安全区域边界测评指导书（通用安全-第三级）

序号

控制点

一级

二级

三级

四级

1

边界防护

1

1

4

6

2

访问控制

3

4

5

5

3

入侵防范

0

1

4

4

4

恶意代码防范

0

1

2

2

5

安全审计

0

3

4

3

6

可信验证

1

1

1

1

1

边界防护

a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；

1、核查在网络边界处是否部署访问控制设备；

2、核查设备配置信息是否指定端口进行跨越边界的网络通信，指定端口是否配置并启用了安全策略；

3、是否采用其他技术手段（如非法无线网络设备定位、核查设备配置信息等）核查或测试验证是否不存在其他未受控端口进行跨越边界的网络通信。

如果1)~3)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

1)查看网络拓扑图，并比对实际的网络链路，确认网络边界设备及链路接入端口无误

2)通过相关命令显示设备端口、Vlan信息

Interface IP-Address 0K? Method Status   Protocol

FastEehernet0/0 192.168.11.1 YES manual upup

FastEehernet0/1 192.168.12.1 YES manual upup

Vlan1 unassignedYES manual downdown(administratively )

显示路由信息IP route 0.0.0.0 0.0.0.0.192.168.12

3)通过网络管理系统的自动拓扑发现功能，监控是否存在非授权的网络出口链路;通过无线嗅探器排查无线网络的使用情况，确认无非授权WiFi

b)应能够对非授权设备私自联到内部网络的行为进行检查或限制；

1、核查是否采用技术措施防止非授权设备接入内部网络；

2、核查所有路由器和交换机等相关设备闲置端口是否已关闭。

如果1)和2)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

1)非使用的端口均已关闭，   查看设备配置中是否存在如下类似配置：

Interface FastEthernet0/1 shutdown

2)网络中部署的终端管理系统已启用，且各终端设备均已有效部署，无特权设备

3)IP/MAC地址绑定结果，查看设备配置中是否存在如下类似配置：

arp 10.10.10.1 0000.e268.9890 arpa

c)应能够对内部用户非授权联到外部网络的行为进行检查或限制；

核查是否采用技术措施防止内部用户存在非法外联行为。

如果以上测评实施内容为肯定，则符合本测评单元指标要求，否则不符合本测评单

元指标要求。

1)网络中部署有终端安全管理系统，或非授权外联管控系统

2)网络中各类型终端设备均已正确部署了终端安全管理系统或外联管控系统，并启用了相关策略，如禁止更改网络配置，禁用双网卡、USB接口.、Mode、无线网络等

d)应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。

1、核查无线网络的部署方式，是否单独组网后再连接到有限网络；

2、核查无线网络是否通过受控的边界防护设备接入到内部有线网络。

如果1)和2)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

1)授权的无限网络通过无线接入网管，并通过防火墙等访问控制设备接入到有限网络。无线网络使用了1信道，防止设备间互相干扰;使用WPA2进行加密;且用户密码具备复杂度要求，如:口令长度8位以上，由数字、字母、大小写及特殊字符组成

2)通过无线嗅探器未发现非授权无线设备

2

访问控制

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；

1、核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略；

2、核查设备的最后一条访问控制策略是否为禁止所有网络通信。

如果1)和2)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

设备访问控制策略具体如下：

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.10 eq   3389

access-list 100 permit tcp 192.168.1.0 0.0.0. 255 host 192.168.3.11 eq   3389

access-list 100 deny ip any any

interface Gigabi tEthernet1/1

ip access-group 100 in

b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；

1、核查是否不存在多余或无效的访问控制策略；

2、核查不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理。

如果1)和2)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

1)访问控制需求与策略保持一致

2)应合理配置访问控制策略的优先级，如

access-list 100 permit tcp 192.168 0.0.0.0.255.255 host 192.168.3.10

access-list 100 deny tcp 192. 168.1.0 0.0. 0.255 host 192.168.3.10

上述访问控制策略排列顺序不合理,第二条策略应在前面,否则不能被命中

3)应禁用全通策略，如access-list 100 permit tcp any host any eq any

4)应合并相互包含的策略，如:

access-list 100 permit tcp 192.168.0.0.0.0.255.255 host 192.168.3.10

access-list 100 permit tcp192.168.1.0.0.0.255.255 host 192.168.3.10

第二条策略不起作用，可直接删除

c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；

1、核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数；

2、测试验证访问控制策略中设定的相关配置参数是否有效。

如果1)和2) 均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

检查配置文件中是否存在类似如下配置项：

access-list 101 deny tcp 172.16.4.0.0.0.0.255 172.16.3.0.0.0.0.255 eq 21

access-list 101 permit ip any any

interface fastetnernet0/0

ip access-group101 out

d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；

1、核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力；

2、测试验证是否为进出数据流提供明确的允许/拒绝访问的能力。

如果1)和2) 均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

检查配置文件中应当存在类似如下配置项:

access-list 101 permit tcp 192.168.2.0.0.0.0.255 host 192.168.3.100 eq 21

access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.10 eq 80

access-list 101 deny ip any any

e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

1、核查是否部署访问控制设备并启用访问控制策略；

2、测试验证设备访问控制策略是否能够对进出网络的数据流实现基于应用协议和应用内容的访问控制。

如果1)和2) 均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

防火墙配置应用访问控制策略，从应用协议、应用内容进行访问控制，对QQ聊天工具、优酷视频以及各、Web服务、FTP服务等进行管控

3

入侵防范

a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

1、应核查相关系统或组件是否能够检测从外部发起的网络攻击行为；

2、应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本；

3、应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点；

4、应测试验证相关系统或组件的配置信息或安全策略是否有效。

如果1)~4)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

1)相关系统或设备有检测到外部发起攻击行为的信息;

2)相关系统或设备的规则库进行了更新，更新时间与测评时间较为接近

3)配置信息、安全策略中制定的规则覆盖系统关键节点的IP地址等

4)监测到的攻击日志信息与安全第略相符

b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；

1、核查相关系统或组件是否能够检测到从内部发起的网络攻击行为；

2、核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本；

3、核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点；

4、测试验证相关系统或组件的配置信息或安全策略是否有效。

如果1)~4)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

1)相关系统或设备有检测到内部发起攻击行为的信息;

2)相关系统或设备的规则库进行了更新，更新时间与测评时间较为接近

3)配置信息、安全策略中制定的规则覆盖系统关键节点的IP地址等

4)监测到的攻击日志信息与安全策略相符的

c)应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；

1、核查是否部署相关系统或组件对新型网络攻击进行检测和分析；

2、测试验证是否对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析。

如果1)和2) 均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

1)系统内部署网络回溯系统或抗APT攻击系统，系统内包含对新型网络攻击的检测和分析功能

2)网络回溯系统或抗APT攻击系统的规则库进行了更新，更新时间与测评时间较为接近

3)经测试验证系统可对网络行为进行分析，且能够对未知新型网络攻击检测和分析

d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。

1、核查相关系统或组件的记录是否包括攻击源IP、攻击类型、攻击目标、攻击时间等相关内容；

2、测试验证相关系统或组件的报警策略是否有效。

如果1)和2)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

1)相关具有入侵防范功能的设备日志记录了攻击源IP、攻击类型、攻击目标、攻击时间等信息

2)设备的报警功能已开启且处于正常使用状态

4

恶意代码和垃圾邮件防范

a)应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；

1、核查在关键网络节点处是否部署防恶意代码产品等技术措施；

2、核查防恶意代码产品运行是否正常，恶意代码库是否已更新到最新；

3、测试验证相关系统或组件的安全策略是否有效。

如果1)~3)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

1)在网络边界处及部署防恶意代码产品或组件，防恶意代码的功能正常开启且具有对恶意代码检测和清除的功能

2)防恶意代码的特征库进行了开级，且升级时间与测评时间较为接近

b)应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。

1、核查在关键网络节点处是否部署了防垃圾邮件产品等技术措施；

2、核查防垃圾邮件产品运行是否正常，防垃圾邮件规则库是否已经更新到最新；

3、测试验证相关系统或组件的安全策略是否有效。

如果1)~3)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

1）在网络关键节点处部署了防垃投邮件设备的产品或组件，防垃级邮件设备的功能正常开启

2)防垃圾邮件防护机制的进行了升级和更新，且升级时间与测评时间较为接近

3)测试结果显示系统或设备能够对垃圾邮件成功的阻断

5

安全审计

a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

1、核查是否部署了综合安全审计系统或类似功能的系统平台；

2、核查安全审计范围是否覆盖到每个用户；

3、核查是否对重要的用户行为和重要安全事件进行了审计。

如果1)~3)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

1）部署综合安全审计系统或对设备日志进行统一收集。 2）审计范围包括每台设备、每个用户。

3）审计内容包括重要的用户行为（如：登录的成功与失败、增删改帐户、重要的业务操作等），以及重要安全事件。

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

如果以上测评实施内容为肯定，则符合本测评单元指标要求，否则不符合本测评单

元指标要求。

审计记录包含了事件的日期和时间、用户、事件类型、事件是否成功等信息

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

1、核查是否采取了技术措施对审计记录进行保护；

2、核查是否采取技术措施对审计记录进行定期备份，并核查其备份策略。

如果1)和2)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

1）由专人管理审计记录，无删改特定审计记录的权限。 2）设置日志服务器对审计记录进行收集、存储，或定期手动备份审计记录。

d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

核查是否对远程访问用户及互相联网访问用户行为单独进行审计分析。

如果以上测评实施内容为肯定，则符合本测评单元指标要求，否则不符合本测评单

元指标要求。

在网络边界处的审计系统对远程访问的用户行为进行了审计,审计系统对访问互联网的行为进行了单独的审计

6

可信验证

a)可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

1、核查是否基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证；

2、核查是否在应用程序的关键执行环节进行动态可信验证；

3、测试验证当检测到边界设备的可信性受到破坏后是否进行报警；

4、测试验证结果是否以审计记录的形式发送至安全管理中心。

如果1)~4)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评

单元指标要求。

1)边界设备（网闸、防火墙、交换机、路由器或其他边界防护设备）具有可信根芯片或硬件

2)启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证度量

3)在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心

4) 安全管理中心可以接收设备的验证结果记录