安全管理中心
控制点
4.集中管控
集中管控是指在网络中建立一个独立的管理区域,由该区域对安全设备或安全组件进行统一管控的过程。为了提高安全运维管理的有效性,通过集中管控的方式,实现设备的统一监控、日志的统一分析。安全策略的统一管理和安全事件的统一分析等。实现集中管控可以通过一个平台实现,也可通过多个平台或工具分别实现不同的管控。
a)**
安全要求:应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控。
要求解读:应在网络中独立配置一个网络区域,用于部署集中管控措施。集中管控措施包括:集中监控系统、集中审计系统和集中安管系统等,通过这些集中管控措施实现对整个网络的集中管理。
检查方法
1.应检查是否划分出单独的网络区域用于安全管理。
2.检查是否各个安全设备或安全组件的配置等管理均由管理区的设备进行。
测评对象
1.网络管理区划分
2.安全设备或安全组件配置管理
期望结果
1.网络拓扑图中有管理区;
2.安全设备或组件的管理设备均在管理区。
b)**
安全要求:应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。
要求解读:为了保障网络中信息传输的安全性,应采用安全方式对设备或安全组件进行管理。
检查方法
应检查是否采用安全方式(如SSH、HTTPS、IPSec VPN等)对安全设备或安全组件进行管理,或者是否使用独立的带外管理网络对安全设备或安全组件进行管理。
测评对象
安全组件管理方式
期望结果
采用安全方式对设备进行访问,并对配置信息进行记录。
例如:
ssh server enabe
ssh user cssnet service-type stelnet authentication-type password
c)*
安全要求:应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。
要求解读:为了保障业务系统的正常运行,应在网络中部署具备运行状态监测功能的系统或设备,对网络链路、网络设备、安全设备、服务器及应用系统的运行状态进行集中、实时监控。
检查方法
1.应检查是否部署了具备运行状态监测功能的系统或设备,能够对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。
2.应测试验证运行状态监测系统是否根据网络链路、安全设备、网络设备和服务器等的工作状态、依据设定的阀值(或默认阀值)实时报警。
测评对象
具备监测功能的系统或平台
期望结果
具备设备检测功能的系统或平台。
高风险判定
满足以下条件即可判定为高风险且无补偿因素:
(高可用性的三级及以上系统)
对网络链路、网络设备、安全设备和服务器的运行状况无任何监控措施,发生故障后无法及时对故障进行定位和处理。
d)**
安全要求:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
要求解读:部署集中审计分析系统,实现对基础网络平台及其上运行的各类型设备进行统一的日志收集、存储,并定期进行审计分析,从而发现潜在的安全风险。日志存储时间应符合法律法规要求,目前网络安全法要求日志保存时间不少于6个月。
检查方法
1.应检查各个设备是否配置并启用了相关策略,将审计数据发送到独立于设备自身的外部集中安全审计系统中。
2.应检查是否部署统一的集中安全审计系统,统一收集和存储各设备日志,并根据需要进行集中审计分析。
3.应检查审计记录的留存时间是否至少为6个月。
测评对象
1.日志审计设备
2.审计记录
期望结果
1.设备日志进行了转发;
2.平台具备审计分析功能;
3.审计记录保存至少6个月以上。
高风险判定
满足以下条件即可判定为高风险:
关键网络设备、关键安全设备、关键主机设备(包括操作系统、数据库等)的重要操作、安全事件等审计记录的留存不满足法律法规规定的相关要求(不少于6个月)
补偿因素:
对于被测对象上线不足6个月的情况,可从当前日志保存情况、日志备份策略、日志存储容量等角度进行综合分析,酌情判定风险等级。
e)*
安全要求:应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。
要求解读:在安全管理区域部署集中管理措施,应实现对各类型设备(如:防火墙、I PS、IDS、WAF等)安全策略的统一管理;应实现对网络恶意代码防护设备、主机操作系统恶意代码防护软件病毒规则库的统一升级;应实现对各类型设备(如:主机操作系统、数据库操作系统等)的补丁升级进行集中管理等。
检查方法
1.应检查是否能够对安全策略(如防火墙访问控制策略、入侵保护系统防护策略、WAF安全防护策略等)进行集中管理。
2.应检查是否实现对操作系统防恶意代码系统及网络恶意代码防护设备的集中管理,实现对防恶意代码病毒规则库的升级进行集中管理。
3.应检查是否实现对各个系统或设备的补丁升级进行集中管理。
测评对象
各类设备安全策略的集中管理情况
期望结果
1.具有统一策略管理平台或多个(比如防火墙、IPS、IDS、WAF等安全设备)分别策略管理的工具;
2.通过平台或工具可以实施策略管理。
f)*
安全要求:应能对网络中发生的各类安全事件进行识别、报警和分析。
要求解读:能够通过集中管控措施,对基础网络平台范围内各类安全事件(如设备故障、恶意攻击、服务性能下降等)进行实时的识别、分析,并通过声、光、短信、邮件等措施进行实时报警。
检查方法
1.应检查是否部署了相关系统平台能够对各类安全事件进行分析并通过声光等方式实时报警。
2.检查监测范围是否能够覆盖网络所有可能的安全事件。
测评对象
网络安全事件管理平台/工具
期望结果
1.具有安全事件管理平台或工具;
2.相关平台或工具收集足够的可能安全事件,并具备报警提示功能。
高风险判定
满足以下条件即可判定为高风险:
无法对网络中发生的网络攻击、恶意代码传播等安全事件进行识别、报警和分析。
补偿因素:
对于与互联网完全物理隔离的系统,可从网络管控措施、介质管控措施、应急措施等角度进行综合风险分析,酌情判定风险等级。