安全區域邊界
控制點
6.可信驗證
可參看(安全通信網絡-3.可信驗證),這里的設備對象是實現邊界防護作用的設備,可能包括網閘、防火牆、交換機、路由器等。
安全要求:可基於可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證,並在應用程序的關鍵執行環節進行動態可信驗證,在檢測到其可信性受到破壞后進行報警,並將驗證結果形成審計記錄送至安全管理中心。
要求解讀:邊界設備可能包括網閘、防火牆、交換機、路由器或其他邊界防護設備等,通過設備的啟動過程和運行過程中對預裝軟件(包括系統引導程序、系統程序、相關應用程序和重要配置參數)的完整性驗證或檢測,確保對系統引導程序、系統程序、重要配置參數和關鍵應用程序的篡改行為能被發現,並報警便於后續的處置動作。
檢查方法
1.應檢查是否基於可信根對設備的系統引導程序、系統程序、重要配置參數和關鍵應用程序等進行可信驗證。
2.檢查是否在應用程序的關鍵執行環節進行動態可信驗證。
3.測試驗證當檢測到設備的可信性受到破壞后是否進行報警。
4.測試驗證結果是否以審計記錄的形式送至安全管理中心。
測評對象
邊界防護設備
期望結果
1.邊界設備(網閘、防火牆、交換機、路由器或其他邊界防護設備)具有可信根芯片或硬件;
2.啟動過程基於可信根對系統引導程序系統程序、重要配置參數和關鍵應用程序等進行可信驗證度量;
3.在檢測到其可信性受到破壞后進行報警,並將驗證結果形成審計記錄送至安全管理中心;
4.安全管理中心可以接收設備的驗證結果記錄。