安全管理中心
按照“一个中心,三重防御”的纵深防御思想,“安全管理中心”将是纵深防御体系的“大脑”,即通过“安全管理中心”实现技术层面的系统管理、审计管理和安全管理,同时高级别等级保护对象通过“安全管理中心”实现集中管控。注意这里的“安全管理中心”并非一个机构,也并非一个产品,它是一个技术管控枢纽,通过管理区实现管理,并通过一个技术工具或多个技术工具实现一定程度上的集中管理。
安全管理中心针对整个系统提出了安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。以下以三级等级保护对象为例,描述安全管理中心各个控制要求项的检查方法、检查对象和期望结果等。
控制点
1.系统管理
系统管理通过系统管理员实施完成,系统管理可以每个设备单独管理也可以通过统一管理平台集中管理。系统管理主要关注是否对系统管理员进行身份鉴别、是否只允许系统管理员通过特定的命令或操作界面进行系统管理操作、是否对系统管理操作进行审计。系统管理的主要目的是为确保系统管理操作的安全性。
a)*
安全要求:应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作行为进行审计。
要求解读:要求对系统管理员进行身份认证并严格限制系统管理员账户的管理权限,仅允许系统管理员通过特定方式进行系统管理操作,并对所有操作进行详细的审计记录。
检查方法
1.应检查是否对系统管理员进行身份鉴别。
2.应检查是否只允许系统管理员通过特定的命令或操作界面进行系统管理操作。
3.应检查是否对系统管理操作进行审计。
测评对象
系统管理操作审计记录
期望结果
1.对管理员的登录进行认证;
2.使用了管理工具或特定命令;
3.所有操作有日志记录。
b)
安全要求:应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
要求解读:系统管理操作应由系统管理员完成,其管理、操作内容应不同于审计管理员和安全管理员。
检查方法
应检查是否通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
测评对象
系统管理员
期望结果
1.管理员有权限划分;
2.权限不同于审计管理员和安全管理员。