测评指标控制项检查对象系统管理审计管理安全管理集中管控网络拓扑a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理 操作,并对这些操作进行审计;提供集中系统管理功能的系统b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等; 提供集中系统管理功能的系统a)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计 操作,并对这些操作进行审计; 综合安全审计系统、数据库审计系统等提供集中审计功能的系统b)应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全 审计策略对审计记录进行存储、管理和查询等;综合安全审计系统、数据库审计系统等提供集中审计功能的系统a)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理 操作,并对这些操作进行审计; 提供集中安全管理功能的系统b)应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等;提供集中安全管理功能的系统a)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; b)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;路由器、交换机和防火墙等设备或相关组件c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; 综合网管系统等提供运行状态监测功能的系统集中管控云安全扩展要求集中管控d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留 存时间符合法律法规要求;综合安全审计系统、数据库审计系统等提供集中审计功能的系统e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; 提供集中安全管控功能的系统f)应能对网络中发生的各类安全事件进行识别、报警和分析; 提供集中安全管控功能的系统a) 应能对物理资源和虚拟资源按照策略做统一管理调度与分配;资源调度平台、云管理平台或相关组件b) 应保证云计算平台管理流量与云服务客户业务流量分离;网络架构和云管理平台c) 应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计;云管理平台、综合审计系统或相关组件d) 应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。云管理平台或相关组件检查内容1)接入划分的安全管理区域时需要进行身份验证。2)只能够使用特定的程序或者方式进行系统管理。(例如:堡垒机都提供有特定的管理工具或界面)3)系统管理员所有的操作能在cat日志系统、态势感知系统或者堡垒机中看到。并且日志留存时间需要大于六个月。(堡垒机提供有操作审计,可查看操作是否记录成功)1)系统管理员可以对系统的资源进行分配(例如磁盘资源),对用户的身份(例如账号权限配置)、系统加载、数据备份等进行操作。2)不能有日志文件夹及内容(例如Linux的var/log/messages)的修改权限。1)进入审计管理系统(例如态势感知系统、cat日志系统)时需要进行身份鉴别。2)审计管理员只能在特定界面(例如审计系统web界面)对日志进行查看、分析、统计。3)审计管理员的所有操作也会被审计,日志系统能够记录所有管理员的操作。4)审计管理员无法对审计记录进行增、删、改。1)审计管理员定时对审计记录进行备份存储,保存时间满足180天以上。2)审计管理员定时对审计结果进行分析,形成报告。例如:周报、月报、年度报告等。1)安全管理员登录统一的安全管理区域时进行身份鉴别。2)只能够使用特定的程序或者方式进行系统管理。(例如:堡垒机都提供有特定的管理工具或界面)3)安全管理员的操作能被审计。1)能够配置安全策略,例如登录策略、远程连接策略。2)权限不同于审计管理员和系统管理员。1)网络拓扑图中划分有管理区。2)管理区中部署了集中监控设备、安全设备。1)采用带外网络进行管理。2)采取安全方...
