安全管理中心
控制點
4.集中管控
集中管控是指在網絡中建立一個獨立的管理區域,由該區域對安全設備或安全組件進行統一管控的過程。為了提高安全運維管理的有效性,通過集中管控的方式,實現設備的統一監控、日志的統一分析。安全策略的統一管理和安全事件的統一分析等。實現集中管控可以通過一個平台實現,也可通過多個平台或工具分別實現不同的管控。
a)**
安全要求:應划分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控。
要求解讀:應在網絡中獨立配置一個網絡區域,用於部署集中管控措施。集中管控措施包括:集中監控系統、集中審計系統和集中安管系統等,通過這些集中管控措施實現對整個網絡的集中管理。
檢查方法
1.應檢查是否划分出單獨的網絡區域用於安全管理。
2.檢查是否各個安全設備或安全組件的配置等管理均由管理區的設備進行。
測評對象
1.網絡管理區划分
2.安全設備或安全組件配置管理
期望結果
1.網絡拓撲圖中有管理區;
2.安全設備或組件的管理設備均在管理區。
b)**
安全要求:應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理。
要求解讀:為了保障網絡中信息傳輸的安全性,應采用安全方式對設備或安全組件進行管理。
檢查方法
應檢查是否采用安全方式(如SSH、HTTPS、IPSec VPN等)對安全設備或安全組件進行管理,或者是否使用獨立的帶外管理網絡對安全設備或安全組件進行管理。
測評對象
安全組件管理方式
期望結果
采用安全方式對設備進行訪問,並對配置信息進行記錄。
例如:
ssh server enabe
ssh user cssnet service-type stelnet authentication-type password
c)*
安全要求:應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測。
要求解讀:為了保障業務系統的正常運行,應在網絡中部署具備運行狀態監測功能的系統或設備,對網絡鏈路、網絡設備、安全設備、服務器及應用系統的運行狀態進行集中、實時監控。
檢查方法
1.應檢查是否部署了具備運行狀態監測功能的系統或設備,能夠對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測。
2.應測試驗證運行狀態監測系統是否根據網絡鏈路、安全設備、網絡設備和服務器等的工作狀態、依據設定的閥值(或默認閥值)實時報警。
測評對象
具備監測功能的系統或平台
期望結果
具備設備檢測功能的系統或平台。
高風險判定
滿足以下條件即可判定為高風險且無補償因素:
(高可用性的三級及以上系統)
對網絡鏈路、網絡設備、安全設備和服務器的運行狀況無任何監控措施,發生故障后無法及時對故障進行定位和處理。
d)**
安全要求:應對分散在各個設備上的審計數據進行收集匯總和集中分析,並保證審計記錄的留存時間符合法律法規要求。
要求解讀:部署集中審計分析系統,實現對基礎網絡平台及其上運行的各類型設備進行統一的日志收集、存儲,並定期進行審計分析,從而發現潛在的安全風險。日志存儲時間應符合法律法規要求,目前網絡安全法要求日志保存時間不少於6個月。
檢查方法
1.應檢查各個設備是否配置並啟用了相關策略,將審計數據發送到獨立於設備自身的外部集中安全審計系統中。
2.應檢查是否部署統一的集中安全審計系統,統一收集和存儲各設備日志,並根據需要進行集中審計分析。
3.應檢查審計記錄的留存時間是否至少為6個月。
測評對象
1.日志審計設備
2.審計記錄
期望結果
1.設備日志進行了轉發;
2.平台具備審計分析功能;
3.審計記錄保存至少6個月以上。
高風險判定
滿足以下條件即可判定為高風險:
關鍵網絡設備、關鍵安全設備、關鍵主機設備(包括操作系統、數據庫等)的重要操作、安全事件等審計記錄的留存不滿足法律法規規定的相關要求(不少於6個月)
補償因素:
對於被測對象上線不足6個月的情況,可從當前日志保存情況、日志備份策略、日志存儲容量等角度進行綜合分析,酌情判定風險等級。
e)*
安全要求:應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。
要求解讀:在安全管理區域部署集中管理措施,應實現對各類型設備(如:防火牆、I PS、IDS、WAF等)安全策略的統一管理;應實現對網絡惡意代碼防護設備、主機操作系統惡意代碼防護軟件病毒規則庫的統一升級;應實現對各類型設備(如:主機操作系統、數據庫操作系統等)的補丁升級進行集中管理等。
檢查方法
1.應檢查是否能夠對安全策略(如防火牆訪問控制策略、入侵保護系統防護策略、WAF安全防護策略等)進行集中管理。
2.應檢查是否實現對操作系統防惡意代碼系統及網絡惡意代碼防護設備的集中管理,實現對防惡意代碼病毒規則庫的升級進行集中管理。
3.應檢查是否實現對各個系統或設備的補丁升級進行集中管理。
測評對象
各類設備安全策略的集中管理情況
期望結果
1.具有統一策略管理平台或多個(比如防火牆、IPS、IDS、WAF等安全設備)分別策略管理的工具;
2.通過平台或工具可以實施策略管理。
f)*
安全要求:應能對網絡中發生的各類安全事件進行識別、報警和分析。
要求解讀:能夠通過集中管控措施,對基礎網絡平台范圍內各類安全事件(如設備故障、惡意攻擊、服務性能下降等)進行實時的識別、分析,並通過聲、光、短信、郵件等措施進行實時報警。
檢查方法
1.應檢查是否部署了相關系統平台能夠對各類安全事件進行分析並通過聲光等方式實時報警。
2.檢查監測范圍是否能夠覆蓋網絡所有可能的安全事件。
測評對象
網絡安全事件管理平台/工具
期望結果
1.具有安全事件管理平台或工具;
2.相關平台或工具收集足夠的可能安全事件,並具備報警提示功能。
高風險判定
滿足以下條件即可判定為高風險:
無法對網絡中發生的網絡攻擊、惡意代碼傳播等安全事件進行識別、報警和分析。
補償因素:
對於與互聯網完全物理隔離的系統,可從網絡管控措施、介質管控措施、應急措施等角度進行綜合風險分析,酌情判定風險等級。