freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

網絡安全等級保護基本要求之安全管理中心
2020-04-18 16:25:18

安全通用可分為技術類要求和管理類要求,其中技術要求包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心; 管理要求包括安全管理制度、安全管理機構、安全管理人員 、安全建設管理和安全運維管理。

image.png網絡安全等級保護2.0提出“一個中心,三重防護”的動態防御體系,安全管理中心面向整個等級保護對象,從系統管理/審計管理/安全管理/集中管控四個控制點提出相關要求。

第三級安全通用要求——安全管理中心這一安全類共包括4個控制點,每個控制點包含的條款數如下:

控制點 條款數 控制點 條款數
系統管理 2 安全管理 2
審計管理 2 集中管控 6
?

系統管理【條款】

a)?應對系統管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統管理操作,并對這些操作進行審計;

b)?應通過系統管理員對系統的資源和運行進行配置、控制和管理,包括用戶身份、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等。

審計管理【條款】

a)?應對審計管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全審計操作,并對這些操作進行審計;

b)?應通過審計管理員對審計記錄應進行分析,并根據分析結果進行處理,包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。

安全管理【條款】

a)?應對安全管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全管理操作,并對這些操作進行審計;

b)?應通過安全管理員對系統中的安全策略進行配置,包括安全參數的設置,主體、客體進行統一安全標記,對主體進行授權,配置可信驗證策略等。

【條款導讀】

?

系統管理、安全管理、審計管理三個控制點分別是針對系統管理員、安全管理員、審計員的身份鑒別、權限限制、安全審計以及職責劃分方面的安全要求,6條要求條款主要強調的是具有權限的用戶的特權管理及審計工作。

身份鑒別、權限限制、安全審計方面【各控制點條款a)】對系統管理員、安全管理員、審計員進行身份鑒別要求,此處只要求進行身份鑒別與安全計算環境中各類設備對系統管理員的身份鑒別要求一致,只是進行集中的統計分析;對系統管理員、安全管理員、審計員進行權限限制要求通過特定的命令或操作界面進行其職責范圍內的操作,并對他們的操作記錄進行及時的審計。

(注:特定的命令或操作界面中的任一種均可,目的是為限制管理員隨便進入后臺執行操作。)

【各控制點條款b)】對用戶職責進行要求,系統管理員對系統的一些關鍵性操作來操作,系統的資源和運行進行配置、控制和管理,而其他用戶則沒有相關權限進行此類操作。審計管理員主要職責在于審計分析,重點是對審計記錄的存儲、管理和查詢,即日志留存和保護工作,6個月全流量全操作日志可查詢,有備份,并進行完整性保護,避免被修改等。安全管理員主要負責安全策略的配置,參數設置,安全標記(非強制要求),授權以及安全配置檢查和保存等。(注:條款b)中與系統是否配置了安全標記并無直接的關系。)

集中管控【條款】

a)?應劃分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控;

b)?應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理;

c)?應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測;

d)?應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求;

e)?應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理;

f)?應能對網絡中發生的各類安全事件進行識別、報警和分析。

【條款導讀】

集中管控是安全管理中心的核心要點,也是等級保護2.0“一個中心,三重防護”中的“中心”部分的核心。本控制點偏向日常安全運維,主要包括集中管理區域、策略管理、漏洞管理、日志管理、安全事件管理。帶外網管是指通過專門的網管通道實現對網絡的管理,將網管數據與業務數據分開,為網管數據建立獨立通道。在這個通道中,只傳輸管理數據、統計信息、計費信息等,網管數據與業務數據分離,可以提高網管的效率與可靠性,也有利于提高網管數據的安全性。

條款a)要求網絡中劃分一個相對獨立的網絡管理區域,針對全網中的安全設備和安全組件,將其管理接口和數據單獨劃分到網絡管理區域中,與生產網分離,實現獨立且集中的管理;

條款b)是指為安全地對全網中的安全設備和安全組件進行管理,保證管理通信路徑的安全性,可通過帶外管理或通過加密技術對通信路徑中的信息進行加密的方式來保證信息傳輸路徑的安全性;

條款c)要求對網絡鏈路、網絡設備、安全設備、服務器及應用系統的運行狀態進行集中實時監控,可部署具備運行狀態監測功能的系統或設備;

條款d)要求對網絡中網絡設備、安全設備、服務器及應用系統的所有日志進行集中的收集分析,并保證審計記錄至少保持6個月以上;

條款e)要求實現對各類型設備安全策略(安全配置參數信息)的統一管理,設備包括網絡設備、安全設備、服務器(操作系統、數據)等;實現對網絡惡意代碼防護設備、主機操作系統惡意代碼防護軟件的病毒規則庫統一升級策略;實現對各類型設備的補丁升級進行集中管理,設備包括網絡設備、服務器(操作系統、數據庫)及業務應用等;

條款f)要求能夠通過集中管控措施,對基礎網絡平臺范圍內各類安全事件進行實時的識別和分析,并通過聲、光、短信、郵件等措施進行實時報警。

本文作者:, 轉載請注明來自FreeBuf.COM

# 安全管理中心 # 網絡安全等級保護2.0
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网