安全区域边界-(四)恶意代码和垃圾邮件防范
安全区域边界
控制点
4.恶意代码和垃圾邮件防范
恶意代码是指怀有恶意目的可执行程序,计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要。恶意代码的传播方式在迅速地演化,目前恶意代码主要都是通过网页、邮件等网络载体进行传播,恶意代码防范的形势越来越严峻。另外,随着邮件的广泛使用,垃圾邮件也成为重点关注的安全问题,垃圾邮件是指电子邮件使用者事先未提出要求或同意接收的电子邮件,垃圾邮件会造成邮件服务的不可用,也可能传播恶意代码,进行网络诈骗,散布非法信息等,严重影响业务的正常运行。因此需要采取技术手段对恶意代码及垃圾邮件加以重点防范。
a)*
安全要求:应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
要求解读:计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要。恶意代码是指怀有恶意目的可执行程序。目前恶意代码主要都是通过网页、邮件等网络载体进行传播。因此在网络边界处部署防恶意代码产品进行恶意代码防范是最为直接和高效的办法。
防恶意代码产品目前主要包括防病毒网关,包含防病毒模块的多功能安全网关等产品。其至少应具备的功能包括:对恶意代码的分析检查能力,对恶意代码的清除或阻断能力,以及发现恶意代码后记录日志和审计,并包含对恶意代码特征库的升级和检测系统的更新能力。
恶意代码具有特征变化快的特点。因此对于恶意代码检测重要的特征库更新,以及监测系统自身的更新,都非常重要。
产品应具备通过多种方式实现恶意代码特征库和检测系统更新的能力。如自动远程更新,手动远程更新,手动本地更新等方式。
检查方法
1.应访谈网络管理员和检查网络拓扑结构,查看在网络边界处是否部署了防恶意代码产品。如果部署了相关产品,则查看是否启用了恶意代码检测及阻断功能,并查看日志记录中是否有相关阻断信息。
2.应访谈网络管理员,询问是否对防恶意代码产品的特征库进行升级及具体升级方式,并登录相应的防恶意代码产品,核查其特征库升级情况,当前是否为最新版本。
3.应测试验证相关系统或设备的安全策略是否有效。
测评对象
1.网络管理员
2.防恶意代码产品、防恶意代码特征库
期望结果
1.在网络边界处部署了防恶意代码的产品或组件,防恶意代码的功能正常开启且具有对恶意码检测和清除的功能。
2.防恶意代码的特征库进行了升级,且升级时间与测评时间较为接近。
高风险判定
同时满足以下条件即可判定为高风险:
(二级及以上系统)
1.主机层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新。
2.网络层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新。
补偿因素:
1.对于使用Linux、Unix、Solaris、CentOS、AIS、Mac等非Windows操作系统的二级系统,主机和网络层均未部署恶意代码检测和清除产品,可从总体防御措施,恶意代码入侵的可能性等角度进行综合分析,酌情判定风险等级。
2.与互联网完全物理隔离或强逻辑隔离的系统,其网络环境可控,并采取USB介质管控、部署主机防护软件,软件白名单等技术措施,能有效防范恶意代码进入被测主机或网络,可根据实际效果酌情判定风险等级。
3.主机设备采用可信基的防控技术,对设备运行环境进行有效度量,可根据实际效果酌情判定风险等级。
b)*
安全要求:应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
要求解读:垃圾邮件是指电子邮件使用者事先未提出要求或同意接收的电子邮件,应部署相应设备或系统对垃圾邮件进行识别和处理,包括部署透明的防垃圾邮件网关、基于转发的防垃圾邮件系统、安装于邮件服务器的防垃圾邮件软件,以及与邮件服务器一体的防垃圾邮件的邮件服务器并保证规则库已经更新到最新。
检查方法
1.应检查在关键网络节点处是否部署了防垃圾邮件设备或系统。
2.检查防垃圾邮件产品运行是否正常,防垃圾邮件规则库是否已经更新到最新。
3.应测试验证相关系统或设备的安全策略是否有效。
测评对象
防垃圾邮件设备/系统
期望结果
1.在网络关键节点处部署了防垃圾邮件设备的产品或组件,防垃圾邮件设备的功能正常开启。
2.防垃圾邮件防护机制的进行了升级和更新,且升级时间与测评时间较为接近。
3.测试结果显示系统或设备能够对垃圾邮件成功的阻断。