学习资料,仅供参考
技术要求 | 控制点 | 基本要求 | 具体要求 | 对应产品(华为) |
1. 安全通信网络 | 1.1 网络架构 | a) 应保证网络设备的业务处理能力满足业务高峰期需要; | 根据业务实际情况评估选用相应的设备款型,设备的业务处理能力应高于业务高峰期流量。核心设备性能指标平均不超过80% | |
b) 应保证网络各个部分的带宽满足业务高峰期需要; | 根据业务实际情况选择对应的带宽,建议高峰时带宽占用率不超过80%。 | |||
c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; | 网络设计文档需要依据重要性、部门等因素划分子网或网段,拓扑图需与实际网络保持一致。可以使用交换机划分vlan的方式,并使用防火墙的分区分域管理能力做域间策略。 | USG防火墙 | ||
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; | 避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间采取可靠的技术隔离手段,如防火墙和设备访问控制列表(ACL)等。 | USG防火墙 | ||
e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 | 出口、核心等关键位置双链路备份、设备冗余(主备或双活),部署双机热备、负载均衡 | USG防火墙 | ||
1.2 通信传输 | a) 应采用校验技术或密码技术保证通信过程中数据的完整性; | HTTPS、VPN这类加密传输协议中自带加密和完整性校验,通过颁发证书的密钥以及MD5/SHA等算法实现完整性校验,并采用SSL/TLS加密实现保密性等,所以通常传输加密和完整性校验是一体的,边界部署VPN设备可实现。同时业务应用系统自身也要支持https协议传输。 | USG防火墙 | |
b) 应采用密码技术保证通信过程中数据的保密性。 | 同上 | |||
1.3 可信验证 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。并进行动态关联感知。 | 通信网络设备应实现引导程序(如BIOS)、系统程序(设备大包)、重要配置参数(基于IMA文件进行度量)进行可信验证,对应用程序文件加载进行IMA度量,如果可信性受到破坏后,远程证明侧会进行告警,并在网管系统进行呈现。 | 依赖设备自身的可信能力 | |
2. 安全区域边界 | 2.1 边界防护 | a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; | 现网根据业务划分为不同的区域,如互联网边界、数据中心业务区、业办公区、管理区等多个区域,针对每个区域边界都部署防火墙,在防火墙上配置安全策略,对所有跨越边界的访问和数据都可以做到五元组的粒度的控制。 | USG防火墙 |
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制; | 1、非授权设备接入网络时需要经过802.1x、Portal等方案的接入准入认证,需要终端+交换机+认证中心(如NCE-Campus、终端管控平台)配置实现。 2、不支持802.1x方式的设备可以采用IP+MAC的方式绑定进行接入准入认证。 | 终端+交换机+认证中心(如NCE-Campus、终端管控平台) | ||
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制; | 针对内部用户连接到外部网络时需要对用户的行为进行检查或者限制,可以通过在下一代防火墙上配置基于用户的安全策略,或者上网行为管理产品上配置基于用户的策略,细粒度控制用户的访问权限。 | USG防火墙 或 ASG上网行为管理 | ||
d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 | 1、针对无线网络,针对常用办公用户提供802.1x、Portal等方式的接入准入认证,针对guest用户,提供Portal认证的方式进行网络准入的控制,需要终端+交换机+认证中心(如NCE-Campus、终端管控平台)配置实现。 2、无线网络、有线网络之间通过在防火墙部署安全策略做边界隔离和防护,并且如无特殊需要,内部核心网络不应与无线网络互联,如因业务需要,则建议加强对无线网络设备接入的管控,并通过边界设备对无线网络的接入设备对内部核心网络的访问进行限制,降低GJ者利用无线网络入侵内部核心网络。 | 终端+交换机+认证中心(如NCE-Campus、终端管控平台) | ||
2.2 访问控制 | a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; | 1、区域边界的防火墙提供默认deny的安全,只有允许通过的流量配置安全策略,其他的默认命中deny的策略。 | USG防火墙 | |
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; | 1、通过SecoManager可以对防火墙的安全策略进行冗余分析,根据命中情况,对长期不命中的访问策略进行优化,删除多余的或者无效的访问控制列表。 | SecoManager、USG防火墙 | ||
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; | 1、在防火墙上部署含源IP、目的IP、源端口、目的端口、协议的五元组策略。 | USG防火墙 | ||
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; | 1、在防火墙上配置安全策略,首包会生成会话,后续报文都根据首包的会话来决定允许、拒绝的能力。 | USG防火墙 | ||
e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 | 1、在防火墙上配置基于五元组+应用的安全策略,应用识别SA功能需要开起,根据应用识别进行安全访问控制,比如P2P的应用不允许使用。 | USG防火墙 | ||
2.3 入侵防范 | a) 应在关键网络节点处检测、防止或限制从外部发起的网络GJ行为; | 1、针对外部的GJ,可以通过部署AntiDDOS设备或者防火墙开启DDOS防护来防止DDOS的GJ。 2、通过部署IPS设备,或者在防火墙上开启IPS的License模块,配置入侵检测策略,可以根据业务自定义Profile模板,来进内容安全的检测,当发现威胁时,选择阻断动作,设备的特征库设置为定期升级,便于检测能力实时提升。 | AntiDDOS、USG防火墙+IPS | |
b) 应在关键网络节点处检测、防止或限制从内部发起的网络GJ行为; | 1、针对内部发起的GJ主要通过部署IPS设备,或者在防火墙上开启IPS、AV的License模块,配置入侵检测策略,可以根据业务自定义Profile模板,来进内容安全的检测,当发现威胁时,选择阻断动作,设备的特征库设置为定期升级,便于检测能力实时提升 | NIPS | ||
c) 应采取技术措施对网络行为进行分析,实现对网络GJ特别是新型网络GJ行为的分析; | 1、通过部署HiSec Insight高级威胁检测产品,采用AI算法实现对新型网络GJ的GJ行为分析,需要采集的流量及日志信息,需要部署流探针进行采集,采集后的流量上送到HiSec Insight的分析,分析检测后,进行GJ的呈现。 2、对于恶意文件,通过部署沙箱,将探针还原的文件,进行文件的分析,确认是否恶意文件,实现未知威胁的分析。 | HiSec Insight、FireHunter沙箱 | ||
d) 当检测到GJ行为时,记录GJ源 IP、GJ类型、GJ目标、GJ时间,在发生严重入侵事件时应提供报警。 | 1、HiSec Insight的GJ日志会呈现GJ行为的详细信息,如GJ源IP、GJ类型、GJ目标、GJ事件,并体现为告警信息。 | HiSec Insight | ||
2.4 恶意代码和垃圾邮件防范 | a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; | 通过部署网络防V设备,或者在防火墙上开启AV的License模块,配置AV检测策略,可以根据业务自定义Profile模板,来进行V的检测,当发现威胁时,选择阻断动作,设备的特征库设置为定期升级,便于检测能力实时提升。 | USG防火墙开启IPS | |
b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 | 通过部署防火墙或者专业的邮件安全网关,开启垃圾邮件过滤,钓鱼附件检测等功能,设备的特征库设置为定期升级,便于检测能力的实时提升。 | USG防火墙、邮件安全网关(用户自备) | ||
2.5 安全审计 | a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | 1、部署运维审计系统(堡垒机)和日志审计系统,配置用户操作的网络设备安全设备的权限,记录用户行为和安全事件 2、部署VPN对远程用户进行身份认证和访问控制,并部署日志审计系统对用户访问行为进行审计。 3、在互联网出口部署上网行为管理系统,开启行为审计,对访问互联网的用户行为进行审计和分析 | UMA堡垒机、LogAuditor日志审计、ASG上网行为管理 | |
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; | 运维审计系统、日志审计系统、上网行为管理系统的审计记录都包含事件的日期和时间、用户、事件类型、时间是否成功等信息 | |||
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; | 运维审计系统、日志审计系统、上网行为管理系统对记录进行保存,定义备份,根据法律法规的要求,至少保存6个月,预留够足够的硬盘资源以便记录丢失。 | |||
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 | 1、部署VPN对远程用户进行身份认证和访问控制,并部署日志审计系统对用户访问行为进行审计。 2、在互联网出口部署上网行为管理系统,开启行为审计,对访问互联网的用户行为进行审计和分析 | |||
2.6 可信验证 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警, 并将验证结果形成审计记录送至安全管理中心。 并进行动态关联感知。 | 针对边界防护设备防火墙内置RA组件与远程证明组件配合,实现引导程序(如BIOS)、系统程序(设备大包)、重要配置参数(基于IMA文件进行度量)进行可信验证,对应用程序文件加载进行IMA度量,如果可信性受到破坏后,远程证明侧会进行告警,并在网管系统进行呈现。 | 设备自身的可信能力 | |
3. 安全计算环境 | 3.1 身份鉴别 | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; | 网络设备、安全设备、应用、数据各层系统自身能力。或通过脆弱性扫描及ST测试,确保网络设备、安全设备、操作系统、数据库等不存在空口令或弱口令帐户。系统口令设置6位以上,并建议以数字和大小写字母组合的方式组成口令,不允许单个数字或连续数字或相同数字等易猜测的口令。提供登录失败处理功能(如帐户锁定、多重认证等),防止GJ者进行口令暴力PJ。 | 依赖系统自身能力、VScan漏扫设备、ST测试服务 |
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; | 可以设置连续登录失败情况下的加强鉴别因子启动机制,并设定合适的启动阈值,比方在一分钟内连续三次登录失败后,再次尝试登录需要启用界面验证码或短信验证等加强鉴别因子。另外当系统登录成功后,长时间没有操作,则自动退出。 | |||
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; | 先通过接入VPN设备建立加密隧道,再进行远程管理。或通过HTTPS或SSH等加密协议对设备进行管理。 | VPN | ||
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别, 且其中一种鉴别技术至少应使用密码技术来实现。 | 设备、应用和数据系统需自身支持启用两种或两种以上鉴别技术对用户身份进行鉴别,鉴别技术常见为口令、数字证书、短信、指纹鉴别等。也可通过部署CA认证、短信系统,或者通过支持双因素认证的堡垒机登陆设备来说实现。 | UMA堡垒机、短信网关(用户自备)、CA认证(用户自备) | ||
3.2 访问控制 | a) 应对登录的用户分配账户和权限; | 网络设备、安全设备、应用、数据各层系统自身能力。或通过IAM的统一账号管理功能对账号和权限做分配。 | 系统自身或IAM | |
b) 应重命名或删除默认账户,修改默认账户的默认口令; | 网络设备、安全设备、应用、数据各层系统自身能力。或通过IAM的账号全生命周期功能和统一管理功能修改默认账号的默认信息,如test、admin等。 | 系统自身或IAM | ||
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; | 网络设备、安全设备、应用、数据各层系统自身能力。或通过IAM的账号全生命周期功能和统一管理功能停用多余或过期的账号,如test等。 | 系统自身或IAM | ||
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离; | 应根据相关用户的具体工作内容确定所需的最小化权限,避免管理用户权限无限大。或通过IAM的账号权限管理功能设定管理用户的最小权限范围。 | 系统自身或IAM | ||
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; | 通过FW、数据库防火墙、API网关等设备中的用户组、角色组,结合IAM的用户权限,确定安全访问控制规则。 | IAM、USG防火墙、数据库防火墙、API网关 | ||
f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; | 在FW上配置含源目的IP、源目的端口、协议的五元组策略。在数据库防火墙上配置主体精确到具体用户,客体为数据库表的安全策略。在API网关上配置颗粒度为URL级的安全策略。 | USG防火墙、数据库防火墙、API代理网关 | ||
3.3 安全审计 | a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | 开启网络设备、安全设备、应用、数据各层系统自身的审计功能,并通过部署单独的日志审计设备对各系统自身审计到的日志做统一收集及备份。除此之外,可用数据库审计单独审计对数据库的操作行为。用堡垒机单独审计对资产的运维操作行为。用上网行为单独审计对互联网的访问行为。 | LogAuditor日志审计,DAS数据库审计,ASG上网行为审计,UMA堡垒机 | |
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; | 开启各安全审计类产品的审计功能,选择支持日期、时间、用户、事件类型、事件是否成功等审计功能的审计系统。 | LogAuditor日志审计,DAS数据库审计,UMA堡垒机 | ||
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; | 提前预估好日志量所需硬盘存储空间,确保各类审计日志保存时间不少于六个月,以满足网络安全法的要求。另可通过单独的日志审计系统对各类审计系统的日志再做一遍备份。 | LogAuditor日志审计,DAS数据库审计,UMA堡垒机 | ||
d) 应对审计进程进行保护,防止未经授权的中断。 | 审计系统自身需具备工作稳定性,同时审计系统需要对审计记录进行保存,避免非正常删除、修改或覆盖。 | 审计系统自身保证 | ||
3.4 入侵防范 | a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; | 通过主机安全系统对主机上安装的组件和应用程序做发现,当发现有不需要安装的组件或应用程序时进行一键删除或手动删除。 | ||
b) 应关闭不需要的系统服务、默认共享和高危端口; | 通过主机安全系统对主机上的系统服务、默认共享和高危端口做发现,当发现有不需要的内容时进行一键关闭、手动关闭或限制主机权限。也可部署漏扫设备,对系统进行安全性检测,检测不需要开放的服务和端口。 | VScan漏扫 | ||
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; | 通过FW等具备访问控制功能的产品限定能对网络进行管理的终端的IP/MAC或地址段等信息。或者所有管理终端在对网络进行管理前需要统一登陆到堡垒机,通过堡垒机做统一网络管理,通过访问控制设备上的ACL限定只有堡垒机的IP/MAC可以做网络管理工作。 | UMA堡垒机、USG防火墙 | ||
d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; | 对代码进行审计,纳入对数据有效性进行校验的功能。通过WAF中的防SQL注入、跨站脚本等功能,防止高风险漏洞被成功利用。开启数据库防火墙内的高危操作(增删改查)策略阻断不符合设定要求的输入内容。 | 代码审计(用户自备)、数据库防火墙、WAF系列WEB应用防火墙 | ||
e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; | 开启漏扫当中的漏洞扫描策略,对已知的漏洞进行扫描发现,并及时更新漏扫特征库。通过专业的安全服务人员对扫描到的漏洞进行人工验证,确认好需要修补的漏洞后,启用补丁分发功能,对漏洞进行修补。 | VScan漏扫 | ||
f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 | 1、网络层:在入侵重要节点的必经之路上部署IPS或开启了IPS、AV功能的防火墙,配置入侵检测和恶意代码检测策略,当发现威胁时选择阻断或告警。设备的特征库设置为定期升级。 2、主机层:在属于重要节点的主机上安装主机安全系统,并开启对主机的安全检测和防护规则,当主机遭遇GJ等威胁时进行阻断或告警。 | USG防火墙、IPS、EDR主机安全系统 | ||
3.5 恶意代码防范 | (三级)应采用免受恶意代码GJ的技术措施或主动免疫可信验证机制及时识别入侵和V行为,并将其有效阻断。 (四级)应采用主动免疫可信验证机制及时识别入侵和V行为,并将其有效阻断。 | 1、网络层:在安全计算环境的边界部署防V网关或开启了防V功能的防火墙等产品来实现网络层的防恶意代码能力。 2、主机层:在主机上部署防V软件或者开启了防V功能的终端安全系统来实现主机层防恶意代码能力。 以上两种均需要及时更新V特征库。【三级】 通过主机安全系统上的V检测和可信环境感知功能,实时检测主机上可能存在的恶意代码并实时感知主机的运行环境是否被入侵,如果识别到入侵和V行为则进行阻断。【四级】 | 主机杀毒软件 | |
3.6 可信验证 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证 结果形成审计记录送至安全管理中心。 并进行动态关联感知。 | 针对边界防护设备防火墙内置RA组件与远程证明组件配合,实现引导程序(如BIOS)、系统程序(设备大包)、重要配置参数(基于IMA文件进行度量)进行可信验证,对应用程序文件加载进行IMA度量,如果可信性受到破坏后,远程证明侧会进行告警,并在网管系统进行呈现。 | 设备自身的可信能力 | |
3.7 数据完整性 | a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; | 通过VPN内置的加密算法,对需要传输的数据进行加密和校验,从而可以实现对目标数据在传输过程中的完整性需求。 | USG防火墙开启VPN能力 | |
b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 | 存储数据库需要具备保障数据机密性的能力或通过相关安全组件实现相关安全能力。如实现基于密文的增强访问权限控制,防止主体及高权限用户对敏感客体数据进行访问。被保护客体字段的权限控制独立于数据库的权限控制,防止主体数据库用户的权限提升访问被保护数据。对主体用户、操作(DML、DDL、DCL)和客体对象进行访问控制的限定。通过加密存储机制,从根本上保证数据安全。可支持按列、按表空间方式进行加密。 | CA认证系统(用户自备) | ||
3.8 数据保密性 | a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; | 通过VPN内置的加密算法,对需要传输的数据进行加密,从而可以实现对目标数据的传输保密性需求。 | USG防火墙开启VPN能力 | |
b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 | 通过存储加密产品,在数据落盘前对数据进行加密,加密完成后将密文进行落盘存储。 | |||
3.9 数据备份恢复 | a) 应提供重要数据的本地数据备份与恢复功能; | 针对重要数据在本地同机房或本地异机房提供备份机制。 | ||
b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地; | 提供异地数据灾备措施,且异地机房之间通过通信网络的方式实现实时备份同步。一般来说同城异地机房直线距离不低于30公里,跨省市异地机房直线距离不低于100公里。 | 双活数据中心 | ||
c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。 | 建设双活数据中心(边界路由器、边界防火墙、核心交换机、应用服务器、数据库服务器需采用热冗余部署),保证不存在单点故障。 | 异地机房及备份产品 | ||
3.10 剩余信息保护 | a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; | 调用删除函数将存储空间内的鉴别信息删除,再往该存储该空间内写满随机的无关垃圾信息,并再次删除,如此反复数次。再使用扫描软件和恢复软件对信息进行恢复,并对比恢复后的信息和原信息,确保删除效果。 | ||
b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 | 调用删除函数将存储空间内的数据删除,再往该存储该空间内写满随机的无关垃圾信息,并再次删除,如此反复数次。再使用扫描软件和恢复软件对数据进行恢复,并对比恢复后数据和原数据,确保删除效果。 | |||
3.11 个人信息保护 | a) 应仅采集和保存业务必需的用户个人信息; | 首先应当梳理业务必需的用户个人信息范围,其次需要明确告知个人信息主体对其个人信息处理的目的、方式、范围等相关事项,在经过用户明确授权操作后进行相关收集保存。前者由业务负责人确定,后者通过系统和数据库本身的采集和保存机制实现。 采集个人信息时,只能采集所需的必要信息,对于这类信息你可以收集,但是若未授权不得随意访问和修改信息,也就是说,信息可以放在你们这,但是我不同意,你就不能看,除非协助公安和相关部门处理特殊事宜时的强制配合。 | ||
b) 应禁止未授权访问和非法使用用户个人信息。 | 信息收集过来后,不可以随便向其收集发送各种推销、广告以及恶意链接,这些操作都不可以。也就是说,对于一些常规流氓操作进行了约束和控制。一般很难靠产品技术来展示,尽量从管理制度、操作规范、员工培训、惩罚制度、保密协议、流程管控方面来说明。 | |||
4. 安全管理中心 | 4.1 系统管理 | a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; | 部署保垒机,通过用户名/口令,或双因子认证等方式对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作。通过堡垒机或日志审计对这些操作进行审计。 | UMA堡垒机 |
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 | 系统管理员通过设备的操作界面进行集中统一系统管理,包括系统资源、配置、控制、异常处理、备份恢复和管理等。 | |||
4.2 审计管理 | a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; | 在网络中各个关键位置相应部署上网行为审计、网络审计、数据库审计、运维审计、日志审计等实现审计管理。通过用户名/口令,或双因子认证等方式对审计管理员进行身份鉴别,并通过系统界面进行集安全审计操作,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计。 | UMA堡垒机、ASG上网行为审计、网络审计、DAS数据库审计、LogAuditor日志审计 | |
b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 | 通过用户名/口令,或双因子认证等方式对审计管理员进行身份鉴别,并通过系统界面进行集中统一审计。审计管理员需要对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。审计管理员可以通过 | |||
4.3 安全管理 | a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计; | 通过用户名/口令,或双因子认证等方式对安全管理员进行身份鉴别,部署保垒机等设备进行集中统一安全管理,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计。 | UMA堡垒机 | |
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 | 通过用户名/口令,或双因子认证等方式对安全管理员进行身份鉴别,部署保垒机等设备进行集中统一安全管理,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 | |||
4.4 集中管控 | a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; | 按基本要求划分特定管理区域,部署安全管理平台,对分布在网络中的安全设备或安全组件进行管控部署安全管理平台、网络管理系统、态势感知、终端安全管理系统、综合审计系统、网络防V软件等硬软件设备网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过安全管理平台进行系统、审计、安全的集中管控,对分散在各个设备上的审计数据进行收集汇总,并对安全日志汇总分析(日志保存时间不少于6个月),从而对网络中发生的各类安全事件进行识别、报警和分析。 | ||
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理; | 建立带外管理网络,通过专门的管理口和传输路径,对网络中的安全设备或安全组件进行管理。 | |||
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; | 部署安全管理平台、网络管理系统、态势感知系统,对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 | SecoManager安全管理平台、eSight网络管理系统、HisecInsight态势感知 | ||
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; | 部署安全管理平台或态势感知系统,对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间满足6个月以上,符合法律法规要求。 | HisecInsight态势感知 | ||
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; | 通过安全设备(如防火墙、IPS、上网行为管理、终端安全管理系统、综合审计系统、网络防V软件等)的集中管控功能,对安全策略、恶意代码、补丁升级等安全相关事项。 | SecoManager安全管理系统,补丁服务器(用户自备) | ||
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。 | 部署态势感知系统,对网络中发生的各类安全事件进行识别、报警和分析,可视化展现整体安全态势。 | HisecInsight态势感知 |
