安全管理中心
按照“一個中心,三重防御”的縱深防御思想,“安全管理中心”將是縱深防御體系的“大腦”,即通過“安全管理中心”實現技術層面的系統管理、審計管理和安全管理,同時高級別等級保護對象通過“安全管理中心”實現集中管控。注意這里的“安全管理中心”並非一個機構,也並非一個產品,它是一個技術管控樞紐,通過管理區實現管理,並通過一個技術工具或多個技術工具實現一定程度上的集中管理。
安全管理中心針對整個系統提出了安全管理方面的技術控制要求,通過技術手段實現集中管理;涉及的安全控制點包括系統管理、審計管理、安全管理和集中管控。以下以三級等級保護對象為例,描述安全管理中心各個控制要求項的檢查方法、檢查對象和期望結果等。
控制點
1.系統管理
系統管理通過系統管理員實施完成,系統管理可以每個設備單獨管理也可以通過統一管理平台集中管理。系統管理主要關注是否對系統管理員進行身份鑒別、是否只允許系統管理員通過特定的命令或操作界面進行系統管理操作、是否對系統管理操作進行審計。系統管理的主要目的是為確保系統管理操作的安全性。
a)*
安全要求:應對系統管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統管理操作,並對這些操作行為進行審計。
要求解讀:要求對系統管理員進行身份認證並嚴格限制系統管理員賬戶的管理權限,僅允許系統管理員通過特定方式進行系統管理操作,並對所有操作進行詳細的審計記錄。
檢查方法
1.應檢查是否對系統管理員進行身份鑒別。
2.應檢查是否只允許系統管理員通過特定的命令或操作界面進行系統管理操作。
3.應檢查是否對系統管理操作進行審計。
測評對象
系統管理操作審計記錄
期望結果
1.對管理員的登錄進行認證;
2.使用了管理工具或特定命令;
3.所有操作有日志記錄。
b)
安全要求:應通過系統管理員對系統的資源和運行進行配置、控制和管理,包括用戶身份、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等。
要求解讀:系統管理操作應由系統管理員完成,其管理、操作內容應不同於審計管理員和安全管理員。
檢查方法
應檢查是否通過系統管理員對系統的資源和運行進行配置、控制和管理,包括用戶身份、資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等。
測評對象
系統管理員
期望結果
1.管理員有權限划分;
2.權限不同於審計管理員和安全管理員。