网络安全、信息安全 | 等保测评之“安全管理中心“。

     一、概述


       按照“-个中心,三重防御”的纵深防御思想,安全管理中心就是纵深防御体系的大脑,即通过安全管理中心实现技术层面的系统管理、审计管理和安全管理,同时对高级别的等级保护对象进行集中管控。


       这里的安全管理中心既不是一个机构,也不是一个产品,而是一个技术管控枢纽,通过管理区域实现管理,并通过技术工具实现--定程度上的集中管理。


       安全管理中心针对整个系统提出了安全管理方面的技术控制要求,通过技术手段实现集中管理,涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。


       在原等保1.0中技术要求部分没有单独设立章节对安全管理中心进行要求,只在“管理要求→系统运维管理下→监控管理和安全管理中心”一节中提到“应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理”。


       在等级保护2.0的整体变化中,单独设立“安全管理中心”章节,强化安全管理中心的概念,突出安全管理中心在信息安全等级保护建设中的重要性。






      二、新增条款详解


       在等级保护2.0“安全管理中心”章节中,“系统管理”、“审计管理”和“安全管理”三小节中对分别对系统管理员、审计管理员和安全管理员的管理主体、权限控制和管控过程提出明确要求,同时要求安全管理中心内的管理系统符合“三权分立”权限管理模式,并在“集中管控”小节中对管理系统需要符合的集中管控功能进行了规定。




      1、系统管理




       在“系统管理”这一小节中,要求安全管理中心内的管理系统应具备对系统管理员的身份鉴别、特定命令和操作界面控制和操作审计等功能,并要求系统管理员作为系统资源和运行配置的唯一主体。




       >>>对企业、安全厂家、系统集成商提出的要求:



        1)、 集成商进行整体架构设计时,应合理设置安全管理中心,且安全管理中心内的管理系统应具备系统管理员配置和管控的相应功能;


        2) 、企业或集成商在系统配置时,应确保系统管理员作为唯一主体通过安全管理中心进行系统配置;


       3) 、安全厂家在进行产品选用和开发时,应采用管理权限模块化设计且符合系统管理要求的管理系统对管理主体、权限和对象进行控制,确保系统管理安全性。



      2、审计管理





       在“审计管理”这一小节中,要求安全管理中心内的管理系统应具备对审计管理员的身份鉴别、特定命令和操作界面控制和操作审计等功能,并要求审计管理员作为审计记录分析和管控的唯一主体。




        >>>对企业、安全厂家、系统集成商提出的要求:


       1) 、 集成商进行整体架构设计时,应合理设置安全管理中心,且安全管理中心内的管理系统应具备审计管理员配置和管控的相应功能;


      2) 、企业或集成商在进行审计记录分析和管控时,应确保审计管理员作为唯一主体进行分析和管控,设定安全审计策略;


       3) 、安全厂家在进行产品选用和开发时,应采用管理权限模块化设计且符合审计管理要求的管理系统对审计记录和审计策略等进行控制,确保系统审计管控过程安全性。



      三、安全管理






       在“安全管理”这一小节中,要求安全管理中心内的管理系统应具备对安全管理员的身份鉴别、特定命令和操作界面控制和操作审计等功能,并要求安全管理员作为系统安全参数设定、主客体标记、授权和可信验证策略配置的唯一主体。



        >>>对企业、安全厂家、系统集成商提出的要求:


       1) 、集成商进行整体架构设计时,应合理设置安全管理中心,且安全管理中心内的管理系统应具备安全管理员配置和管控的相应功能;

       2) 、企业或集成商在进行系统安全参数设定、主客体安全标记和安全策略配置时,应确保安全管理员作为唯一主体进行配置;

       3) 、安全厂家在进行产品选用和开发时,应采用管理权限模块化设计且符合安全管理要求的管理系统对安全管理员管控过程、系统安全策略配置等进行控制,确保系统安全管理过程安全性。




      4、集中管控





      “集中管控”这一小节中,在原等级保护1.0“应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理”要求的基础上增加


      “a)、应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控”、

      “b)、应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理”、

      “f)、应能对网络中发生的各类安全事件进行识别、报警和分析”三个要求,明确安全管理中心在系统网络架构上的独立地位,对管理传输链路通信安全性提出要求,同时要求具备对网络安全事件的分析和告警能力。




      >>>高风险强调:


      要求项中,对各类设备运行状况的集中监测、各类设备审计数据汇总分析和留存时间要求属于高风险项。



       >>>对企业、安全厂家、系统集成商提出的要求:


       1) 、对集成商而言,应在整体网络架构设计中考量安全管理中心区域设立位置,能够实现对各安全设备/组件的集中监控,且安全管理中心各组件应能够满足集中管控的各项要求;


        2) 、对企业来说,在系统建设时应充分考虑安全管理中心建设相关预算经费,并在日常运维过程中采用集中管控的方式进行安全设备/组件管控、设备状态监控、日志分析、安全策略管控和安全事件分析;


       3)、 安全厂家在进行安全管理中心内管理系统产品开发和选用时,应采用符合集中管控各项技术要求的安全产品,在设备通信加密、日志存储、策略集中管控和安全事件分析等各方面满足相关管控要求。





下一条:北京博物馆网上展览汇总(附线上参观入口)
Copyright 2015-2035 西安越影信息技术有限公司 YUEYINGIT.COM | 陕ICP备2020016252号-1
客服QQ:58155571
Top