对“一个中心,三重防护”中安全管理中心的理解

安全管理中心

本控制项为网络安全等级保护标准的技术部分。本项主要包括系统管理、审计管理、安全管理和集中管控四个控制点,其中的集中管控可以说是重中之重,主要都是围绕它来展开的。

28448基本要求中安全管理中心

8.1.5 安全管理中心

8.1.5.1 系统管理
a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

8.1.5.2 审计管理
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。

8.1.5.3 安全管理
a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。

8.1.5.4 集中管控
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。

系统管理、审计管理、安全管理

主要的检查点包括:系统、审计、安全管理。

三员管理(系统管理员、审计管理员和安全管理员)体现了“三权分立”思想,“三权”相互分开、互相制衡,并保持平衡。三员的管理在等保三级中提出了身份鉴别、操作管理、行为审计、内容要求四个方面。网络安全管理可以简单理解为对“正确授权的管理”,按照“最小权限原则”对操作员进行管理。比如现在基于身份即安全理念的“零信任”、“4A管控平台”等都是基于身份、认证、授权、审计能力的整合。

按照对标准的理解来看,最起码要做到的就是双因子验证,这是最基本的,也就是说账户密码方式算一种(也可以像手机这种针对唯一设备的随机验证码)、堡垒机算一种、4A认证授权算一种、指纹和面部等生物识别算一种、声控、身份密钥(可插拔U-Key或是卡片)算一种,诸如此类的选其中两种组合都可以。

系统管理员的权限控制,要求只允许特定的命令或操作界面来管理,并对操作进行审计。两点要求,至于特定命令这条,理解有些出入,也许适用一些定制化的自研系统,不过这里用的是或,也就是说只要有后台登录界面供管理员登录,不要随便就能进入后台即可,而且管理员所有操作都要记录,可以查询。

此外则是对于系统的一些关键性操作,应由系统管理员来操作,也就是只有管理员有权限做这些操作,而且管理员一般只有一个账户,其他用户没有相关权限进行此类操作。
审计管理员主要职责在于审计分析,重点是记录的存储、管理和查询,即日志留存和保护工作,6个月全流量全操作日志,可查询,有备份,有完整性保护,避免被修改等等。

安全管理员主要负责安全策略的配置,参数设置,安全标记,授权以及安全配置检查和保存等。这里只说了一部分要求的内容,实际中企业安全部门要管的事情很多。对此,要注意以下几点:
1) 对特权账号的访问控制功能,包括共享账号和应急账号;
2) 监控、记录和审计特权访问操作、命令和动作;
3) 自动地对各种管理类、服务类和应用类账户的密码及其它凭据进行随机化、管理和保管;
4) 为特权指令的执行提供一种安全的单点登录(SSO)机制;
5) 委派、控制和过滤管理员所能执行的特权操作;
6) 隐藏应用和服务的账户,让使用者不用掌握这些账户实际的密码;
7) 具备或者能够集成高可信认证方式,譬如集成 MFA(Multi-Factor Authentication,多因子认证)。

本控制点主要适用于甲方管理员日常工作职责,也涵盖系统开发的研发部门或外包服务商,做好三同步工作,设计阶段就把相关合规要求涵盖其中。对于乙方,涉及到产品的,可以从合规角度出发设计,满足网安法三同步的要求,从实际角度来看,更多的还是技术手段配合管理来做才有效果。

集中管控

针对安全设备和安全组件,将其管理接口和数据单独划分到一个区域中,与生产网分离,实现独立且集中的管理。大部分安全设备都有管理接口,其他功能接口不具备管理功能,也不涉及IP地址,这里要求就是将此类管理接口统一汇总到一个Vlan内(比如所有设备管理口都只能由堡垒机进行登录,堡垒机单独划分在一个管理Vlan中)。

实际应用案例就是带外管理。带外网管是指通过专门的网管通道实现对网络的管理,将网管数据与业务数据分开,为网管数据建立独立通道。在这个通道中,只传输管理数据、统计信息、计费信息等,网管数据与业务数据分离,可以提高网管的效率与可靠性,也有利于提高网管数据的安全性。由于带外网管提供了访问设备的通道,因此可以把通过网络访问设备(Telnet等方式)方式进行严格限制,可以降低网络安全隐患。比如限定特定的IP地址才可以通过Telnet访问设备。大部分的访问均通过带外网管系统进行,可以把整个IT环境设备的访问统一到带外网管系统。与传统的设备管理各自为政不同,通过带外网管可以很容易做到不同用户名登录对应不同设备管理权限,一个IT TEAM可以根据各个人员职责不同进行授权。

了解了上述集中管控理念之后,对接下来的几点也就比较容易理解和实现了。比如安全的信息传输路径(SSH、HTTPS、VPN等);对链路、设备和服务器运行状况进行监控并能够告警(堡垒机、网络监控平台等);设备上的审计(日志服务器、日志管理平台等),这里啰嗦一句,不但要有策略配置,而且要合理有效并且为启用状态;策略、恶意代码、补丁升级集中管理(漏洞统一管理平台),至少要包括所述的三者进行集中管控;安全事件的识别、报警和分析(态势感知平台、IDPS、FW等,可以是平台也可以是应急响应团队)。这里听起来都放到一起就是SOC,其实这其中要求的每一项能做到独立的集中管控即可,如果有能力集成到一个大平台那更好。

本控制点偏向日常安全运维,主要包括集中管理区域、策略管理、漏洞管理、日志管理、安全事件管理。单独来看,每项都有对应的产品。建议一步步来建设和提升安全防护能力。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/57519.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ELK之路第二步——可视化界面Kibana

Kibana 1.安装2.解压3.修改配置4.启动 这部分内容就比较简单了,水一片文章。 1.安装 需要梯子 官网下载链接:https://www.elastic.co/cn/downloads/past-releases/kibana-7-3-0 如果你去官网下载页面,点击下载是404报错,记得切换…

redis的zset实现下滑滚动分页查询思路

常规zset查询 我们redis的数据为 我们知道 我们常规查询的话 我们假如 zset 表中 有7个元素,然后我们进行分页查询的话,我们一次查3个元素,然后查出来元素 和元素的分数 我们redis的语法应该这样写 zrevrangebyscore wang 1000 0 withsc…

Flutter 12 实现双击屏幕显示点赞爱心多种动画(AnimationIcon)效果

本文主要是使用Flutter封装一个双击屏幕显示点赞爱心UI效果,并实现了爱心Icon 透明度、缩放、旋转、渐变等动画效果。 实现效果: 实现逻辑: 1、封装FavoriteGesture(爱心手势)实现双击屏幕显示爱心Icon; …

【设计模式系列】抽象工厂模式

一、什么是抽象工厂模式 抽象工厂模式(Abstract Factory Pattern)是一种创建型设计模式,它提供了一个接口,用于创建一系列相关或相互依赖的对象,而无需指定它们具体的类。这种模式允许客户端使用抽象的接口来创建一组…

VoLTE 微案例:VoLTE 注册失败,I-CSCF 返回 403,HSS(UAR) 返回 5001

目录 1. 问题描述 2. 故障注册流程与正常流程对照 3. 结论 博主wx:yuanlai45_csdn 博主qq:2777137742 想要 深入学习 5GC IMS 等通信知识(加入 51学通信),或者想要 cpp 方向修改简历,模拟面试,学习指导都可以添加博主低价指导哈。 1. 问题描述

对比迁移项目的改动

文章目录 对比迁移项目的改动场景背景解决方案 对比迁移项目的改动 场景背景 同源定制化项目,同一套代码扩展出来的项目(从领导口中得知) A项目的有三维地图展示,项目B跑起来却加载不出来,但是本地运行A项目代码&…

Unity性能优化3【内存基础篇】

1.性能、内存管理和垃圾收集的关系 先说结论,内存管理影响着游戏性能,垃圾收集是内存管理的重要部分。 当我们的游戏运行时,它使用内存来存储数据。当不再需要此数据时,存储该数据的内存将被释放,以便可以重复使用。…

vue-pc 实现内嵌式微信扫码登录(附完整代码)

一、准备工作 1. 注册微信开放平台账号 地址:([https://open.weixin.qq.com/](https://open.weixin.qq.com/)) 2. 申请开发者资质认证: 3. 创建网站应用 4. 查看应用详情,拿到 AppID 、 AppSecret 和 redirect_uri (授…

如何在服务器上部署开源大模型 GLM-4-9B-Chat 并应用到RAG应用中

本地服务器部署开源大模型有一个前提,就是得有 GPU 显卡资源,在我下面的例子中我租用了 autodl 中的算力资源,具体是租用了一张消费级别的 RTX 3090 显卡。 环境配置 操作系统及版本:ubuntu 22.04CUDA 版本: 12.1pyto…

【MATLAB源码-第263期】基于matlab的帝企鹅优化算法(EPO)无人机三维路径规划,输出做短路径图和适应度曲线.

操作环境: MATLAB 2022a 1、算法描述 帝企鹅优化算法(Emperor Penguin Optimizer,简称EPO)是一种基于自然现象的优化算法,灵感来自于帝企鹅在南极极寒环境中的生活习性。帝企鹅是一种群居动物,生活在极端…

再创佳绩 | 竹云荣获“数据要素×”大赛黑龙江分赛一等奖!

近日,由国家数据局、黑龙江省人民政府指导,黑龙江省发改委、黑龙江省数据局主办的2024年“数据要素”大赛黑龙江分赛决赛盛大召开。竹云作为联合单位参与《供热数据资产登记评价中心供热数据要素综合服务平台》项目,荣获绿色低碳赛道一等奖。…

C++ [项目] 愤怒的小鸟

现在才发现C游戏的支持率这么高,那就发几篇吧 零、前情提要 此篇为 制作,由于他没有CSDN,于是由我代发 一、基本介绍 支持Dev-C5.11版本(务必调为英文输入法),基本操作看游戏里的介绍,怎么做的……懒得说,能看懂就看注释,没有的自己猜,如果你很固执……私我吧 …

java-实例化一个List,然后添加数据的方法详解

在Java中,实例化一个 List 并向其中添加数据非常简单。List 是一个接口,因此我们通常使用它的常见实现类 ArrayList 或 LinkedList。以下是一些常见的操作方法: ### 1. 使用 ArrayList 实例化并添加数据 java import java.util.ArrayList; …

基于K8S的StatefulSet部署mysql主从

StatefulSet特性 StatefulSet的网络状态 拓扑状态:应用的多个实例必须按照某种顺序启动,并且必须成组存在,例如一个应用中必须存在一个A Pod和两个B Pod,且A Pod必须先于B Pod启动的场景 存储状态:应用存在多个实例&…

分享Vue3中的一个路由加载函数,基于Glob导入模式,根据路径自动生成路由

哈喽,大家好!我是「励志前端小黑哥」,我带着最新发布的文章又来了! 专注前端领域10年,专门分享那些没用的前端知识! 今天要分享的内容,是一段路由加载的函数代码,这段代码能自动读取…

StringBulider和StringBuffer的底层源码剖析

要深入了解 StringBuffer 和 StringBuilder 的区别,从底层源码的角度来解析,包括它们的创建、扩容机制等,可以参考 JDK 1.8 的源码。 1. AbstractStringBuilder 类 StringBuffer 和 StringBuilder 都继承自 AbstractStringBuilder。…

Three.js实现小米 su7 压缩后的模型加载

Three.js实现小米 su7 压缩后的模型加载 预览: https://threehub.cn/#/codeMirror?navigationThreeJS&classifybasic&idgltfOptLoader import * as THREE from three import { OrbitControls } from three/examples/jsm/controls/OrbitControls.js impo…

复旦大学全球供应链研究中心揭牌,合合信息共话大数据赋能

10月13日,复旦大学全球供应链研究中心(以下简称“中心”)揭牌仪式在复旦大学管理学院政立院区隆重举行。我国的供应链体系庞大复杂,在百年未有之大变局下,保障产业链供应链安全已成为我国的重要战略目标。中心的设立旨…

《Vue3 版本差异》Vue3.5+ 在组件或HTML元素绑定 ref 差异

组件上的 ref,组合式写法的变化; 在 2024.09.03 发布的 v3.5.0 版上新增接口 useTemplateRef; v3.5 之前 代码第 8 行,导入 ref;代码第 10 行,使用 ref 传参为 null,变量名与 第三行 ref 同…

【python】sorted() list.sort()

文章目录 sorted()和list.sort()sorted 函数sorted()根据键对字典排序根据字典的键排序根据字典的值排序将排序结果转换回字典 list.sort() 方法总结 keylambda student: student[age] sorted()和list.sort() 在Python中,sorted 函数和 list.sort() 方法都可以用来…