一、要求内容 

a)应在网络边界部署访问控制设备，启用访问控制功能； 

b)应不允许数据带通用协议通过； 

c)应根据数据的敏感标记允许或拒绝数据通过； 

d)应不开放远程拨号访问功能。 

二、实施建议 

在网络边界处设立防火墙或网闸等设备实施访问控制，配置适当的访问控制策略，只允许必要的网络协议通过，对于要求较高的企业可根据数据的敏感性标记限制通过；对于网络设备一般不建议开启远程拨号功能。 

三、常见问题 

有的企业虽然购买了防火墙等访问控制设备，但没有进行合适的配置，有的甚至就用的默认配置。 

四、实施难点 

通过网络协议和数据标记进行过滤的访问控制设备，对设备的性能要求较高，同时可能会对正常的网络访问速度造成影响。 

五、测评方法 

形式 访谈，检查，测试。 对象 安全管理员，边界网络设备。 

实施 

a)应访谈安全管理员，询问网络访问控制的措施有哪些；询问访问控制策略的设计原则；询问访问控制策略是否做过调整，以及调整后和调整前的情况如何； 

b)应检查边界网络设备，查看是否有相应的访问控制措施来实现禁止数据带通用协议通过； 

c)应测试边界网络设备，可通过发送带通用协议的数据（如使用http隧道工具），测试访问控制措施是否有效阻断这种连接。 

六、参考资料 

ISO17799中对网络安全控制有实施指导： 

11.4.6 网络连接控制 控制： 在公共网络中，尤其是那些延展到组织边界之外的网络，应限制用户联接的能力，并与业务应用系统的访问控制策略和要求一致（见11.1） 实施指南： 访问控制策略要求维护和更新用户的网络访问权力（见11.1.1）。 用户的连接能力可通过网关来限制，该网关借助预先定义的表或规则过滤通信量。

施加限制的应用例子有： 

a） 消息传递，例如电子邮件； 

b） 文件传送； 

c） 交互式访问； 

d） 应用访问。 应考虑将网络访问权力限制到日或日期的确定时间。