等级保护测评基本要求安全管理中心笔记

安全管理中心

1.系统管理

a)应对系统管理员进行身份鉴别，只允许通过特定的命令或操作界面进行系统操作，并对这些操作进行审计

b)应通过系统管理员对系统的资源和进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统的异常处理、数据和设备的备份与恢复等

【要求解读】所有的系统管理员登录都需要经过身份认证，以确保系统管理员账户不会被非法使用。同时需要严格限制管理员的管理权限，仅授予管理员完成相关工作所需的最小权限，其管理、操作权限需要与审计管理员和安全管理员形成制约机制。系统管理员只允许通过特定的命令 (start up、shut down等被授权的命令)或操作界面 (如HTTPS等) 进行系统。管理操作管理内容包括用户身份、系统资源配置、系统加载和启动系统的异常处理、数据和设备的备份与恢复等。所有的系统管理操作全部需要进行审计审计措施需要提供存储、管理和查询等功能，审计内容需保存至少6个月以上。

2.审计管理

a)应对审计管理员进行身份鉴别，只允许通过特定的命令或操作界面进行审计操作，并对这些操作进行审计

b)应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等

【要求解读】

所有的审计管理行为都需要经过身份认证，以确保审计管理员账户不会被非法使用。同时需要严格限制审计管理员的管理权限，仅授予审计管理员完成相关工作所需的最小权限，其管理操作权限需要与系统管理员和安全管理员形成制约机制。

所有的审计管理操作需要仅由审计管理员完成。审计管理员仅允许通过特定方式进行审计管理操作，如通过使用口今、证书等身份鉴别技术合法授权后，通过特定的命今(SSH)或操作界面 (HTTPS)进行安全审计操作，对所有操作进行详细的审计记录。保证至少6个月全流量全操作日志可查询、有备份和有完整性保护措施等。

3.安全管理

a)应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计

b)应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标识，对主体进行授权，配置可信验证等

【要求解读】

所有的安全管理行为都需要经过身份认证，以确保审计管理员账户不会被非法使用。同时需要严格限制审计管理员的管理权限，仅授予审计管理员完成相关工作所需的最小权限，其管理操作权限需要与系统管理员和安全管理员形成制约机制。

所有的安全管理操作需要仅由审计管理员完成。安全管理员只允许通过特定命令(SSH)操作界面(HTTPS)进行安全管理操作，并对所有操作进行详细的审计记录。

4.集中管控

a)应划分处特定的管理区域，对分布在网络中的安全设备或安全组件进行管控

【要求解读】为了实现对全网中所有设备或组件进行集中管控，需要在网络中划分独立的网络区域，用于部署集中管控设备或组件。集中管控措施包括集中监控系统、集中身份认证系统、集中审计系统和集中安全策略管理系统等。

【实施方法】

1)核查网络中单独划分了网络区域，用于部署安全系统或组件

2)通过该独立的网络区域，实现对全网安全措施的管理。

b）应能建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理

【要求解读】为防止管理数据流与业务数据流相互影响，应将管理链路与业务链路分离，为防止身份鉴别信息在网络传输过程中被监听，从而导致敏感信息泄露，要求使用安全方式对网络中安全设备或安全组件进行远程管理，如SSH、HTTPS和加密RDP等等。

【实施方法】

1)网络中建立了独立的带外管理网络，实现了管理数据与业务数据分离，提高了远程管理路径的安全性。

2)管理员使用HTTPS、SSH对设备实现端到端的远程管理。

c）应对网络链路、安全设备、网络设备和服务器等状况进行集中检测

【要求解读】为了保障业务系统的正常，需要在网络中部署具备状态监测功能的系统或设备如综合网管系统等，对网络链路、网络设备、安全设备、服务器和应用系统的状态进行集中实时监控。

【实施方法】

1. 安全管理中心部署了综合网管系统，能够对网络链路、网络设备、安全设备和服务器等的状况进行集中监测。

2)当网络链路、设备、服务器发生故障 (断网、宕机)后，能够进行实时报警。

d)应对分散在各个设备上的审计数据进行集中收集和汇总，并保证审计记录的保留时间符合法规要求

【要求解读】为了发现网络中潜在的安全风险，需要部署集中安全管理平台，对基础网络平台及其上的各类型设备进行审计记录收集和存储，同时需要接收来自其他安全管理系统的处理结果或预警信息，实现综合安全分析、事件预警和安全态势感知等

【实施方法】

1)安全管理中心部署了集中安全审计等相关系统。

2)该系统启用了相关策略策略，实现了集中收集、存储设备日志，实现了集中审计。

3)集中安全审计系统具备足够的存储空间，能够保障日志信息保存6个月以上。

e)应对安全策略、恶意代码、补丁升级和安全相关事项进行集中管理

【要求解读】在安全管理区域部署各类或统一的集中安全策略管理平台，实现对各类型设备或系统安全策略的统一管理、包括防火墙、入侵防御系统IPS和应用防火墙WAF等。实现对防恶意代码防护软件及病毒库的统一升级，实现对各类型系统或设备的补丁升级进行集中管理，包括操作系统及其系统组件等

【实施方法】

1)安全管理中心部署有安全策略统一管理系统及各类安全设备的管理端，能够对安全策略(如防火墙访问控制策略、入侵保护系统防护策略、WAF安全防护策略等) 进行集中管理。

2)部署有网络版防恶意代码系统实现对操作系统防恶意代码系统的升级;部署有防病毒网关设备，通过在安全管理中心的管理端进行代码库及防护策略管理。

3)部署有补丁管理系统实现对各类型系统、设备进行统一的补丁升级、管理。

f)应能对网络中发生的各类安全事件进行识别、报警和分析

【要求解读】对基础网络平台范围内各类安全事件进行实时的识别和分析，通过声、光、短信和邮件等措施进行实时报警。安全事件包括有害程序事件、网络攻击事件、信息破坏事件和设备设施故障等。每种分类还包含了具体的安全事件，如有害程序事件包括病毒、蠕虫和木马等。网络攻击事件包括僵尸网络、混合攻击、网页内嵌恶意代码、拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听和钓鱼等。信息破坏事件包括网络干扰、信息篡改、假冒、窃取和丢失等。软硬件故障以及衍生出的新型网络安全事件等。

【实施方法】

1)部署有综合安全审计系统、SOC和安全态势感知等系统，能够统一收集网络中各类型设备的安全日志，并进行实时的安全事件联动分析、报警。

2)相关系统的日志分析、报警功能，否覆盖了网络中所有的关键节点。