安全子类--边界防护

a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；

一、测评对象

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件

二、测评实施

1)应核查在网络边界处是否部署访问控制设备；

2) 应核查设备配置信息是否指定端口进行跨越边界的网络通信，指定端口是否配置并启用了安全策略；

3) 应采用其他技术手段（如非法无线网络设备定位、核查设备配置信息等）核查或测试验证是否不存在其他未受控端口进行跨越边界的网络通信。

三、单元判定

如果1）-3）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

四、高风险判定

【互联网边界访问控制设备不可控】判例内容：互联网边界访问控制设备无管理权限，且无其他边界防护措施的，难以保证边界防护的有效性，也无法根据业务需要或所发生的安全事件及时调整访问控制策略，可判定为高风险。

适用范围：所有系统。

满足条件（同时）：1、互联网边界访问控制设备无管理权限；2、无其他任何有效访问控制措施；3、无法根据业务需要或所发生的安全事件及时调整访问控制策略。

【互联网边界访问控制不当】判例内容：互联网出口无任何访问控制措施，或访问控制措施配置失效，存在较大安全隐患，可判定为高风险。

适用范围：所有系统。

满足条件（任意条件）：

1、互联网出口无任何访问控制措施。2、互联网出口访问控制措施配置不当，存在较大安全隐患。3、互联网出口访问控制措施配置失效，无法起到相关控制功能。

b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制；

一、测评对象

终端管理系统或相关设备

二、测评实施

1) 应核查是否采用技术措施防止非授权设备接入内部网络；

2) 应核查所有路由器和交换机等相关设备闲置端口是否均已关闭。

三、单元判定

如果1）-2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

四、高风险判定

判例内容：非授权设备能够直接接入重要网络区域，如服务器区、管理网段等，且无任何告警、限制、阻断等措施的，可判定为高风险。

适用范围：3级及以上系统。

满足条件（同时）：1、3级及以上系统；2、机房、网络等环境不可控，存在非授权接入可能；3、可非授权接入网络重要区域，如服务器区、管理网段等；4、无任何控制措施，控制措施包括限制、检查、阻断等。

c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制；

一、测评对象

终端管理系统或相关设备

二、测评实施

应核查是否采用技术措施防止内部用户存在非法外联行为；

三、单元判定

如果以上测评实施内容为肯定，则符合本测评单元指标要求，否则不符合本测评单元指标要求。

四、高风险判定

判例内容：核心重要服务器设备、重要核心管理终端，如无法对非授权联到外部网络的行为进行检查或限制，或内部人员可旁路、绕过边界访问控制设备私自外联互联网，可判定为高风险。

适用范围：3级及以上系统。

满足条件（同时）：1、3级及以上系统；2、机房、网络等环境不可控，存在非授权外联可能；3、对于核心重要服务器、重要核心管理终端存在私自外联互联网可能；4、无任何控制措施，控制措施包括限制、检查、阻断等。

d) 应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。

一、测评对象

网络拓扑和无线网络设备

二、测评实施

1) 应核查无线网络的部署方式，是否单独组网后再连接到有线网络；

2) 应核查无线网络是否通过受控的边界防护设备接入到内部有线网络。

三、单元判定

如果1）-2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

四、高风险判定

判例内容：内部核心网络与无线网络互联，且之间无任何管控措施，一旦非授权接入无线网络即可访问内部核心网络区域，存在较大安全隐患，可判定为高风险。

适用范围：3级及以上系统。

满足条件（同时）：1、3级及以上系统；2、内部核心网络与无线网络互联，且不通过任何受控的边界设备，或边界设备控制策略设置不当；3、非授权接入无线网络将对内部核心网络带来较大安全隐患。

安全子类--访问控制

a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；

一、测评对象

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件

二、测评实施

1)应核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略；

2)应核查设备的最后一条访问控制策略是否为禁止所有网络通信。

三、单元判定

如果1）-2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

四、高风险判定

判例内容：与互联网互连的系统，边界处如无专用的访问控制设备或配置了全通策略，可判定为高风险。

适用范围：所有系统。

满足条件（任意条件）：1、互联网出口无任何访问控制措施。2、互联网出口访问控制措施配置不当，存在较大安全隐患。3、互联网出口访问控制措施配置失效，启用透明模式，无法起到相关控制功能。

b) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；

一、测评对象

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件

二、测评实施

1) 应核查是否不存在多余或无效的访问控制策略；

2) 应核查不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理。

三、单元判定

如果1）-2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；

一、测评对象

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件

二、测评实施

1) 应核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数；

2) 应测试验证访问控制策略中设定的相关配置参数是否有效。

三、单元判定

如果1）-2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；

一、测评对象

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件

二、测评实施

1) 应核查是否根据会话状态信息对数据流进行控制，为进出数据流提供明确的允许/拒绝访问的能力；

2) 应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力。

三、单元判定

如果1）-2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

一、测评对象

第二代防火墙等提供应用层访问控制功能的设备或相关组件

二、测评实施

1) 应核查是否部署访问控制设备并启用访问控制策略；

2) 应测试验证设备访问控制策略是否能够对进出网络的数据流实现基于应用协议和应用内容的访问控制。

三、单元判定

如果1）-2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

安全子类--入侵防范

a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

一、测评对象

抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件

二、测评实施

1) 应核查相关系统或组件是否能够检测从外部发起的网络攻击行为；

2) 应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本；

3) 应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点；

4) 应测试验证相关系统或组件的配置信息或安全策略是否有效。

三、单元判定

如果1）-4）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

四、高风险判定

判例内容：关键网络节点（如互联网边界处）未采取任何防护措施，无法检测、阻止或限制互联网发起的攻击行为，可判定为高风险。

适用范围：3级及以上系统。

满足条件（同时）：1、3级及以上系统；2、关键网络节点（如互联网边界处）无任何入侵防护手段（如入侵防御设备、云防、WAF等对外部网络发起的攻击行为进行检测、阻断或限制）。

b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；

一、测评对象

抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件

二、测评实施

1) 应核查相关系统或组件是否能够检测到从内部发起的网络攻击行为；

2) 应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本；

3) 应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点；

4) 应测试验证相关系统或组件的配置信息或安全策略是否有效。

三、单元判定

如果1）-4）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

四、高风险判定

判例内容：关键网络节点（如核心服务器区与其他内部网络区域边界处）未采取任何防护措施，无法检测、阻止或限制从内部发起的网络攻击行为，可判定为高风险。

适用范围：3级及以上系统。

满足条件（同时）：1、3级及以上系统；2、关键网络节点（如核心服务器区与其他内部网络区域边界处）无任何入侵防护手段（如入侵防御、防火墙等对内部网络发起的攻击行为进行检测、阻断或限制）。

c) 应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；

一、测评对象

抗APT攻击系统、网络回溯系统和威胁情报检测系统或相关组件

二、测评实施

1) 应核查是否部署相关系统或组件对新型网络攻击进行检测和分析；

2) 应测试验证是否对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析。

三、单元判定

如果1）- 2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

d) 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。

一、测评对象

抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件

二、测评实施

1) 应核查相关系统或组件的记录是否包括攻击源IP、攻击类型、攻击目标、攻击时间等相关内容；

2) 应测试验证相关系统或组件的报警策略是否有效。

三、单元判定

如果1）-2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

安全子类--恶意代码和垃圾邮件防范

a) 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；

一、测评对象

防病毒网关和UTM等提供防恶意代码功能的系统或相关组件

二、测评实施

1) 应核查在关键网络节点处是否部署防恶意代码产品等技术措施；

2) 应核查防恶意代码产品运行是否正常，恶意代码库是否已经更新到最新；

3) 应测试验证相关系统或组件的安全策略是否有效。

三、单元判定

如果1）-3）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

四、高风险判定

判例内容：主机和网络层均无任何恶意代码检测和清除措施的，可判定为高风险。

适用范围：所有系统。

满足条件（同时）：1、主机层无恶意代码检测和清除措施；2、网络层无恶意代码检测和清除措施。

b) 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。

一、测评对象

防垃圾邮件网关等提供防垃圾邮件功能的系统或相关组件

二、测评实施

1) 应核查在关键网络节点处是否部署了防垃圾邮件产品等技术措施；

2) 应核查防垃圾邮件产品运行是否正常，防垃圾邮件规则库是否已经更新到最新；

3) 应测试验证相关系统或组件的安全策略是否有效。

三、单元判定

如果1）-3）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

安全子类--安全审计

a) 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

一、测评对象

综合安全审计系统等

二、测评实施

1) 应核查是否部署了综合安全审计系统或类似功能的系统平台；

2) 应核查安全审计范围是否覆盖到每个用户；

3) 应核查是否对重要的用户行为和重要安全事件进行了审计。

三、单元判定

如果 1）-3）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

四、高风险判定

判例内容：在网络边界、重要网络节点无任何安全审计措施，无法对重要的用户行为和重要安全事件进行日志审计，可判定为高风险。

适用范围：所有系统。

满足条件：在网络边界、重要网络节点无法对重要的用户行为和重要安全事件进行日志审计。

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

一、测评对象

综合安全审计系统等

二、测评实施

应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

三、单元判定

如果以上测评实施内容为肯定，则符合本测评单元指标要求，否则不符合本测评单元指标要求。

c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

一、测评对象

综合安全审计系统等

二、测评实施

1) 应核查是否采取了技术措施对审计记录（主要还是针对重要的用户行为和重要安全事件）进行保护；

2) 应核查是否采取技术措施对审计记录进行定期备份，并核查其备份策略。

三、单元判定

如果 1）-2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

四、高风险判定

判例内容：《网络安全法》要求“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”；因此，如相关设备日志留存不满足法律法规相关要求，可判定为高风险。

适用范围：3级及以上系统。

满足条件：1、3级及以上系统；2、对网络运行状态、网络安全事件等日志的留存不满足法律法规规定的相关要求（不少于六个月）。

d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

一、测评对象

上网行为管理系统或综合安全审计系统

二、测评实施

应核查是否对远程访问用户及互联网访问用户行为单独进行审计分析。

三、单元判定

如果以上测评实施内容为肯定，则符合本测评单元指标要求，否则不符合本测评单元指标要求。

安全子类--可信验证

可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

一、测评对象

提供可信验证的设备或组件、提供集中审计功能的系统

二、测评实施

1) 应核查是否基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证；

2) 应核查是否在应用程序的关键执行环节进行动态可信验证；

3) 应测试验证当检测到边界设备的可信性受到破坏后是否进行报警；

4) 应测试验证结果是否以审计记录的形式送至安全管理中心。

三、单元判定

如果1）-4）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

安全子类--访问控制（云计算安全扩展要求）

a) 应在虚拟化网络边界部署访问控制机制，并设置访问控制规则；

一、测评对象

访问控制机制、网络边界设备和虚拟化网络边界设备

二、测评实施

1) 应核查是否在虚拟化网络边界部署访问控制机制，并设置访问控制规则；

2) 应核查并测试验证云计算平台和云服务客户业务系统虚拟化网络边界访问控制规则和访问控制策略是否有效；

3) 应核查并测试验证云计算平台的网络边界设备或虚拟化网络边界设备安全保障机制、访问控制规则和访问控制策略等是否有效；

4) 应核查并测试验证不同云服务客户间访问控制规则和访问控制策略是否有效；

5) 应核查并测试验证云服务客户不同安全保护等级业务系统之间访问控制规则和访问控制策略是否有效。

三、单元判定

如果1）-5)均为肯定，则符合本单元测评指标要求，否则不符合或部分符合本单元测评指标要求。

四、高风险判例

判例内容：无

b) 应在不同等级的网络区域边界部署访问控制机制，设置访问控制规则。

一、测评对象

网闸、防火墙、路由器和交换机等提供访问控制功能的设备

二、测评实施

1) 应核查是否在不同等级的网络区域边界部署访问控制机制，设置访问控制规则；

2) 应核查不同安全等级网络区域边界的访问控制规则和访问控制策略是否有效；

3) 应测试验证不同安全等级的网络区域间进行非法访问时，是否可以正确拒绝该非法访问。

三、单元判定

如果1）-3)均为肯定，则符合本单元测评指标要求，否则不符合或部分符合本单元测评指标要求。

四、高风险判例

判例内容：无

安全子类--入侵防范（云计算安全扩展要求）

a) 应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；

一、测评对象

抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件

二、测评实施

1) 应核查是否采取了入侵防范措施对网络入侵行为进行防范，如部署抗APT攻击系统、网络回溯系统和网络入侵保护系统等入侵防范设备或相关组件；

2) 应核查部署的抗APT攻击系统、网络入侵保护系统等入侵防范设备或相关组件的规则库升级方式，核查规则库是否进行及时更新；

3) 应核查部署的抗APT攻击系统、网络入侵保护系统等入侵防范设备或相关组件是否具备异常流量、大规模攻击流量、高级持续性攻击的检测功能，以及报警功能和清洗处置功能；

4) 应验证抗APT攻击系统、网络入侵保护系统等入侵防范设备或相关组件对异常流量和未知威胁的监控策略是否有效（如模拟产生攻击动作，验证入侵防范设备或相关组件是否能记录攻击类型、攻击时间、攻击流量）；

5) 应验证抗APT攻击系统、网络入侵保护系统等入侵防范设备或相关组件对云服务客户网络攻击行为的报警策略是否有效（如模拟产生攻击动作，验证抗APT攻击系统或网络入侵保护系统是否能实时报警）；

6) 应核查抗APT攻击系统、网络入侵保护系统等入侵防范设备或相关组件是否具有对SQL注入、跨站脚本等攻击行为的发现和阻断能力；

7) 应核查抗APT攻击系统、网络入侵保护系统等入侵防范设备或相关组件是否能够检测出具有恶意行为、过分占用计算资源和带宽资源等恶意行为的虚拟机；

8) 应核查云管理平台对云服务客户攻击行为的防范措施，核查是否能够对云服务客户的网络攻击行为进行记录，记录应包括攻击类型、攻击时间和攻击流量等内容；

9) 应核查云管理平台或入侵防范设备是否能够对云计算平台内部发起的恶意攻击或恶意外连行为进行限制，核查是否能够对内部行为进行监控；

10) 通过对外攻击发生器伪造对外攻击行为，核查云租户的网络攻击日志，确认是否正确记录相应的攻击行为，攻击行为日志记录是否包含攻击类型、攻击时间、攻击者IP和攻击流量规模等内容；

11) 应核查运行虚拟机监控器（VMM）和云管理平台软件的物理主机，确认其安全加固手段是否能够避免或减少虚拟化共享带来的安全漏洞。

三、单元判定

如果1）-11)均为肯定，则符合本单元测评指标要求，否则不符合或部分符合本单元测评指标要求。

四、高风险判例

判例内容：无

b) 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；

一、测评对象

抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件

二、测评实施

1) 应核查是否部署网络攻击行为检测设备或相关组件对虚拟网络节点的网络攻击行为进行防范，并能记录攻击类型、攻击时间、攻击流量等；

2) 应核查网络攻击行为检测设备或相关组件的规则库是否为最新；

3) 应测试验证网络攻击行为检测设备或相关组件对异常流量和未知威胁的监控策略是否有效。

三、单元判定

如果1）-3)均为肯定，则符合本单元测评指标要求，否则不符合或部分符合本单元测评指标要求。

四、高风险判例

判例内容：无

c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量；

一、测评对象

虚拟机、宿主机、抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件

二、测评实施

1) 应核查是否具备虚拟机与宿主机之间、虚拟机与虚拟机之间的异常流量的检测功能；

2) 应测试验证对异常流量的监测策略是否有效。

三、单元判定

如果1）-2)均为肯定，则符合本单元测评指标要求，否则不符合或部分符合本单元测评指标要求。

四、高风险判例

判例内容：无

d) 应在检测到网络攻击行为、异常流量情况时进行告警。

一、测评对象

虚拟机、宿主机、抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件

二、测评实施

1) 应核查检测到网络攻击行为、异常流量时是否进行告警；

2) 应测试验证其对异常流量的监测策略是否有效。

三、单元判定

如果1）-2)均为肯定，则符合本单元测评指标要求，否则不符合或部分符合本单元测评指标要求。

四、高风险判例

判例内容：无

安全子类--安全审计（云计算安全扩展要求）

a) 应对云服务商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启；

一、测评对象

堡垒机或相关组件

二、测评实施

1) 应核查云服务商（含第三方运维服务商）和云服务客户在远程管理时执行的远程特权命令是否有相关审计记录；

2) 应测试验证云服务商或云服务客户远程删除或重启虚拟机后，是否有产生相应审计记录。

三、单元判定

如果1）-2)均为肯定，则符合本单元测评指标要求，否则不符合或部分符合本单元测评指标要求。

四、高风险判例

判例内容：无

b) 应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。

一、测评对象

综合审计系统或相关组件

二、测评实施

1) 应核查是否能够保证云服务商对云服务客户系统和数据的操作（如增、删、改、查等操作）可被云服务客户审计；

2) 应测试验证云服务商对云服务客户系统和数据的操作是否可被云服务客户审计。

三、单元判定

如果1）-2）均为肯定，则符合本单元测评指标要求，否则不符合或部分符合本单元测评指标要求。

四、高风险判例

判例内容：无