网站建设及维护费用,苏州建设建设信息网站,2021年网络营销案例,网站开发整合编辑器安全管理中心
本控制项为网络安全等级保护标准的技术部分。本项主要包括系统管理、审计管理、安全管理和集中管控四个控制点#xff0c;其中的集中管控可以说是重中之重#xff0c;主要都是围绕它来展开的。
28448基本要求中安全管理中心
8.1.5 安全管理中心
8.1.5.1 系统…安全管理中心
本控制项为网络安全等级保护标准的技术部分。本项主要包括系统管理、审计管理、安全管理和集中管控四个控制点其中的集中管控可以说是重中之重主要都是围绕它来展开的。
28448基本要求中安全管理中心
8.1.5 安全管理中心
8.1.5.1 系统管理 a) 应对系统管理员进行身份鉴别只允许其通过特定的命令或操作界面进行系统管理操作并对这些操作进行审计 b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
8.1.5.2 审计管理 a) 应对审计管理员进行身份鉴别只允许其通过特定的命令或操作界面进行安全审计操作并对这些操作进行审计 b) 应通过审计管理员对审计记录应进行分析并根据分析结果进行处理包括根据安全审计策略对审计记录进行存储、管理和查询等。
8.1.5.3 安全管理 a) 应对安全管理员进行身份鉴别只允许其通过特定的命令或操作界面进行安全管理操作并对这些操作进行审计 b) 应通过安全管理员对系统中的安全策略进行配置包括安全参数的设置主体、客体进行统一安全标记对主体进行授权配置可信验证策略等。
8.1.5.4 集中管控 a) 应划分出特定的管理区域对分布在网络中的安全设备或安全组件进行管控 b) 应能够建立一条安全的信息传输路径对网络中的安全设备或安全组件进行管理 c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测 d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析并保证审计记录的留存时间符合法律法规要求 e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理 f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
系统管理、审计管理、安全管理
主要的检查点包括系统、审计、安全管理。
三员管理系统管理员、审计管理员和安全管理员体现了“三权分立”思想“三权”相互分开、互相制衡并保持平衡。三员的管理在等保三级中提出了身份鉴别、操作管理、行为审计、内容要求四个方面。网络安全管理可以简单理解为对“正确授权的管理”按照“最小权限原则”对操作员进行管理。比如现在基于身份即安全理念的“零信任”、“4A管控平台”等都是基于身份、认证、授权、审计能力的整合。
按照对标准的理解来看最起码要做到的就是双因子验证这是最基本的也就是说账户密码方式算一种也可以像手机这种针对唯一设备的随机验证码、堡垒机算一种、4A认证授权算一种、指纹和面部等生物识别算一种、声控、身份密钥可插拔U-Key或是卡片算一种诸如此类的选其中两种组合都可以。
系统管理员的权限控制要求只允许特定的命令或操作界面来管理并对操作进行审计。两点要求至于特定命令这条理解有些出入也许适用一些定制化的自研系统不过这里用的是或也就是说只要有后台登录界面供管理员登录不要随便就能进入后台即可而且管理员所有操作都要记录可以查询。
此外则是对于系统的一些关键性操作应由系统管理员来操作也就是只有管理员有权限做这些操作而且管理员一般只有一个账户其他用户没有相关权限进行此类操作。 审计管理员主要职责在于审计分析重点是记录的存储、管理和查询即日志留存和保护工作6个月全流量全操作日志可查询有备份有完整性保护避免被修改等等。
安全管理员主要负责安全策略的配置参数设置安全标记授权以及安全配置检查和保存等。这里只说了一部分要求的内容实际中企业安全部门要管的事情很多。对此要注意以下几点 1 对特权账号的访问控制功能包括共享账号和应急账号 2 监控、记录和审计特权访问操作、命令和动作 3 自动地对各种管理类、服务类和应用类账户的密码及其它凭据进行随机化、管理和保管 4 为特权指令的执行提供一种安全的单点登录SSO机制 5 委派、控制和过滤管理员所能执行的特权操作 6 隐藏应用和服务的账户让使用者不用掌握这些账户实际的密码 7 具备或者能够集成高可信认证方式譬如集成 MFAMulti-Factor Authentication多因子认证。
本控制点主要适用于甲方管理员日常工作职责也涵盖系统开发的研发部门或外包服务商做好三同步工作设计阶段就把相关合规要求涵盖其中。对于乙方涉及到产品的可以从合规角度出发设计满足网安法三同步的要求从实际角度来看更多的还是技术手段配合管理来做才有效果。
集中管控
针对安全设备和安全组件将其管理接口和数据单独划分到一个区域中与生产网分离实现独立且集中的管理。大部分安全设备都有管理接口其他功能接口不具备管理功能也不涉及IP地址这里要求就是将此类管理接口统一汇总到一个Vlan内比如所有设备管理口都只能由堡垒机进行登录堡垒机单独划分在一个管理Vlan中。
实际应用案例就是带外管理。带外网管是指通过专门的网管通道实现对网络的管理将网管数据与业务数据分开为网管数据建立独立通道。在这个通道中只传输管理数据、统计信息、计费信息等网管数据与业务数据分离可以提高网管的效率与可靠性也有利于提高网管数据的安全性。由于带外网管提供了访问设备的通道因此可以把通过网络访问设备Telnet等方式方式进行严格限制可以降低网络安全隐患。比如限定特定的IP地址才可以通过Telnet访问设备。大部分的访问均通过带外网管系统进行可以把整个IT环境设备的访问统一到带外网管系统。与传统的设备管理各自为政不同通过带外网管可以很容易做到不同用户名登录对应不同设备管理权限一个IT TEAM可以根据各个人员职责不同进行授权。
了解了上述集中管控理念之后对接下来的几点也就比较容易理解和实现了。比如安全的信息传输路径SSH、HTTPS、VPN等对链路、设备和服务器运行状况进行监控并能够告警堡垒机、网络监控平台等设备上的审计日志服务器、日志管理平台等这里啰嗦一句不但要有策略配置而且要合理有效并且为启用状态策略、恶意代码、补丁升级集中管理漏洞统一管理平台至少要包括所述的三者进行集中管控安全事件的识别、报警和分析态势感知平台、IDPS、FW等可以是平台也可以是应急响应团队。这里听起来都放到一起就是SOC其实这其中要求的每一项能做到独立的集中管控即可如果有能力集成到一个大平台那更好。
本控制点偏向日常安全运维主要包括集中管理区域、策略管理、漏洞管理、日志管理、安全事件管理。单独来看每项都有对应的产品。建议一步步来建设和提升安全防护能力。
