)网络回溯系统或抗APT攻击系统的规则库已经更新，更新时间与测评时间较为 接近。
   (3)经测试验证，系统可以对网络行为进行分析，并且能够对未知的新型网络攻击行 为进行检测和分析。

L3-ABS1-13

【安全要求】
当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重 入侵事件时应提供报警。
［要求解读】
为了保证系统在遭受攻击时能够及时、准确地记录攻击行为并进行安全应急响应，当 检测到攻击行为时，应将攻击源IP地址、攻击类型、攻击目标、攻击时间等信息记录在 日志中。通过这些日志记录，可以对攻击行为进行审计和分析。在发生严重入侵事件时， 应及时向有关人员报警，报警方式包括短信、电子邮件等。
【测评方法】

（1）访谈网络管理员和查看网络拓扑结构，核查在网络边界处是否部署了具有入侵防 范功能的设备。如果部署了相应的设备，则检查设备的日志记录，查看其中是否记录了攻 击源IP地址、攻击类型、攻击目的、攻击时间等信息，了解设备采用何种方式进行报警。
（2）测试验证相关系统或设备的报警策略是否有效。

【预期结果或主要证据】

(1)具有入侵防范功能的设备的日志记录了攻击源IP地址、攻击类型、攻击目标、 攻击时间等信息。
（2）设备的报警功能已开启且处于正常使用状态。

3.4恶意代码和垃圾邮件防范

恶意代码是指怀有恶意目的的可执行程序。计算机病毒、木马和蠕虫的泛滥使防范恶 意代码的破坏显得尤为重要，恶意代码的传播方式正在迅速演化。目前，恶意代码主要通 过网页、电子邮件等网络载体传播，恶意代码防范的形势越来越严峻。另外，随着电子邮 件的广泛使用，垃圾邮件也成为备受关注的安全问题。垃圾邮件是指电子邮件使用者事先 未提出要求或同意接收的电子邮件。垃圾邮件既可能造成邮件服务不可用，也可能用于传 播恶意代码、进行网络诈骗、散布非法信息等，严重影响业务的正常运行。因此，需要采 取技术手段对恶意代码和垃圾邮件进行重点防范。

L3-ABS1-14

【安全要求】
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和 更新。
［要求解读】
计算机病毒、木马和蠕虫的泛滥使防范恶意代码的破坏显得尤为重要，通过在网络边 界处部署防恶意代码产品进行恶意代码防范是最为直接和高效的办法。
目前，防恶意代码产品主要包括防病毒网关、包含防病毒模块的多功能安全网关等， 其至少应具备的功能包括：对恶意代码的分析和检查能力；对恶意代码的清除或阻断能力； 在发现恶意代码后记录日志和进行审计的能力；对恶意代码特征库进行升级的能力；对检 测系统的更新能力。
恶意代码具有特征变化快的特点，因此，恶意代码特征库和监测系统自身的更新都是 非常重要的。防恶意代码产品应具备通过多种方式实现恶意代码特征库和检测系统更新的 能力，例如自动远程更新、手动远程更新、手动本地更新等。
【测评方法】
(1)访谈网络管理员和检查网络拓扑结构，核查在网络边界处是

否部署了防恶意代码 产品。如果部署了相关产品，则查看是否启用了恶意代码检测及阻断功能，并查看日志记 录中是否有相关信息。
   (2 )访谈网络管理员，了解是否已对防恶意代码产品的特征库进行升级及具体的升级 方式，登录相应的防恶意代码产品.核查其特征库的升级情况(当前是否为最新版本)。
   (3 )测试验证相关系统或设备的安全策略是否有效。

［预期结果或主要证据]

(1 )网络边界处部署了防恶意代码产品或组件，防恶意代码功能正常开启且具备对恶 意代码的检测和清除功能。
(2)恶意代码特征库已经升级，升级时间与测评时间较为接近。

L3-ABS1-15

【安全要求】
应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和 更新。
［要求解读】
应部署相应的设备或系统对垃圾邮件进行识别和处理,包括部署透明的防垃圾邮件网 关、部署基于转发的防垃圾邮件系统、安装基于邮件服务器的防垃圾邮件软件及与邮件服 务器一体的用于防范垃圾邮件的邮件服务器等,并保证规则库已经更新到最新版本。
【测评方法】

  (1)核查在关键网络节点处是否部署了防垃圾邮件设备或系统。
   (2)核查防垃圾邮件产品的运行是否正常，以及防垃圾邮件规则库是否已经更新到最 新版本。
   (3)测试验证相关设备或系统的安全策略是否有效。

【预期结果或主要证据】

   (1)网络关键节点处部署了防垃圾邮件设备或系统，防垃圾邮件功能正常开启。
   (2)垃圾邮件防护机制已经升级，升级时间与测评时间较为接近。
   (3 )测试结果显示防垃圾邮件设备或系统能够阻断垃圾邮件。

3.5安全审计

如果仅将安全审计理解为日志记录功能，那么目前大多数的操作系统、网络设备都有 不同粒度的日志功能。但实际上，仅靠这些日志，既不能保障系统的安全，也无法满足事 后的追踪取证需要。安全南计并非日志功能的简单改进，也不等同于入侵检测。
网络安全审计的重点包括对网络流量的监测、对异常流量的识别和报警、对网络设备 运行情况的监测等。通过对以上方面的日志记录进行分析，可以形成报表，并在一定情况 下采取报警、阻断等操作。同时，对安全审计记录的管理也是其中的_个方面。由于不同 的网络产品产生的安全事件记录格式不统一，难以进行综合分析，因此，集中审计成为网
络安全审计发展的必然趋势。

L3-ABS1-16

【安全要求】
应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行 为和重要安全事件进行审计。
［要求解读】
为了对重要的用户行为和重要安全事件进行审计，需要在网络边界处部署相关系统， 启用重要网络节点的日志功能，将系统日志信息输岀至各种管理端口、内部缓存或日志服 务器。
【测评方法】

(1)核查是否部署了综合安全审计系统或具有类似功能的系统平台。
(2)核查安全审计范围是否覆盖每个用户，是否对重要的用户行为和重要安全事件进 行了审计。

［预期结果或主要证据】

(1)在网络边界、重要网络节点处部署了审计设备。
(2)审计范围覆盖每个用户，且审计记录包含重要的用户行为和重要安全事件。

L3-ABS1-17

【安全要求】
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相 关的信息。
［要求解读］
审计记录内容是否全面将直接影响审计的有效性。网络边界和重要网络节点的日志审 计内容应包括事件的时间、类型、用户、事件类型、事件是否成功等必要信息。
［测评方法］
核查审计记录是否包括事件的日期和时间、用户、事件的类型、事件是否成功及其他 与审计相关的信息。
［预期结果或主要证据】
审计记录包括事件的日期和事件、用户、事件类型、事件是否成功等信息。

L3-ABS1-18

［安全要求)
应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。
【要求解读】
审计记录能够帮助管理人员及时发现系统运行过程中发生的状况和网络攻击行为，因 此，需要对审计记录实施技术和管理上的保护，防止未授权的修改、删除和破坏。可以设 置专门的日志服务器来接收设备发出的报警信息。非授权用户(审计员除外)无权删除本 地和日志服务器上的审计记录。
【测评方法】

(1)核查是否已釆取技术措施对审计记录进行保护。
(2 )核查审计记录的备份机制和备份策略是否合理。

［预期结果或主要证据】

(1 )审计系统开启了日志外发功能,日志被转发至日志服务器。
(2)审计记录的存储时间超过6个月。

L3-ABS1-19

【安全要求】
应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
【要求解读】
对远程访问用户，应在相关设备上提供用户认证功能。通过配置用户、用户组并结合 访问控制规则，可以实现允许认证成功的用户访问受控资源。此外，需对内部用户访问互 联网的行为进行审计和分析。
【测评方法］

核查是否已对远程访问用户、互联网访问用户的行为单独进行审计和分析，并核查审计 和分析记录是否包含用于管理远程访问的用户行为、访问互联网的用户行为的必要信息0

【预期结果或主要证据］
设在网络边界处的审计系统能够对远程访问的用户行为进行审计，并能够对访问互联 网的用户行为进行单独审计。

3.6可信验证

对可信验证的说明参见2.3节。这里的设备对象是指用于实现边界防护的设备，可能 包括网闸、防火墙、交换机、路由器等。

L3-ABS1-20

【安全要求】
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用 程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信 性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。
【要求解读】
边界设备可能包括网闸、防火墙、交换机、路由器和其他边界防护设备等。通过在设 备的启动和运行过程中对预装软件（包括系统引导程序、系统程序、相关应用程序和重要 配置参数）的完整性进行验证或检测，可以确保对系统引导程序、系统程序、重要配置参 数和关键应用程序的篡改行为能被发现并报警，便于进行后续的处置。
【测评方法】

（1）	核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应 用程序等进行了可信验证。
（2）	核查是否在应用程序的关键执行环节进行了动态可信验证。
（3）	测试验证在检测到设备的可信性受到破坏后是否能进行报警。
（4）	核查测试验证结果是否以审计记录的形式被送至安全管理中心。

［预期结果或主要证据】

（1）边界设备（网闸、防火墙、交换机、路由器和其他边界防护设备）具有可信根芯 片或硬件。
(2)启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序 等进行可信验证度量。
(3 )在检测到设备的可信性受到破坏后进行报警，并将验证结果形成审计记录送至安 全管理中心。
(4)安全管理中心可以接收设备的验证结果记录。