《2021信息安全技术网络安全等级保护安全管理中心技术要求.docx》由会员分享,可在线阅读,更多相关《2021信息安全技术网络安全等级保护安全管理中心技术要求.docx(29页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、信息安全技术网络安全等级保护安全管理中心技术要求d)支持对数据采集信息按照特定规则进行合并。6.1.2. 2.2 审计数据采集对象审计数据采集对象应满足以下要求:a)支持对网络设备(如交换机、路由器、流量管理、负载均衡等网络基础设备)的审计数据采集;b)支持对主机设备(如服务器操作系统等应用支撑平台和桌面电脑、笔记本电脑、手持终端等终 端 用户访问信息系统所使用的设备)的审计数据采集;c)支持对数据库(如Oracle、My SQL MSSQL Server等)的审计数据采集;d)支持对安全设备(如防火墙、入侵监测系统、抗拒绝服务攻击设备、防病毒系统、应用安全审 计 系统、访问控制系统等与信息系
2、统安全防护相关的各种系统和设备)的审计数据采集;e)支持对各类中间件的审计数据采集;f)支持对机房环境控制系统(如空调、温度、湿度控制、消防设备、门禁系统等)的审计数据采集;g)在云计算平台中,应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审 计;h)在工业控制系统中,应对工业控制现场控制设备、网络安全设备、网络设备、服务器、操作站 等 设备的网络安全监控和报警、网络安全日志信息进行集中管理。1.1.2. 2.3 审计数据采集方式审计数据采集方式应满足以下要求:a)支持通过如Syslog. SNMP等协议采集各种系统或设备上的审计数据;b)通过统一接口,接收被管理对象的安全审
3、计数据。1.2 接口要求6. 2.1第三方插件/Agent接口协议要求安全管理中心应支持SNMP Trap、Syslog Web Service等常规接口和自定义接口以及第三方的插 件或者Agent的接口实现各组件之间、与第三方平台之间的数据交换。7. 2.2接口安全要求接口安全要求应满足以下要求:a)采用安全的接口协议,保证接口之间交互数据的完整性;b)采用加密技术实现接口之间交互数据的保密性。1.3 自身安全要求6. 3.1身份鉴别安全管理中心控制台的管理员身份鉴别应满足以下要求:a)提供专用的登录控制模块对管理员进行身份标识和鉴别;b)提供管理员用户身份标识唯一和鉴别信息复杂度检查功能,
4、保证不存在重复用户身份标识,身 份 鉴别信息不易被冒用;c)提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。7. 3. 2访问控制安全管理中心控制台的访问控制应满足以下要求:a)提供自主访问控制功能,依据安全策略控制管理员对各功能的访问;b)自主访问控制的覆盖范围应包括所有管理员、功能及它们之间的操作;c)由授权管理员配置访问控制策略,并禁止默认账户的访问。8. 3. 3 安全审计安全管理中心控制台的安全审计应满足以下要求:a)提供覆盖到每个管理员的安全审计功能,记录所有管理员对重要操作和安全事件进行审计;b)保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;c)
5、审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;d)提供对审计记录数据进行统计、查询的功能。9. 3. 4软件容错安全管理中心控制台的软件容错应提供数据有效性检验功能,保证通过人机接口输入或通过接口输 入 的数据格式或长度符合系统设定要求。10. 3. 5资源控制安全管理中心控制台的资源控制应满足以下要求:a)对管理员登录地址范围进行限制;b)当管理员在一段时间内未作任何动作,应能够自动结束会话;c)能够对最大并发会话连接数进行限制;d)提供对自身运行状态的监测,应能够对服务水平降低到预先规定的最小值进行检测和报警。11. 3. 6入侵防范安全管理中心控制台的入侵防范
6、应满足以下要求:a)能够检测到对各服务器、网络设备和安全设备进行入侵的行为;b)能够通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;c)服务器操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务 器 等方式保持各组件的补丁及时得到更新;d)应关闭不需要的各组件系统服务和高危端口。12. 3. 7数据安全安全管理中心控制台的数据安全应满足以下要求:a)能够检测到管理数据和鉴别信息在传输和存储过程中完整性受到破坏;b)采用密码技术或其他保护措施实现管理数据和鉴别信息的数据传输和存储保密性。7第三级安全管理中心技术要求12.1 能要求12.1.1. 统
7、管理要求12.1.1.1 户身份管理用户身份管理应满足以下要求:a)能够对被管理对象环境中的主体进行标识;b)能够采用两种或两种以上组合的鉴别技术对用户进行身份鉴别;c)能够对被管理对象的系统管理员进行身份鉴别,并对身份标识及鉴别信息进行复杂度检查;d)在物联网系统中,应通过被管理对象的系统管理员对感知设备、感知层网关等进行统一身份标识管 理。12.1.1.2 据保护12.1.1.2.1 据保密性数据保密性应满足以下要求:a)在安全管理中心与被管理对象之间建立连接之前,应利用密码技术进行会话初始化验证;b)应使用密码技术对安全管理中心与被管理对象之间通信过程中的整个报文或会话过程进行机密 性保
8、护;c)应采用加密或其他保护措施实现被管理对象的鉴别信息、配置管理数据的存储保密性。12.1.1.2.2 数据完整性数据完整性应满足以下要求:a)能够检测到被管理对象鉴别信息、配置管理数据在传输过程中完整性受到破坏,并在检测到完整 性错误时采取必要的恢复措施;b)能够检测到被管理对象鉴别信息、配置管理数据在存储过程中完整性受到破坏,并在检测到完整 性错误时采取必要的恢复措施。12.1.1.2.3 数据备份与恢复数据备份与恢复应满足以下要求:a)提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;b)备份数据应至少包含安全管理中心采集的原始数据、主/客身份标识数据、主/客体安
9、全标记数 据、主/客体配置管理数据、安全管理中心自身审计数据等;c)在云计算平台中,应提供查询云服务客户数据及备份存储位置的方式,云计算平台的运维应在 中 华人民共和国境内,禁止从境外对境内云计算平台的运维。12.1.1.2.4 剩余信息保护剩余信息保护应保证主体和客体的鉴别信息所在的存储空间被释放或再分配给其他主体前得到完 全清除,无论这些信息是存放在硬盘上还是在内存中。12.1.1.3 全事件管理13. 安全事件采集安全事件采集应满足以下要求:a)支持安全事件监测采集功能,及时发现和采集发生的安全事件;b)能够对安全事件进行归一化处理,将不同来源、不同格式、不同内容组成的原始事件转换成标
10、准 的事件格式;c)安全事件的内容应包括日期、时间、主体标识、客体标识、类型、结果、IP地址、端口等信 息;d)安全事件采集的范围应涵盖主机设备、网络设备、数据库、安全设备、各类中间件、机房环境 控 制系统等;e)能够对采集的安全事件原始数据的集中存储。注:安全事件的属性可参考附录Co7.1.1.3.2 安全事件告警安全事件告警应满足以下要求:a)具备告警功能,在发现异常时可根据预先设定的阈值产生告警;b)在产生告警时,应能够触发预先设定的事件分析规则,执行预定义的告警响应动作,如:控 制台对话框告,、控制台告警音、电子邮件告警、手机短信告警、创建工单、通过Syslog 蝌PTrap发布告警事
11、件等;c)具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。7.1.1.3.3 安全事件响应安全事件响应应满足以下要求:a)能够提供工单管理的功能,支持基于告警响应动作创建工单的流转流程;b)能够提供安全通告功能,可以创建或导入安全风险通告,通告中应包括通告内容、描述信息、 CVE编号、影响的操作系统等;c)能够根据通告提示的安全风险影响的操作系统,提供受影响的被保护资产列表。7.1.1.3.4 事件关联分析事件关联分析应满足以下要求:a)支持将来自不同事件源的事件在一个分析规则中进行分析,从而能从海量事件中过滤出有逻 辑 关系的事件序列,据此给出相应的告警;b)针对常见的攻
12、击行为和违规访问提供相应的关联分析规则,如针对主机扫描、端口扫描、DDoS 攻击、蠕虫、口令猜测、跳板攻击等的关联分析规则。7.1.1.3.5 统计分析报表统计分析报表应满足以下要求:a)能够按照时间、事件类型等条件对安全事件进行查询;b)能够提供统计分析和报表生成功能。1.1.1.1.2 风险管理1.1.1.1.3 1 资产管理资产管理应满足以下要求:a)实现对被管理对象资产的管理,提供资产的添加、修改、删除、查询与统计功能;b)资产管理信息应包含资产名称、资产IP地址、资产类型、资产责任人、资产业务价值以及资 产的机密性、完整性、可用性赋值等资产属性;c)支持资产属性的自定义;d)支持手工
13、录入资产记录或基于指定模板的批量资产导入。1.1.1.4.2 资产业务价值评估资产业务价值评估应支持自定义资产业务价值评估模型,能够依据资产类型、资产重要性、损坏 后 造成的影响、涉及的范围等参数形成资产业务价值等级。1.1.1.4.3 威胁管理威胁管理应满足以下要求:a)具备预定义的安全威胁分类;b)支持自定义安全威胁分类,如将已发生的安全事件对应的威胁设置为资产面临的威胁。1.1.1.4.4 脆弱性管理脆弱性管理应允许创建并维护资产脆弱性列表,支持脆弱性列表的合并及更新。1.1.1.4.5 风险分析风险分析应满足以下要求:a)能够根据资产的业务价值、资产当前的脆弱性及资产面临的安全威胁,计
14、算目标资产的安全风 险;b)安全风险的计算周期和计算公式能够根据部署环境的实际需要通过修改配置的方式进行相应调 整;c)安全管理系统能够以图形化的方式展现当前资产的风险级别、当前风险的排名统计等。2. 1.1.5 资源监控7. 1. 1.5. 1 可用性监测可用性监测应满足以下要求:a)支持通过监测网络设备、安全设备、主机操作系统、数据库、中间件、应用系统等重要性能指 标, 实时了解其可用性状态;b)支持对关键指标(如:CPU使用率、内存使用率、磁盘使用率、进程占用资源、交换分区、网络 流量等方面)设置阈值,触发阈值时产生告警;c)在物联网系统平台,应通过系统管理员对感知设备状态(电力供应情况
15、、是否在线、位置等) 进行统一监测和处理;d)在工业控制系统中,应能够对工业控制系统设备的可用性和安全性进行实时监控,可以对监 控 指标设置告警阈值,触发告警并记录。8. 1.1.5. 2 网络拓扑监测网络拓扑监测应满足以下要求:a)支持对网络拓扑图进行在线编辑,允许手工添加或删除监测节点或链路;b)能够展现当前网络环境中关键设备(包括网络设备、安全设备、服务器主机等)和链路的运行 状 态,如网络流量、网络协议统计分析等指标;c)在网络运行出现异常时,能够展现在当前网络拓扑图中并产生告警;d)能够发现并阻断非授权设备的外联及接入。9. 1.2安全管理要求10. .2. 1安全标记安全标记应满足
16、以下要求:10a)能够对主/客体的安全标记统一管理,主体标记范围包括用户、代理进程、终端等,客体标记 范 围包括设备等;b)安全标记应具备唯一性,能够准确反映主/客体在定级系统中的安全属性,并且具有防止篡改 和删除的能力;c)标记属性应包括安全级别、安全范围等信息,安全级别应可排序进行高低判断,安全范围应 可 进行是否包含判断;d)能够实现对不同安全级别的系统中安全标记与安全属性的单一映射关系。7. 1.2. 2授权管理授权管理应满足以下要求:a)实现对每一个标记所能访问范围的统一管理;b)实现主体对客体访问权限的统一管理,包括主机访问权限管理、网络访问权限管理、应用访 问 权限管理;c)实现
17、根据主体标记和客体标记安全级别的不同,制定访问控制策略,控制主体对客体的访问。7. 1.2. 3设备策略管理7. 1.2. 3.1 设备管理设备管理应实现对主机操作系统、数据库系统、网络设备、安全设备的安全配置的统一查询。7.1.2. 3.2入侵防御入侵防御应满足以下要求:a)提供统一接口,实现对网络入侵防御和主机入侵防御的事件采集、接收和指令下发;b)提供安全域内统一的操作系统、服务组件补丁更新服务一c)在云计算平台,云计算安全管理应具有对攻击行为回溯分析以及对网络安全事件进行预测和 预 警的能力;应具有对网络安全态势进行感知、预测和预判的能力。7.1.2. 3.3 恶意代码防范恶意代码防范
18、应满足以下要求:a)对恶意代码防范产品统一升级进行监控和管理;b)对恶意代码防范情况的数据采集与上报。7.1.2.4 密码保障密码保障应为被管理对象的密码技术、产品、服务的正确性、合规性、有效性提供保障。在物联 网系统平台,应通过安全管理员对系统中所使用的密钥进行统一管理,包括密钥的生成、分发、更新、 存 储、备份、销毁等。审计管理要求7.1.3. 1审计策略集中管理审计策略集中管理应能够查看主机操作系统、数据库系统、网络设备、安全设备的审计策略配置情 况, 包括策略是否开启、参数设施是否符合安全策略等。7. 1.3. 2审计数据集中管理117.1.3. 2.1审计数据采集审计数据采集应满足以
19、下要求:a)能够实现审计数据的归一化处理,内容应涵盖日期、时间、主体标识、客体标识、类型、结果、IP 地址、端口等信息;b)支持设定查询条件进行审计数据查询;c)严格限制审计数据的访问控制权限,限制管理用户对审计数据的访问,实现管理用户和审计用 户的权限分离,避免非授权的删除、修改或覆盖;d)支持对各种审计数据按规则进行过滤处理;e)支持对数据采集信息按照特定规则进行合并。7.1.3. 2.2 审计数据采集对象审计数据采集对象应满足以下要求:a)支持对网络设备(如交换机、路由器、流量管理、负载均衡等网络基础设备)的审计数据采集;b)支持对主机设备(如服务器操作系统等应用支撑平台和桌面电脑、笔记
20、本电脑、手持终端等终 端 用户访问信息系统所使用的设备)的审计数据采集;c)支持对数据库(如Oracle、My SQL MSSQL Server等)的审计数据采集;d)支持对安全设备(如防火墙、入侵监测系统、抗拒绝服务攻击设备、防病毒系统、应用安全审 计 系统、访问控制系统等与信息系统安全防护相关的各种系统和设备)的审计数据采集;e)支持对各类中间件的审计数据采集;f)支持对机房环境控制系统(如空调、温度、湿度控制、消防设备、门禁系统等)的审计数据采 集; g)支持对其他应用系统或相关平台的审计数据采集;h)在云计算平台中,应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审 计
21、, 应通过运维审计系统对管理员的运维行为进行安全审计;应通过租户隔离机制,确保审 计数据 隔离的有效性;i)在工业控制系统中,应对工业控制现场控制设备、网络安全设备、网络设备、服务器、操作站 等 设备的网络安全监控和报警、网络安全日志信息进行集中管理。7.1.3. 2.3 审计数据采集方式审计数据采集方式应满足以下要求:a)支持通过如Syslog. SNMP等协议采集各种系统或设备上的审计数据;b)通过统一接口,接收被管理对象的安全审计数据。7.1.3. 2.4 审计数据关联分析审计数据关联分析应支持将来自不同采集对象的审计数据在一个分析规则中进行分析。7.2接口要求7. 2. 1第三方插件/
22、Agent接口协议要求接口协议要求应满足以下要求:a)安全管理中心应实现对IPv4及IPv6双协议环境的支持(包括IPv4环境、IPv6环境及 IPv4/IPv6混合环境);12b)安全管理中心应支持SNMP Trap、Syslog Web Service等常规接口和自定义接口以及第三方 的插件或者Agent的接口实现各组件之间、与第三方平台之间的数据交换。7. 2.2接口安全要求接口安全要求应满足以下要求:a)采用安全的接口协议,保证接口之间交互数据的完整性;b)采用加密技术实现接口之间交互数据的保密性。7.3自身安全要求7. 3.1身份鉴别安全管理中心控制台的管理员身份鉴别应满足以下要求:
23、a)提供专用的登录控制模块对管理员进行身份标识和鉴别,对同一管理员用户采用两种或两种以 上组合的鉴别技术实现用户身份鉴别;b)提供管理员用户身份标识唯一和鉴别信息复杂度检查功能,保证不存在重复用户身份标识,身 份 鉴别信息不易被冒用;c)提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。7. 3. 2访问控制安全管理中心控制台的访问控制应满足以下要求:a)提供自主访问控制功能,依据安全策略控制管理员对各功能的访问;b)自主访问控制的覆盖范围应包括所有管理员、功能及它们之间的操作;c)由授权管理员配置访问控制策略,并禁止默认账户的访问;d)实现特权用户的权限分离,应授予不同
24、账户为完成各自承担任务所需的最小权限,并在它们 之 间形成相互制约的关系。7. 3. 3 安全审计安全管理中心控制台的安全审计应满足以下要求:a)提供覆盖到每个管理员的安全审计功能,记录所有管理员对重要操作和安全事件进行审计;b)保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;d)提供对审计记录数据进行统计、查询、分析及生成审计报表的功能;e)根据统一安全策略,提供集中审计接口。7. 3.4剩余信息保护安全管理中心控制台的剩余信息保护应保证管理员的鉴别信息所在的存储空间被释放或再分配给 其他管理员用户前得到完
25、全清除,无论这些信息是存放在硬盘上还是在内存中。7. 3. 5 软件容错安全管理中心控制台的软件容错应满足以下要求:a)提供数据有效性检验功能,保证通过人机接口输入或通过接口输入的数据格式或长度符合系统 设定 要求;b)提供自动恢复功能,当故障发生时能够恢复工作状态。137. 3. 6资源控制安全管理中心控制台的资源控制应满足以下要求:a)对管理员登录地址范围进行限制;b)当管理员在一段时间内未作任何动作,应能够自动结束会话;c)能够对最大并发会话连接数进行限制;d)能够对单个管理员账户的多重并发会话进行限制;e)提供对自身运行状态的监测,应能够对服务水平降低到预先规定的最小值进行检测和报警。
26、7. 3. 7入侵防范安全管理中心控制台的入侵防范应满足以下要求:a)能够检测到对各服务器、网络设备和安全设备进行入侵的行为,并在发生严重入侵事件时提供 报警;b)能够通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;c)服务器操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务 器 等方式保持各组件的补丁及时得到更新;d)应关闭不需要的各组件系统服务和高危端口。7. 3. 8数据安全安全管理中心控制台的数据安全应满足以下要求:a)能够检测到管理数据和鉴别信息在传输和存储过程中完整性受到破坏,并在检测到完整性错误时 采取必要的恢复措施;b)采用密码
27、技术或其他保护措施实现管理数据和鉴别信息的数据传输和存储保密性。8第四级安全管理中心技术要求8.1 功能要求8.1.1 系统管理要求8.1.1.1 用户身份管理用户身份管理应满足以下要求:a)能够对被管理对象环境中的主体进行标识;b)能够采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,并且身份鉴别信息至少有一 种 是不可伪造的并采用密码技术来实现;c)能够对被管理对象的系统管理员进行身份鉴别,并对身份标识及鉴别信息进行复杂度检查;d)在物联网系统中,应通过被管理对象的系统管理员对感知设备、感知层网关等进行统一身份标识管 理。8.1.1.2 数据保护8.1.1.2.1 数据保密性数据保密性应
28、满足以下要求:a)在安全管理中心与被管理对象之间建立连接之前,应利用密码技术进行会话初始化验证;14b)使用密码技术对安全管理中心与被管理对象之间通信过程中的整个报文或会话过程进行机密性 保护;C)采用加密或其他保护措施实现被管理对象的鉴别信息、配置管理数据的存储保密性;d)应使用经国家密码管理主管部门批准的硬件密码设备进行密码运算和密钥管理;e)对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用协议的攻击破坏数据保 密性。1.1.1.1.1 2 数据完整性数据完整性应满足以下要求:a)能够检测到被管理对象的鉴别信息、配置管理数据在传输过程中完整性受到破坏,并在检测到完 整性错误时
29、采取必要的恢复措施;b)能够检测到被管理对象的鉴别信息、配置管理数据在存储过程中完整性受到破坏,并在检测到完 整性错误时采取必要的恢复措施;c)对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用通信协议的攻击破坏 数 据完整性。1.1.1.2.3 数据备份与恢复数据备份与恢复应满足以下要求:a)提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;b)备份数据应至少包含安全管理中心采集的原始数据、主/客身份标识数据、主/客体安全标记数据、主/客体配置管理数据、安全管理中心自身审计数据等;c)提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心;d)在云计
30、算平台中,应提供查询云服务客户数据及备份存储位置的方式,云计算平台的运维应在 中华 人民共和国境内,禁止从境外对境内云计算平台的运维。1.1.1.2.4 可信路径可信路径应满足以下要求:a)在对主体进行身份鉴别时,应能够建立一条安全的信息传输路径;b)在主体对客体进行访问时,应保证在被访问的客体与主体之间应能够建立一条安全的信息传 输 路径。1.1.1.2.5 剩余信息保护剩余信息保护应保证主体和客体的鉴别信息所在的存储空间被释放或再分配给其他主体前得到完全 清除,无论这些信息是存放在硬盘上还是在内存中。2 .1.1.3 安全事件管理8 . 1.1.3.1安全事件采集安全事件采集应满足以下要求
31、:a)支持安全事件监测采集功能,及时发现和采集发生的安全事件;b)能够提供与第三方系统的数据采集接口,发送或接收安全事件;c)能够对安全事件进行归一化处理,将不同来源、不同格式、不同内容组成的原始事件转换成标 准 的事件格式;15前言IV引言V1 范围12规范性引用文件13术语和定义14缩略语15 安全管理中心概述25. 1总体说明25.2功能描述36第二级安全管理中心技术要求36. 1功能要求3系统管理要求36. 1.1.1用户身份管理36. 1.1. 2数据保护36. 1. 1.3安全事件管理46. 1. 1.4风险管理46. 1.1.5资源监控56. 1.2审计管理要求56. 1. 2.
32、 1审计策略集中管理56. 1.2.2 审计数据集中管理56.2 接口要求66. 2.1第三方插件/Agent接口协议要求66. 2.2接口安全要求66. 3 自身安全要求66. 3.1身份鉴别67. 3.2访问控制68. 3.3安全审计79. 3.4软件容错710. 3.5资源控制711. 3.6入侵防范712. 3.7数据安全77第三级安全管理中心技术要求713. 1 功能要求713.1.1 系统管理要求7d)安全事件的内容应包括日期、时间、主体标识、客体标识、类型、结果、IP地址、端口等信 息;e)安全事件采集的范围应涵盖主机设备、网络设备、数据库、安全设备、各类中间件、机房环境 控 制
33、系统等;f)能够对采集的安全事件原始数据的集中存储。注:安全事件的属性可参考附录Co14. 1.1.3. 2 安全事件告警安全事件告警应满足以下要求:a)具备告警功能,在发现异常时可根据预先设定的阈值产生告警;b)在产生告警时,应能够触发预先设定的事件分析规则,执行预定义的告警响应动作,如:控制 台对 话框告警、控制台告警音、电子邮件告警、手机短信告警、创建工单、通过Syslog或SNMP Trap向 第三方系统转发告警事件等;c)具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。15. .1.3.3 安全事件响应安全事件响应应满足以下要求:a)能够提供工单管理的功能,支持基
34、于告警响应动作创建工单的流转流程;b)能够提供安全通告功能,可以创建或导入安全风险通告,通告中应包括通告内容、描述信息、 CVE编号、影响的操作系统等;c)能够根据通告提示的安全风险影响的操作系统,提供受影响的被保护资产列表;d)支持向第三方系统发送和接收工单信息、安全告警、安全预警、综合风险、资产信息、安全通 告等数据。16. .1.3.4 事件关联分析事件关联分析应满足以下要求:a)支持将来自不同事件源的事件在一个分析规则中进行分析,从而能从海量事件中过滤出有逻辑 关 系的事件序列,据此给出相应的告警;b)针对常见的攻击行为和违规访问提供相应的关联分析规则,如针对主机扫描、端口扫描、DDo
35、S 攻 击、蠕虫、口令猜测、跳板攻击等的关联分析规则;c)提供多事件源事件关联、时序关联、统计关联以及针对长时间窗口的关联分析功能,并能够 提 供告警;d)提供自定义关联规则编辑功能。17. .1.3.5 统计分析报表统计分析报表应满足以下要求:a)能够按照时间、事件类型等条件对安全事件进行查询;b)能够提供统计分析和报表生成功能。8.1.1.4 风险管理8.1.1.4.1 资产管理资产管理应满足以下要求:16a)实现对被管理对象资产的管理,以安全域等方式组织资产,提供资产的添加、修改、删除、 查 询与统计功能;b)资产管理信息应包含资产名称、资产IP地址、资产类型、资产责任人、资产业务价值以
36、及资 产的机密性、完整性、可用性赋值等资产属性;c)支持资产属性的自定义;d)支持手工录入资产记录或基于指定模板的批量资产导入;e)支持对资产的自动发现,并能够将其自动添加到资产库中。8.1.1.4.2 资产业务价值评估资产业务价值评估应支持自定义资产业务价值评估模型,能够依据资产类型、资产重要性、损坏后 造 成的影响、涉及的范围等参数形成资产业务价值等级。8.1.1.4.3 威胁管理威胁管理应满足以下要求:a)具备预定义的安全威胁分类;b)支持自定义安全威胁分类,如将已发生的安全事件对应的威胁设置为资产面临的威胁。8.1.1.4.4 脆弱性管理脆弱性管理应满足以下要求:a)允许创建并维护资产
37、脆弱性列表,支持脆弱性列表的合并及更新;b)支持导入特定代理程序或扫描器获取的相关设备或系统的脆弱性信息;c)能够根据脆弱性信息,自动生成所涉及的信息资产清单。8. 1.1.4. 5 风险分析风险分析应满足以下要求:a)能够根据资产的业务价值、资产当前的脆弱性及资产面临的安全威胁,计算目标资产的安全风 险和资产所在整个安全域的安全风险;b)安全风险的计算周期和计算公式能够根据部署环境的实际需要通过修改配置的方式进行相应调 整;c)安全管理系统能够以图形化的方式展现当前资产和安全域的风险级别、当前风险的排名统计 等。8.1.1.5 资源监控8.1.1.5. 1 可用性监测可用性监测应满足以下要求
38、:a)支持通过监测网络设备、安全设备、主机操作系统、数据库、中间件、应用系统等重要性能指 标, 实时了解其可用性状态;b)支持对关键指标(如:CPU使用率、内存使用率、磁盘使用率、进程占用资源、交换分区、网络 流量等方面)设置阈值,触发阈值时产生告警,执行预定义的响应动作;c)在物联网系统平台,应通过系统管理员对感知设备状态(电力供应情况、是否在线、位置等) 进行统一监测和处理;17d)在工业控制系统中,应能够对工业控制系统设备的可用性和安全性进行实时监控,可以对监控 指标 设置告警阈值,触发告警并记录。8. 1.1.5. 2 网络拓扑监测网络拓扑监测应满足以下要求:a)支持对网络拓扑图进行在
39、线编辑,允许手工添加或删除监测节点或链路;b)能够展现当前网络环境中关键设备(包括网络设备、安全设备、服务器主机等)和链路的运行 状 态,如网络流量、网络协议统计分析等指标;c)在网络运行出现异常时,能够展现在当前网络拓扑图中并产生告警;d)能够发现并阻断非授权设备的外联及接入;e)支持在指定网络范围内进行拓扑发现并自动生成网络拓扑图。安全管理要求8.1.2. 1安全标记安全标记应满足以下要求:a)能够对主/客体的安全标记统一管理,主体标记范围包括用户、代理进程、终端等,客体标记 范围包括设备等;b)安全标记应具备唯一性,能够准确反映主/客体在定级系统中的安全属性,并且具有防止篡改 和删除的能
40、力;c)标记属性应包括安全级别、安全范围等信息,安全级别应可排序进行高低判断,安全范围应可 进 行是否包含判断;d)能够实现对不同安全级别的系统中安全标记与安全属性的单一映射关系;e)能够实现安全标记的自定义。8. 1.2.2 授权管理授权管理应满足以下要求:a)实现对每一个标记所能访问范围的统一管理;b)实现主体对客体访问权限的统一管理,包括主机访问权限管理.、网络访问权限管理、应用访问 权 限管理;c)实现根据主体标记和客体标记安全级别的不同,制定访问控制策略,控制主体对客体的访问, 针对不同安全层次、不同标记的主/客体间的访问策略进行统一管理;d)在进行物联网系统平台,应通过系统管理员对
41、下载到感知设备上的应用软件进行授权。8. 1.2. 3设备策略管理8.1.2. 3.1 设备管理设备管理应满足以下要求;a)实现对主机操作系统、数据库系统、网络设备、安全设备的安全配置策略的统一查询;b)实现对主机操作系统、数据库系统、网络设备、安全设备等安全配置策略的统一制定和下发。8.1.2. 3.2 入侵防御入侵防御应满足以下要求:a)提供统一接口,实现对网络入侵防御和主机入侵防御的事件采集、接收和指令下发;18b)提供安全域内统一的操作系统、服务组件补丁更新服务;C)实现对主机操作系统、数据库、网络设备、安全设备入侵防御措施的联动和管理;d)在云计算平台,云计算安全管理应具有对攻击行为
42、回溯分析以及对网络安全事件进行预测和预 警的 能力;应具有对网络安全态势进行感知、预测和预判的能力;e)在工业控制系统中,安全管理员能够结合工业控制系统设备的资产信息、威胁信息、脆弱性 信 息分析工业控制设备以及工业控制系统面临的安全风险和安全态势。8.1.3. 3.3 恶意代码防范恶意代码防范应满足以下要求:a)对恶意代码防范产品统一升级进行监控和管理;b)对恶意代码防范情况的数据采集与上报。8.1.4. 1.2.4 密码保障密码保障应为被管理对象的密码技术、产品、服务的正确性、合规性、有效性提供保障。在物联网 系 统平台,应通过安全管理员对系统中所使用的密钥进行统一管理,包括密钥的生成、分
43、发、更新、存 储、备 份、销毁等,并采取必要措施保证密钥安全。.8.1.5. 计管理要求8.1.6. 1审计策略集中管理审计策略集中管理应满足以下要求:a)能够查看主机操作系统、数据库系统、网络设备、安全设备的审计策略配置情况,包括策略是 否 开启、参数设施是否符合安全策略等;b)能够实现对主机操作系统、数据库系统、网络设备、安全设备的审计策略的统一配置管理。8.1.7. 1.3. 2审计数据集中管理8.1.8. 2.1审计数据采集审计数据采集应满足以下要求:a)能够实现审计数据的归一化处理,内容应涵盖日期、时间、主体标识、客体标识、类型、结果、IP 地址、端口等信息;b)支持设定查询条件进行
44、审计数据查询;c)严格限制审计数据的访问控制权限,限制管理用户对审计数据的访问,实现管理用户和审计用 户 的权限分离,避免非授权的删除、修改或覆盖;d)支持对各种审计数据按规则进行过滤处理;e)支持对数据采集信息按照特定规则进行合并;f)能够并根据设定的报表模版生成相应的审计报告。8.1.9. 2.2 审计数据采集对象审计数据采集对象应满足以下要求:a)支持对网络设备(如交换机、路由器、流量管理、负载均衡等网络基础设备)的审计数据采集;b)支持对主机设备(如服务器操作系统等应用支撑平台和桌面电脑、笔记本电脑、手持终端等终 端 用户访问信息系统所使用的设备)的审计数据采集;c)支持对数据库(如O
45、racle、My SQL MSSQL Server等)的审计数据采集;19d)支持对安全设备(如防火墙、入侵监测系统、抗拒绝服务攻击设备、防病毒系统、应用安全审 计 系统、访问控制系统等与信息系统安全防护相关的各种系统和设备)的审计数据采集;e)支持对各类中间件的审计数据采集;f)支持对机房环境控制系统(如空调、温度、湿度控制、消防设备、门禁系统等)的审计数据采 集;g)支持对其他应用系统或相关平台的审计数据采集。h)在云计算平台中,应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审 计, 应通过运维审计系统对管理员的运维行为进行安全审计;应通过租户隔离机制,确保审计 数据隔离
46、 的有效性;i)在工业控制系统中,应对工业控制现场控制设备、网络安全设备、网络设备、服务器、操作站 等 设备的网络安全监控和报警、网络安全日志信息进行集中管理。8.1.3. 2.3审计数据采集方式审计数据采集方式应满足以下要求:a)支持通过如Syslog、SNMP等协议采集各种系统或设备上的审计数据;b)通过统一接口,接收被管理对象的安全审计数据;c)支持通过部署软件代理的方式采集特定系统的审计数据。8.1.3. 2.4数据采集组件要求数据采集组件应支持本地缓存和断点续传,在网络通信发生故障时,能够在数据采集组件对数据 进行本地缓存,当网络连通恢复以后,信息采集组件重新恢复向安全管理中心上报断网期间采集的数 据。8.1.3. 2.5 审计数据关联分析审计数据关联分析应满足以下要求:a)应支持将来自不同采集对象的审计数据在一个分析规则中进行分析;b)应提供审计关联规则自定义功能;c)在工业控制系统中,系统通过各设备安全日志信息的关联分析提取出少量的、或者是概括性 的 重要安全事件或发掘隐藏的攻击规律,进行重点报警和分析,并对全局存在类似风险的系 统进 行安全预警。8.2接口要求8. 2. 1第三方插件/Agent接口协议要求接口协议要求应满足以
黑公网安备:91230400333293403D