安全管理中心测评项

安全管理中心

系统管理

应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;

应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份恢复等。

【解读和说明】  

      本控制点主要对系统管理员自身及其职能进行了约束。为了实现系统管理功能,需要对系统管理员进行身份认证并严格限制系统管理员账户的管理权限,所有系统管理操作仅由系统管理员完成。系统管理员的主要职责是对系统资源进行配置、控制和管理等,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

所有系统管理员进行系统登录时都需要经过身份认证,以确保系统管理员账户不会被非法使用。同时,需要严格限制管理员的管理权限,仅给予管理员完成相关工作所需的最小权限,其管理权限、操作权限需要与审计管理员和安全管理员的管理权限、操作权限形成制约。        

系统管理员只允许通过特定的命令(startup、shutdown等被授权的命令)或操作界面(如 HTTPS等)进行系统管理操作。管理内容包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。所有系统管理操作全部需要进行审计,审计措施需要提供存储、管理和查询等功能,相关审计记录需保存至少6个月。

严禁多个用户使用统一账户或一个用户使用多个账户,以防止当系统发生问题后由于多人共享账户,无法精确定位恶意操作或误操作的具体责任人;

严格限制人员对系统管理平台的访问,限制维护人员对数据信息的访问能力及范围,保证信息资源不被非法使用和访问;

系统管理平台启用操作审计功能,针对敏感指令进行阻断相应或触发审核操作,对没有通过审核的敏感指令进行拦截;

严禁仅使用口令登录系统管理平台,在执行主机重启、口令修改、会话创建、快照回滚和磁盘更换等重要操作时,需要使用双因素身份鉴别,确保访问者身份的合法性;

系统管理平台进行严格权限和授权管理控制,以实现细粒度的命令级授权策略,并基于最小权限原则,实现集中有序的运维操作管理。

审计管理

应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;

应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行;

【解读和说明】    

    本控制点主要针对审计管理员自身及其职能进行了约束。为了实现审计管理功能,需要对审计管理员进行身份认证并严格限制 审计管理员账户的管理权限,所有的审计管理操作仅由审计管理员完成。审计管理员主要职责是对系统的审计数据进行查询、统计 和分析对系统用户行为进行监测和报警,对发现的安全事件或违反安全策略的行为及时告警并采取必要的应对措施。        

所有审计管理行为都需要经过身份认证,以确保审计管理员账户没有被非法使用。同时需要严格限制审计管理员的管理权限, 仅授予审计管理员完成相关工作所需的最小权限,其管理权限、操作权限需要与系统管理员和安全管理员的管理权限、操作权限形 成制约。        

所有审计管理操作仅由审计管理员完成。审计管理员仅允许通过特定方式进行审计管理操作,如通过使用口令、证书等身份鉴 别技术进行合法授权后,通过特定的命令(SSH)或操作界面(HTTPS)进行安全审计操作,对所有操作进行详细记录。保证至少6个 月的全流量、全操作日志可查询;保证审计记录有备份并有完整性保护措施等。

安全管理

应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;

应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。

【解读和说明】        

本控制点主要对安全管理员自身及其职能进行了约束。为了实现安全管理功能,需要对安全管理员进行身份认证并严格限制安全管理员账户的管 理权限,所有安全管理操作仅由安全管理员完成。安全管理员的主要职责是对系统的安全策略和安全配置进行统一管理,并对相关安全事件进行集中 检测、分析和管理。        

所有安全管理行为都需要经过身份认证,以确保安全管理员账户没有被非法使用。同时应严格限制安全管理员的管理权限,仅授予安全管理员完 成相关工作所需的最小权限,其管理权限、操作权限应与系统管理员和审计管理员的管理权限、操作权限形成相互制约。        

所有安全管理操作应仅由安全管理员完成,安全管理员只允许通过特定命令(SSH)或操作界面(HTTPS)进行安全管理操作,并对所有操作进行 详细的记录。        

针对提供集中安全管理功能的系统,要求对安全管理员进行授权,通过安全管理员对安全管理中心进行安全监测,对各安全设备进行策略配置, 其中安全参数的设置包括对主体和客体进行统一安全标记、对主体进行授权并为其配置可信策略等。        

配置可信验证策略,即对计算环境、通信网络和区域边界中计算节点的可信验证功能进行策略配置。可信验证由可信根和可信软件基共同完成, 所以策略配置涉及可信根的策略配置和可信软件基的策略配置,从而实现在管理中心侧由安全管理员进行系统可信验证策略的配置和统一管理。安全 管理中心也是计算节点,其应该具备由可信根支撑的可信验证功能。

集中管控

应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;

应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;

应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;

应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;

应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;

应能对网络中发生的各类安全事件进行识别、报警和分析。

【解读和说明】        

本控制点主要明确了安全管理中心在集中管控方面需要具备的安全能力。相关单位需要通过集中管控措施实现对全网中所有 设备或组件的管控,要求相关人员对网络链路、安全设备、网络设备和服务器等设备的运行情况进行集中监测;要求相关人员采 集、汇总、存储各类型设备中的审计数据,并保证审计记录的留存时间符合相关法律法规的要求;要求相关人员对安全策略、恶 意代码、补丁升级等安全相关事项进行集中管理,能够对网络中发生的各类安全事件进行识别、报警和分析。        

为了实现相关单位对全网中所有设备或组件进行集中管控,需要在网络中划分独立的网络区域,用于部署集中管控设备或组件。集中管控措施包括集中监控系统、集中身份认证系统、集中审计系统和集中安全策略管理系统等。        

为了保障网络中数据传输的安全性,需要采用带外管理、独立管理VLAN 和加密的远程访问等安全方式对设备或安全组件进行集中管理。

集中管控

应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;

应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;

应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;

应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;

应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;

应能对网络中发生的各类安全事件进行识别、报警和分析。

【解读和说明】        

        为了保障业务系统的正常运行,需要在网络中部署具备运行状态监测功能的系统或设备,如综合网管系统等,对网络链路、网络设备、安全设备、服务器和应用系统的运行状态进行集中实时监控。        

         为了发现网络中潜在的安全风险,相关单位需要部署集中安全管理平台,对基础网络平台及其上运行的各类型设备的审计记录进行收集和存储,同时需要接收来自其他安全管理系统的处理结果或预警信息,实现综合安全分析、事件预警和安全态势感知等。对基础网络平台范围内的各类安全事件进行实时的识别和分析,通过声、光、短信和邮件等方式进行实时报警。安全事件包括有害程序事件、网络攻击事件、信息破坏事件和设备设施故障等。每种分类还包含了具体的安全事件。例如,有害程序事件包括病毒、蠕虫和木马等网络攻击事件包括僵尸网络、混合攻击、网页内嵌恶意代码、拒绝服务攻击、后门攻击漏洞攻击、网络扫描窃听和钓鱼等;信息破坏事件包括网络干扰、信息篡改、身份假冒窃取信息和信息丢失等;软硬件故障及衍生出的新型网络安全事件等。审计记录的存储时间需要符合相关法律法规的要求,目前,《网络安全法》规定审计记录的保存时间不少于6个月。

在安全管理中心部署各类或统一的集中安全策略管理平台,实现对各类型设备或系统安全策略的统一管理,包括防火墙、入侵防御系统(IPS)和应用防火墙(WAF)等;实现对恶意代码防范软件及病毒库的统一升级;实现对各类型系统或设备的补丁升级进行集中管理,包括操作系统及其系统组件等。        

为了保证全网设备或系统时钟一致,建议部署统一时钟源,如GPS 授时、北斗授时或可靠的网络时钟源等,所有设备或系统配置NTP时钟同步服务实现时间同步。时间同步技术使数据产生与处理系统的所有节点具有统一的标准时间,使系统中的各种消息、事件节点和数据等具备逻辑性、协调性及可追溯性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/861605.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MapStruct-JavaBean映射工具使用指南

在软件开发中,对象之间的转换是一项常见的任务,尤其是在处理数据模型间的映射时。传统的做法,如使用JavaBeanUtils,可能会导致性能下降,而手动编写转换代码则效率低下且易出错。为了解决这些问题,MapStruct…

为何整个 AI 领域都朝着 AI Agents 这一方向发展?

编者按: 当前大热的大语言模型和检索增强生成模型,虽然在语言理解和内容生成方面取得了突破性的进展,但仍然存在诸多限制。它们缺乏根据目标导引行为、持续学习和与环境交互的能力,难以应对复杂多变的现实场景需求。 今天为大家带…

Go Error 处理

💝💝💝欢迎莅临我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:「stormsha的主页」…

HarmonyOS(39) Preferences 入门指南

Preferences Preferences应用实例初始化preferences保存并持久化数据获取数据 参考资料 Preferences Android开发程序员对此应该很熟悉,HarmonyOS里的Preferences跟Android里的SharePreference差不多,应用提供Key-Value键值型的数据处理能力&#xff0c…

HTTP性能测试工具 —— wrk!

wrk性能测试工具详解 wrk是一款轻量级但功能强大的HTTP基准测试工具,主要用于在单机多核CPU环境下对HTTP服务进行性能测试。它通过利用系统自带的高性能I/O机制(如epoll、kqueue等),结合多线程和事件模式,能够产生大量…

AI 助力的在线 Excel 表格:真正的革命还是市场噱头?

在当今数字化和自动化的时代,人工智能(AI)技术被广泛应用于各种领域,从智能手机到工业生产,无所不在。最近,一些产品声称通过AI技术来增强传统的办公软件,如在线Excel表格。例如,Cha…

香港裸机云服务器连接失败怎么办?

香港裸机云服务器连接失败可能由多种原因引起。以下是一些建议和步骤,帮助诊断和解决问题,rak部落小编为您整理发布香港裸机云服务器连接失败的相关内容。 1. 检查网络连接: - 确认您的设备已经连接到互联网,并且网络状态稳定。 -…

1966 ssm 流浪猫领养网站系统开发mysql数据库web结构java编程计算机网页源码eclipse项目

一、源码特点 ssm 流浪猫领养网站系统是一套完善的信息系统,结合springMVC框架完成本系统,对理解JSP java编程开发语言有帮助系统采用SSM框架(MVC模式开发),系统具有完整的源代码和数据库,系统主要采用B/…

华为od-C卷200分题目3 - 两个字符串间的最短路径问题

华为od-C卷200分题目3 - 两个字符串间的最短路径问题 题目描述 给定两个字符串,分别为字符串A与字符串B。 例如A字符串为ABCABBA,B字符串为CBABAC可以得到下图m*n的二维数组,定义原点为(0, 0),终点为(m, n),水平与垂…

五月软考满分范文“模型驱动架构设计方法及其应用”,软考高级,系统架构设计师

论文真题 模型驱动架构设计是一种用于应用系统开发的软件设计方法,以模型构造、模型转换和精化为核心,提供了一套软件设计的指导规范。在模型驱动架构环境下,通过创建出机器可读和高度抽象的模型实现对不同问题域的描述,这些模型独立于实现技术,以标准化的方式储存,利用…

Docker(九)-Docker运行redis6.0.8容器实例

1.宿主机新建目录存放redis.conf文件 目的:运行redis容器实例时使用自己的配置文件2.运行redis容器实例 docker run -d -p 6379:6379 --privilegedtrue -v 【宿主机配置文件目录】:/etc/redis/redis.conf -v 【宿主机数据目录】:/data --nameredis6.0.8 redis:6.0…

Elasticsearch(ES)在启动时会执行一系列检查,以确保它运行在稳定和兼容的环境中

Elasticsearch(ES)在启动时会执行一系列检查,以确保它运行在稳定和兼容的环境中。其中一项检查就是针对OpenJDK的早期访问(Early Access)版本。OpenJDK的Early Access版本是为即将发布的版本提供的预览版,它…

从挑战到实战!TDengine 新能源行业研讨会要点回顾

近年来,随着全球对可再生能源需求的不断增长,新能源行业迎来了前所未有的发展机遇。然而,伴随着行业的快速发展,海量数据的管理和高效利用成为了行业面临的重要挑战。如何通过先进的数据管理技术提升新能源系统的效率和可靠性&…

安科瑞智能物联网远传电表的优势

物联网远传智能电表是一种新型的电表,它通过物联网技术实现了电能的远程监测和管理。下面是物联网远传智能电表的优缺点:王盼盼;18721098782/Acrel 优点: 1. 实现了电能的远程监测和管理,可以随时随地了解电能的使用…

烟火监测报警摄像机

当今社会,随着城市化进程的加快和人们生活水平的提高,烟火监测报警摄像机作为一种新型智能安防设备,正逐步在各个领域得到广泛应用,其在保障公共安全和预防火灾中的作用日益凸显。烟火监测报警摄像机利用先进的视觉识别技术和智能…

基于FreeRTOS+STM32CubeMX+LCD1602+MCP3304(SPI接口)的8通道ADC转换器Proteus仿真

一、仿真原理图: 二、仿真效果: 三、STM32CubeMX配置: 1)、GPIO配置: 2)、SPI接口配置: 三、软件代码: 1)、GPIO初始化: static void MX_GPIO_Init(void) { GPIO_InitTypeDef GPIO_InitStruct = {0}; /* GPIO Ports Clock Enable */ __HAL_RCC_GPIOC_CLK_ENABL…

Markdown快速生成PPT!用这2个AI办公软件就够了!

对于喜欢使用Markdown编辑内容的人来说,经常会遇到诸如此类的需求: Markdown怎么生成PPT?Markdown怎么生成思维导图?Markdown怎么生成Word,或是导出为Word?Markdown怎么生成表格?…… 使用了比…

如何正确关闭偶发的安卓App闪退Bug?

对于测试遇到偶现的Bug,很多软件测试工程师的做法都是尽量的复现问题的步骤,在复现的过程,有的是录制视频或者打开日志,以便复现的时候,能捕捉到,定位问题,最后如果没有,那就先把问题…

RabbitMQ的Fanout交换机

Fanout交换机 Fanout,英文翻译是扇出,我觉得在MQ中叫广播更合适。 在广播模式下,消息发送流程是这样的: 1) 可以有多个队列2) 每个队列都要绑定到Exchange(交换机)3) …

嵌入技术Embedding

嵌入(Embedding)是一种将高维数据映射到低维空间的技术,广泛应用于自然语言处理(NLP)、计算机视觉和推荐系统等领域。嵌入技术的核心思想是将复杂的数据表示为低维向量,使其在这个低维空间中保留尽可能多的…