安全通用可分为技术类要求和管理类要求,其中技术要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心; 管理要求包括安全管理制度、安全管理机构、安全管理人员 、安全建设管理和安全运维管理。
网络安全等级保护2.0提出“一个中心,三重防护”的动态防御体系,安全管理中心面向整个等级保护对象,从系统管理/审计管理/安全管理/集中管控四个控制点提出相关要求。
第三级安全通用要求——安全管理中心这一安全类共包括4个控制点,每个控制点包含的条款数如下:
控制点 | 条款数 | 控制点 | 条款数 |
---|---|---|---|
系统管理 | 2 | 安全管理 | 2 |
审计管理 | 2 | 集中管控 | 6 |
系统管理【条款】
a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
审计管理【条款】
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
安全管理【条款】
a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
【条款导读】
系统管理、安全管理、审计管理三个控制点分别是针对系统管理员、安全管理员、审计员的身份鉴别、权限限制、安全审计以及职责划分方面的安全要求,6条要求条款主要强调的是具有权限的用户的特权管理及审计工作。
身份鉴别、权限限制、安全审计方面【各控制点条款a)】对系统管理员、安全管理员、审计员进行身份鉴别要求,此处只要求进行身份鉴别与安全计算环境中各类设备对系统管理员的身份鉴别要求一致,只是进行集中的统计分析;对系统管理员、安全管理员、审计员进行权限限制要求通过特定的命令或操作界面进行其职责范围内的操作,并对他们的操作记录进行及时的审计。
(注:特定的命令或操作界面中的任一种均可,目的是为限制管理员随便进入后台执行操作。)
【各控制点条款b)】对用户职责进行要求,系统管理员对系统的一些关键性操作来操作,系统的资源和运行进行配置、控制和管理,而其他用户则没有相关权限进行此类操作。审计管理员主要职责在于审计分析,重点是对审计记录的存储、管理和查询,即日志留存和保护工作,6个月全流量全操作日志可查询,有备份,并进行完整性保护,避免被修改等。安全管理员主要负责安全策略的配置,参数设置,安全标记(非强制要求),授权以及安全配置检查和保存等。(注:条款b)中与系统是否配置了安全标记并无直接的关系。)
集中管控【条款】
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
【条款导读】
集中管控是安全管理中心的核心要点,也是等级保护2.0“一个中心,三重防护”中的“中心”部分的核心。本控制点偏向日常安全运维,主要包括集中管理区域、策略管理、漏洞管理、日志管理、安全事件管理。带外网管是指通过专门的网管通道实现对网络的管理,将网管数据与业务数据分开,为网管数据建立独立通道。在这个通道中,只传输管理数据、统计信息、计费信息等,网管数据与业务数据分离,可以提高网管的效率与可靠性,也有利于提高网管数据的安全性。
条款a)要求网络中划分一个相对独立的网络管理区域,针对全网中的安全设备和安全组件,将其管理接口和数据单独划分到网络管理区域中,与生产网分离,实现独立且集中的管理;
条款b)是指为安全地对全网中的安全设备和安全组件进行管理,保证管理通信路径的安全性,可通过带外管理或通过加密技术对通信路径中的信息进行加密的方式来保证信息传输路径的安全性;
条款c)要求对网络链路、网络设备、安全设备、服务器及应用系统的运行状态进行集中实时监控,可部署具备运行状态监测功能的系统或设备;
条款d)要求对网络中网络设备、安全设备、服务器及应用系统的所有日志进行集中的收集分析,并保证审计记录至少保持6个月以上;
条款e)要求实现对各类型设备安全策略(安全配置参数信息)的统一管理,设备包括网络设备、安全设备、服务器(操作系统、数据)等;实现对网络恶意代码防护设备、主机操作系统恶意代码防护软件的病毒规则库统一升级策略;实现对各类型设备的补丁升级进行集中管理,设备包括网络设备、服务器(操作系统、数据库)及业务应用等;
条款f)要求能够通过集中管控措施,对基础网络平台范围内各类安全事件进行实时的识别和分析,并通过声、光、短信、邮件等措施进行实时报警。
来源:freebuf.com 2020-04-18 16:25:18 by: 艾尔等保之道
请登录后发表评论
注册