安全區域邊界
控制點
4.惡意代碼和垃圾郵件防范
惡意代碼是指懷有惡意目的可執行程序,計算機病毒、木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重要。惡意代碼的傳播方式在迅速地演化,目前惡意代碼主要都是通過網頁、郵件等網絡載體進行傳播,惡意代碼防范的形勢越來越嚴峻。另外,隨着郵件的廣泛使用,垃圾郵件也成為重點關注的安全問題,垃圾郵件是指電子郵件使用者事先未提出要求或同意接收的電子郵件,垃圾郵件會造成郵件服務的不可用,也可能傳播惡意代碼,進行網絡詐騙,散布非法信息等,嚴重影響業務的正常運行。因此需要采取技術手段對惡意代碼及垃圾郵件加以重點防范。
a)*
安全要求:應在關鍵網絡節點處對惡意代碼進行檢測和清除,並維護惡意代碼防護機制的升級和更新。
要求解讀:計算機病毒、木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重要。惡意代碼是指懷有惡意目的可執行程序。目前惡意代碼主要都是通過網頁、郵件等網絡載體進行傳播。因此在網絡邊界處部署防惡意代碼產品進行惡意代碼防范是最為直接和高效的辦法。
防惡意代碼產品目前主要包括防病毒網關,包含防病毒模塊的多功能安全網關等產品。其至少應具備的功能包括:對惡意代碼的分析檢查能力,對惡意代碼的清除或阻斷能力,以及發現惡意代碼后記錄日志和審計,並包含對惡意代碼特征庫的升級和檢測系統的更新能力。
惡意代碼具有特征變化快的特點。因此對於惡意代碼檢測重要的特征庫更新,以及監測系統自身的更新,都非常重要。
產品應具備通過多種方式實現惡意代碼特征庫和檢測系統更新的能力。如自動遠程更新,手動遠程更新,手動本地更新等方式。
檢查方法
1.應訪談網絡管理員和檢查網絡拓撲結構,查看在網絡邊界處是否部署了防惡意代碼產品。如果部署了相關產品,則查看是否啟用了惡意代碼檢測及阻斷功能,並查看日志記錄中是否有相關阻斷信息。
2.應訪談網絡管理員,詢問是否對防惡意代碼產品的特征庫進行升級及具體升級方式,並登錄相應的防惡意代碼產品,核查其特征庫升級情況,當前是否為最新版本。
3.應測試驗證相關系統或設備的安全策略是否有效。
測評對象
1.網絡管理員
2.防惡意代碼產品、防惡意代碼特征庫
期望結果
1.在網絡邊界處部署了防惡意代碼的產品或組件,防惡意代碼的功能正常開啟且具有對惡意碼檢測和清除的功能。
2.防惡意代碼的特征庫進行了升級,且升級時間與測評時間較為接近。
高風險判定
同時滿足以下條件即可判定為高風險:
(二級及以上系統)
1.主機層無惡意代碼檢測和清除措施,或惡意代碼庫一個月以上未更新。
2.網絡層無惡意代碼檢測和清除措施,或惡意代碼庫一個月以上未更新。
補償因素:
1.對於使用Linux、Unix、Solaris、CentOS、AIS、Mac等非Windows操作系統的二級系統,主機和網絡層均未部署惡意代碼檢測和清除產品,可從總體防御措施,惡意代碼入侵的可能性等角度進行綜合分析,酌情判定風險等級。
2.與互聯網完全物理隔離或強邏輯隔離的系統,其網絡環境可控,並采取USB介質管控、部署主機防護軟件,軟件白名單等技術措施,能有效防范惡意代碼進入被測主機或網絡,可根據實際效果酌情判定風險等級。
3.主機設備采用可信基的防控技術,對設備運行環境進行有效度量,可根據實際效果酌情判定風險等級。
b)*
安全要求:應在關鍵網絡節點處對垃圾郵件進行檢測和防護,並維護垃圾郵件防護機制的升級和更新。
要求解讀:垃圾郵件是指電子郵件使用者事先未提出要求或同意接收的電子郵件,應部署相應設備或系統對垃圾郵件進行識別和處理,包括部署透明的防垃圾郵件網關、基於轉發的防垃圾郵件系統、安裝於郵件服務器的防垃圾郵件軟件,以及與郵件服務器一體的防垃圾郵件的郵件服務器並保證規則庫已經更新到最新。
檢查方法
1.應檢查在關鍵網絡節點處是否部署了防垃圾郵件設備或系統。
2.檢查防垃圾郵件產品運行是否正常,防垃圾郵件規則庫是否已經更新到最新。
3.應測試驗證相關系統或設備的安全策略是否有效。
測評對象
防垃圾郵件設備/系統
期望結果
1.在網絡關鍵節點處部署了防垃圾郵件設備的產品或組件,防垃圾郵件設備的功能正常開啟。
2.防垃圾郵件防護機制的進行了升級和更新,且升級時間與測評時間較為接近。
3.測試結果顯示系統或設備能夠對垃圾郵件成功的阻斷。