1.1测评单元

　　a)测评指标:

　　应保证云计算平台不承载高于其安全保护等级的业务应用系统。

　　b)测评对象:云计算平台和业务应用系统定级备案材料。

　　c)测评实施:

　　应核查云计算平台和云计算平台承载的业务应用系统相关定级备案材料，云计算平台安全保护等级是否不低于其承载的业务应用系统安全保护等级。

　　d)单元判定:如果以上测评实施内容为肯定,则符合本单元测评指标要求，否则不符合本单元测评指标要求。

　　1.2测评单元

　　a)测评指标:

　　应实现不同云服务客户虚拟网络之间的隔离。

　　b)测评对象:网络资源隔离措施，综合网管系统和云管理平台。

　　c)测评实施包括以下内容:

　　1)应核查云服务客户之间是否采取网络隔离措施;

　　2)应核查云服务客户之间是否设置并启用网络资源隔离策略;

　　3)应测试验证不同云服务客户之间的网络隔离措施是否有效。

　　d)单元判定:如果1)~3)均为肯定,则符合本单元测评指标要求,否则不符合或部分符合本单元测评指标要求。

1.1边界防护

a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；

整改建议：建议合理规划网络架构，避免重要网络区域部署在边界处；重要网络区域与其他网络边界处，尤其是外部非安全可控网络、内部非重要网络区域之间边界处应部署访问控制设备，并合理配置相关控制策略，确保控制措施有效。

b)应能够对非授权设备私自联到内部网络的行为进行检查或限制；

整改建议：建议部署能够对违规内联行为进行检查、定位和阻断的安全准入产品。

c)应能够对内部用户非授权联到外部网络的行为进行检查或限制；

整改建议：建议部署能够对违规外联行为进行检查、定位和阻断的安全管理产品。

d)应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络；

整改建议：无特殊需要，内部核心网络不应与无线网络互联；若因业务需要，则建议加强对无线网络设备接入的管控，并通过边界设备对无线网络的接入设备对内部核心网络的访问进行限制，降低攻击者利用无线网络入侵内部核心网络。

2.1访问控制

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；

整改建议:建议对重要网络区域与其他网络区域之间的边界进行梳理，明确访问地址、端口、协议等信息，并通过访问控制设备，合理配置相关控制策略，确保控制措施有效。

b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最化；

整改建议:建议删除多余无效访问控制策略，保证访问控制策略数量合理有效。

c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；

整改建议：建议访问控制策略对数据包源地址、目的地址、源端口、目的端口和协议等进行严格限制，访问控制策略粒度达到端口级。

d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；

整改建议：建议相关安全策略能够根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。

e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

整改建议：建议部署相关安全策略，能够对应用协议和数据包内容进行检测和限制。

3.1入侵防范

a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

整改建议:建议在关键网络节点（如互联网边界处）合理部署可对攻击行为进行检测、阻断或限制的防护设备（如抗APT攻击系统、网络回溯系统、威胁情报检测系统或入侵防护系统等设备），或购买云防等外部抗攻击服务。

b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；

整改建议:建议在关键网络节点处进行严格的访问控制措施，并部署相关的防护设备，检测、防止或限制从内部发起的网络攻击行为（包括其他内部网络区域对核心服务器区的攻击行为、服务器之间的攻击行为、内部网络向互联网目标发起攻击等）。对于服务器之间的内部攻击行为，建议合理划分网络区域，加强不同服务器之间的访问控制，部署主机入侵防范产品，或通过部署流量探针的方式，检测异常攻击流量。

c)应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；

整改建议：建议网络中部署流量分析系统（如态势感知等系统、抗APT攻击系统），对网络流量进行分析。

d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。

整改建议：建议网络中部署流量分析系统，记录网络攻击行为并提供报警功能。

4.1恶意代码防范

a)应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；

整改建议:建议在关键网络节点及主机操作系统上均部署恶意代码检测和清除产品，并及时更新恶意代码库，网络层与主机层恶意代码防范产品宜形成异构模式，有效检测及清除可能出现的恶意代码攻击。

b)应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。

整改建议:建议在关键网络节点部署相关安全设备对垃圾邮件进行检测，有效检测和清除恶意电子邮件。

5）安全审计

a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

整改建议:建议在网络边界、关键网络节点，对重要的用户行为和重要安全事件进行日志审计，便于对相关事件或行为进行追溯。

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

整改建议：建议审计信息包括事件时间、用户、事件详情等重要信息，保证安全事件的可追溯性。

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

整改建议：建议对审计记录定期备份，留存时间六个月以上，保证本地安全事件的可追溯性。

d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

整改建议：建议网络中部署远程访问的VPN设备等，对通过互联网访问的用户的重要行为进行记录和分析。