等保測評-安全管理中心

控制點	安全要求	要求解讀	測評方法	預期結果或主要證據
系統管理	a)應對系統管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統管理操作，並對這些操作行為進行審計	要求對系統管理員進行身份認證並嚴格限制系統管理員賬戶的管理權限，僅允許系統管理員通過特定方式進行系統管理操作,並對所有操作進行詳細的審計記錄	1)應核查是否對系統管理員進行身份鑒別 2)應核查是否只允許系統管理員通過特定的命令或操作界面進行系統管理操作 3應核查是否對系統管理操作進行審計	1)對管理員的登錄進行認證 2)使用了管理工具或特定命令 3)所有操作有日志記錄
	b)應通過系統管理員對系統的資源和運行進行配置、控制和管理,包括用戶的身份、系統資源配置、系統加載和啟動，系統運行的異常處理、數據和設備的備份與恢復等	系統管理操作應由管理員完成，其管理、操作內容應不同於審計管理員和安全管理員	應核查是否通過系統管理員對系統的資源和運行進行配置、控制和管理, 包括用戶身份、、系統資源配置、系統加載和啟動，系統運行的異常處理、數據和設備的備份與恢復等	1)管理員有權限划分 2)權限不同於審計管理員和安全管理員
審計管理	a)應對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行操作，並對這些操作進行審計	要求對審計管理員進行身份認證並嚴格限制審計管理員賬戶的管理權限，僅允許管理員通過特定方式進行審計管理操作,並對所有操作進行詳細的審計記錄	1)應核查是否對審計管理員進行身份鑒別 2)應核查是否只允許審計管理員通過特定的命令或操作界面進行安全審計操作 3)應核查是否對安全事代操作進行審計	1)對管理員的登錄進行認證 2）使用了管理工具或特定命令 3)所有操作有日志記錄
	b)應通過審計管理員對審計記錄進行分析，並根據分析結果進行處理，包括根據安全審計策略對審計記錄進行存儲，管理和查詢等	針對綜合安全審計系統、數據庫審計系統等提供集中審計功能的系統，要求對審計管理員進行授權，並通過審計管理員對審計記錄應進行分析	應核查是否通過審計管理員對審計記錄進行分析,並根據分析結果進行處理，包括根據安全審計策略對審計記錄進行存儲、管理和查詢等	1)管理員有權限划分 2)權限不同於系統管理員和安全管理員 3)只有審計管理員可以查看審計分析數據
安全管理	a)應對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，並對這些操作行為進行審計	要求對安全管理員進行身份認證並嚴格限制系統管理員賬戶的管理權限，僅允許安全管理員通過特定方式進行系統管理操作,並對所有操作進行詳細的審計記錄	1)應核查是否對安全管理員進行身份鑒別 2)應核查是否只允許安全管理員通過特定的命令或操作界面進行系統管理操作 3應核查是否對安全管理操作進行審計	1對管理員的登錄進行認證 2)使用了管理工具或特定命令 3)所有操作有日志記錄
	b)應通過安全管理員對系統中的安全策略進行配置，包括安全參數的設置，主體、客體進行統一安全標記，對主體進行授權，配置可信驗證策略等	針對提供集中安全管理功能的系統，要求對安全管理員進行授權，並通過安全管理員部署安全組件或安全設備的安全策略	應核查是否通過安全管理員對系統中的安全策略進行配置，包括安全參數、主體、客體進行統一安全標記，對主體進行授權，配置可信驗證策略等	1)管理員有權限划分 2)權限不同於系統管理員和審計管理員: 3)只有安全管理員可以配置安全策略有關的參數
集中管控	a)應划分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控	應在網絡中獨立配置一個網絡區域，用於部署集中管控措施。集中管控措施包括:集中監控系統、集中審計系統和集中安管系統等，通過這些集中管控措施實現對整個網絡的集中管理	1)應核查是否划分出單獨的網絡區域用於安全管理 2)應核查是否各個安全設備或安全組件的配置等管理均由管理區的設備進行	1)網絡拓撲圖中有管理區 2)安全設備或組件的管理設備均在管理區
	b)應能夠建立一條安全的信息傳輸路徑， 對網絡中的安全設備或安 全組件進行管理	為了保障網絡中信息傳輸的安全性，應采用安全方式對設備或安全組件進行管理	應核查是否采用安全方式(如SSH、HTTPS IPSec VPN等)對安全設備或安全組件進行管理，或者是否使用獨業的帶外管理網絡對安全設備或安全組件進行管理	采用安全方式對設備進行訪問，並對配置信息進行記錄，例如: ssh server enable ssh user cssnet service-type stelnet authentication-type password
	c)應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測	為了保障業務系統的正常運行，應在網絡中部署具備運行狀態監測功能的系統或設備，對網絡鏈路、網絡設備、安全設備、服務器及應用系統的運行狀態進行集中、實時監控	1)應核查是否部署了具備運行狀態監測功能的系統或設備，能夠對網絡鏈路、安全設備1)網絡設備和服務器等的運行狀況進行集中監測 2)應測試驗證運行狀態監測系統是否根據網絡鏈路、安全設備、網絡設備和服務器等的工作狀態、依據設定的閥值(或默認閥值)實時報警	具備設備檢測功能的系統或平台
	d)應對分散在各個設備上的審計數據進行收集匯總和集中分析，並保證審計記錄的留存時間符合法律法規要求	部署集中審計分析系統，實現對基礎網絡平台及其上運行的各類型設備進行信息日志收集、 存儲，並定期進行審計分析，從而發現潛在的安全風險。日志存儲時間應符合法律法規要求，目前網絡安全法要求日志保存時間不少於6個月	1)應核查各個設備是否配置並啟用了相關策略，將審計數據發送到獨立於設備自身的外部集中安全審計系統中 2)應核查是否部署統一的集中安全審計系統,統一收集和存儲各設備日志，並根據需要進行集中審計分析 3)應核查審生記錄的留帶時間是否為6個月	1）設備日志進行了轉發 2)平台具備審計分析功能 3)審計記錄保有了至少6個月以上
	e)應對安全策略，惡意代碼、補丁升級等安全相關事項進行集中管理	在安全管理區域部署集中管理措施，應實現對各類型設備(如:防火牆、IPS、IDS. WAF等)安全策略的統一管理,應實現對網絡惡意代碼防護設備、主機操作系統惡意代碼防護軟件、病毒規則庫的統一升級，應實現對各類型設備(如:主機操作系統、數據庫操作系統等)的補丁升級進行集中管理等	1)應核查是否能夠對安全策略(如防火牆訪問控制策略、入侵保護系統防護策略、WAF安全防護策略等)進行集中管理 2)應核查是否實現對操作系統防惡意代碼系統及網絡惡意代碼設備的集中管理 3）實現對防惡意代碼病毒規則庫的統一升級和管理	1）具有統一策略管理平台或多個(比如防火牆、IPS、 IDS. WAF等安全設備)分別策略管理的工具 2)通過平台或工具可以實施策略管理
	f）應能對網絡中的各類安全事件進行進行識別、報警和分析	能夠通過集中管控措施，對基礎網絡平台范圍內各類安全事件（如設備故障、惡意攻擊、服務性能下降等）進行實時的識別和分析，並通過聲、光、短信、郵件等措施進行實時報警	1)應核查是否部署了相關系統平台夠對各類安全事傳進行分析並通過聲、光等方式實時報警 2)應核查監測范圍是否能夠覆蓋網絡所有可能的安全事件	1)具有安全事件管理平台或工具 2)相關平台或工具收集足夠的可能安全事件，並具備報警提示功能