6.11　惡意代碼防護

6.11.1　一般要求

6.11.1.1　評估內容

詳見GB/T31168－2014中6.11.1的a）、b）、c）和d）。

6.11.1.2　評估方法

6.11.1.2.1 對a）的評估方法為：

——檢查系統與通信保護策略與規程、系統設計說明書等相關文檔，查看其是否有采用白名單、黑名單或其他方式，在網絡出入口以及系統中的主機、移動計算設備上實施惡意代碼防護機制的內容；

——訪談網絡管理員或安全管理員等相關人員，詢問網絡出入口、系統中的主機、移動計算設備惡意代碼防護機制的實現情況；

——檢查惡意代碼防護模塊的實現機制，查看其是否通過白名單、黑名單、特征庫過濾等方式，在網絡出入口部署惡意代碼設備，是否在網絡、主機及移動計算設備上安裝惡意代碼防護程序；

——檢查網絡中的惡意代碼防護設備及防護模板，查看其是否正確實現惡意代碼防護功能。

6.11.1.2.2 對 b）的評估方法為：

——檢查系統與通信保護策略與規程、系統設計說明書等相關文檔，查看其是否有建立相應維護機制，確保惡意代碼防護機制得到及時更新的內容；

——檢查惡意代碼防護設備的配置，查看是否符合實際的安全需求；

——檢查惡意代碼防護設備的維護更新記錄，如檢查病毒庫的升級記錄，查看維護機制是否得到實施；

——訪談網絡管理員或安全管理員等相關人員，詢問其惡意代碼防護機制建立和更新情況。

6.11.1.2.3 對c）的評估方法為：

——檢查系統與通信保護策略與規程、系統設計說明書、運維計劃等相關文檔，查看其是否定義掃描頻率，是否定義檢測到惡意代碼的舉措；是否包含配置惡意代碼防護機制，對信息系統進行定期掃描及對外部文件（尤其是郵件）進行實時監控掃描的內容；是否包含檢測到惡意代碼后能夠產生告警，并實施處理措施的內容；

——檢查惡意代碼掃描的配置信息，查看其是否按照云服務商定義的頻率定期掃描信息系統，并查看掃描記錄；

——檢查惡意代碼的檢測和處理機制，查看檢測到惡意代碼后是否能夠向管理員實時報警，并查看報警記錄；

——訪談網絡管理員或安全管理員等相關人員，詢問其惡意代碼的掃描、檢測和處理措施。

6.11.1.2.4 對d）的評估方法為：

——檢查系統與通信保護策略與規程、系統設計說明書等相關文檔，查看其是否包含及時掌握系統的惡意代碼誤報率，并分析誤報對信息系統可用性的潛在影響的內容；

——檢查惡意代碼誤報率的分析機制和誤報分析影響記錄，查看云服務商是否及時掌握惡意代碼誤報率，并分析誤報對信息系統可用性的潛在影響；

——訪談網絡管理員或安全管理員等相關人員，詢問其誤報率分析的情況以及誤報對信息系統可用性的影響。

6.11.2　增強要求

6.11.2.1　評估內容

詳見GB/T31168－2014中6.11.2的a）、b）和c）。

6.11.2.2　評估方法

6.11.2.2.1 對a）的評估方法為：

——檢查系統與通信保護策略與規程、系統設計說明書等相關文檔，查看其是否有防止非特權用戶繞過惡意代碼防護的機制；

——檢查惡意代碼防護機制，查看其是否能防止非特權用戶繞過惡意代碼。

6.11.2.2.2 對b）的評估方法為：

——檢查系統與通信保護策略與規程、系統設計說明書等相關文檔，查看其是否有自動更新惡意代碼防護機制；

——檢查網絡中部署的惡意代碼防護設備的特征庫及策略庫版本信息，查看特征庫能否得到及時更新；

——檢查主機、移動設備的惡意代碼防護軟件的版本信息和特征庫信息，查看特征庫能否得到及時更新；

——檢查惡意代碼防護軟件的自動更新記錄，包含版本信息、更新記錄等，驗證其是否按照要求要求運行。

6.11.2.2.3 對c）的評估方法為：

——檢查系統與通信保護策略與規程、系統設計說明書等相關文檔，查看其是否包含集中管理惡意代碼防護機制的內容；

——訪談網絡管理員或安全管理員等相關人員，詢問其對惡意代碼防護進行統一管理的集中管理平臺情況；

——檢查惡意代碼防護的平臺管理機制，查看其是否部署了集中管理平臺對惡意代碼防護進行統一管理。