安全區域邊界

控制點

6.可信驗證

可參看（安全通訊網路-3.可信驗證），這裡的裝置物件是實現邊界防護作用的裝置，可能包括網閘、防火牆、交換機、路由器等。

安全要求：可基於可信根對邊界裝置的系統載入程式、系統程式、重要配置引數和邊界防護應用程式等進行可信驗證，並在應用程式的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞後進行報警，並將驗證結果形成審計記錄送至安全管理中心。

要求解讀：邊界裝置可能包括網閘、防火牆、交換機、路由器或其他邊界防護裝置等，通過裝置的啟動過程和執行過程中對預裝軟體（包括系統載入程式、系統程式、相關應用程式和重要配置引數）的完整性驗證或檢測，確保對系統載入程式、系統程式、重要配置引數和關鍵應用程式的篡改行為能被發現，並報警便於後續的處置動作。

檢查方法

1.應檢查是否基於可信根對裝置的系統載入程式、系統程式、重要配置引數和關鍵應用程式等進行可信驗證。

2.檢查是否在應用程式的關鍵執行環節進行動態可信驗證。

3.測試驗證當檢測到裝置的可信性受到破壞後是否進行報警。

4.測試驗證結果是否以審計記錄的形式送至安全管理中心。

測評物件

邊界防護裝置

期望結果

1.邊界裝置（網閘、防火牆、交換機、路由器或其他邊界防護裝置）具有可信根晶片或硬體；

2.啟動過程基於可信根對系統載入程式系統程式、重要配置引數和關鍵應用程式等進行可信驗證度量；

3.在檢測到其可信性受到破壞後進行報警，並將驗證結果形成審計記錄送至安全管理中心；

4.安全管理中心可以接收裝置的驗證結果記錄。