所谓“一个中心,三重防御",安全管理中心就是这个“中心”,就是纵深防御体系的大脑,即通过安全管理中心实现技术层面的系统管理、审计管理和安全管理,同时对高级别的等级保护对象进行集中管控。这里的安全管理中心既不是一个机构,也不是一个产品,而是一个技术管控枢纽,通过管理区域实现管理,并通过技术工具实现一定程度上的集中管理。
安全管理中心针对整个系统提出了安全管理方面的技术控制要求,通过技术手段实现集中管理,涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。
安全通用要求的安全管理中心部分针对整个系统提出安全管理方面的技术控制要求,主要对象为管理工具、管理模式、管理手段等,涉及的安全控制点包括系统管理、审计管理、安全管理、集中管控。依据《基本要求》,我们可以看到:
安全管理中心在控制点和要求项上的逐级变化,如表所示。
安全管理中心在控制点和要求项上的逐级变化
|
序号 |
控制点 |
一级 |
二级 |
三级 |
四级 |
|
1 |
系统管理 |
2 |
2 |
2 |
2 |
|
2 |
审计管理 |
2 |
2 |
2 |
2 |
|
3 |
安全管理 |
0 |
2 |
2 |
2 |
|
4 |
集中管理 |
0 |
0 |
6 |
7 |
安全管理中心的基本要求一至四级,详情见下表
| 安全管理中心 | 安全管理中心 | 安全管理中心 | 安全管理中心 |
| 系统管理 | 系统管理 | 系统管理 | 系统管理 |
| 本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
| — | a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; | a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; | a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; |
| — | b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 | b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 | b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 |
| 审计管理 | 审计管理 | 审计管理 | 审计管理 |
| 本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
| — | a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; | a)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; | a)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; |
| — | b) 应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 | b)应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 | b)应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 |
| 安全管理 | 安全管理 | 安全管理 | 安全管理 |
| 本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
| — | — | a)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计; | a)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计; |
| — | — | b)应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 | b)应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 |
| 集中管控 | 集中管控 | 集中管控 | 集中管控 |
| 本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
| — | — | a)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; | a)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; |
| — | — | b)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理; | b)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理; |
| — | — | c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; | c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; |
| — | — | d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; | d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; |
| — | — | e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; | e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; |
| — | — | f)应能对网络中发生的各类安全事件进行识别、报警和分析。 | f)应能对网络中发生的各类安全事件进行识别、报警和分析; |
| — | — | — | g)应保证系统范围内的时间由唯一确定的时钟产生,以保证各种数据的管理和分析在时间上的一致性。 |
原文始发于微信公众号(河南等级保护测评):网络安全等级保护基本要求之安全管理中心
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论