络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、
POP3等协议命令级的控制；d应在会话处于非活跃一定时间或会话结束后终止网络连接；e应限制网络最大流量数及网络连接数；f重要网段应采取技术手段防止地址欺骗；g应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访
问，控制粒度为单个用户；h应限制具有拨号访问权限的用户数量。1123安全审计（G3）本项要求包括：a应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审
计相关的信息；c应能够根据记录数据进行分析，并生成审计报表；d应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。1124边界完整性检查（S3）本项要求包括：a应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进
行有效阻断；b应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其
进行有效阻断。1125入侵防范（G3）
本项要求包括：a应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服
务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；b当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严
重入侵事件时应提供报警。1126恶意代码防范（G3）
本项要求包括：a应在网络边界处对恶意代码进行检测和清除；b应维护恶意代码库的升级和检测系统的更新。1127网络设备防护（G3）本项要求包括：a应对登录网络设备的用户进行身份鉴别；
5
fb应对网络设备的管理员登录地址进行限制；c网络设备用户的标识应唯一；d主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；e身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；f应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接
超时自动退出等措施；g当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被
窃听；h应实现设备特权用户的权限分离。113主机安全1131身份鉴别（S3）本项要求包括：a应对登录操作系统和数据库系统的用户进行身份标识和鉴别；b操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂
度要求并定期更换；c应启用登录失败处理功能，可采取结束会话、限制非法登录次r