安全管理中心
控制點
3.安全管理
安全管理通過安全管理員實施完成,安全管理可以每個安全設備單獨管理也可以通過統一安全管理平台集中管理,安全管理主要關注是否對安全管理員進行身份鑒別、是否只允許安全管理員通過特定的命令或操作界面進行安全審計操作、是否對安全管理操作進行審計。
a)*
安全要求:應對安全管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全管理操作,並對這些操作進行審計。
要求解讀:要求對安全管理員進行身份認證並嚴格限制安全管理員賬戶的管理權限,僅允許安全管理員通過特定方式進行安全管理操作,並對所有操作詳細地審計記錄。
檢查方法
1.應檢查是否對安全管理員進行身份鑒別。
2.應檢查是否只允許安全管理員通過特定的命令或操作界面進行系統管理操作。
3.應檢查是否對安全管理操作進行審計。
測評對象
1.安全管理員權限
2.操作審計記錄
期望結果
1.對管理員的登錄進行認證;
2.使用了管理工具或特定命令;
3.所有操作有日志記錄。
b)
安全要求:應通過安全管理員對系統中的安全策略進行配置,包括安全參數的設置,主體、客體進行統一安全標記,對主體進行授權,配置可信驗證策略等。
要求解讀:針對提供集中安全管理功能的系統,要求對安全管理員進行授權,並通過安全管理員部署安全組件或安全設備的安全策略。
檢查方法
應檢查是否通過安全管理員對系統中的安全策略進行配置,包括安全參數的設置,主體、客體進行統一安全標記,對主體進行授權,配置可信驗證策略等。
測評對象
安全管理員權限
期望結果
1.管理員有權限划分;
2.權限不同於系統管理員和審計管理員;
3.只有安全管理員可以配置安全策略有關的參數。