安全子类--系统管理
a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
一、测评对象
提供集中系统管理功能的系统;
二、测评实施
1)应核查是否对系统管理员进行身份鉴别;
2)应核查是否仅允许系统管理员通过特定的命令或操作界面进行系统管理;
3)应核查是否对系统管理的操作进行审计。
三、单元判定
如果1)-3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
一、测评对象
提供集中系统管理功能的系统;
二、测试实施
应核查是否通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
三、单元判定
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
安全子类--安全审计
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
一、测评对象
综合安全审计系统、数据库审计系统等提供集中审计功能的系统;
二、测评实施
1)应核查是否对审计管理员进行身份鉴别;
2)应核查是否只允许审计管理员通过特定的命令或操作界面进行安全审计操作;
3)应核查是否对安全审计操作进行审计。
三、单元判定
如果1)-3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
一、测评对象
综合安全审计系统、数据库审计系统等提供集中审计功能的系统;
二、测评实施
应核查是否通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
三、单元判定
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
安全子类--安全管理
a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;
一、测评对象
提供集中安全管理功能的系统;
二、测评实施
1)应核查是否对安全管理员进行身份鉴别;
2)应核查是否只允许安全管理员通过特定的命令或操作界面进行安全管理操作;
3)应核查是否对安全管理员操作进行审计。
三、单元判定
如果1)-3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
一、测评对象
提供集中安全管理功能的系统;
二、测评实施
应核查是否通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
三、单元判定
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
安全子类--集中管控
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
一、测评对象
网络拓扑;
二、测评实施
1) 应核查是否划分出单独的网络区域(如安全管理区、带外管理区)用于部署安全设备或安全组件;
2)应核查各个安全设备或安全组件是否集中部署在单独的网络区域内(对于可旁路部署的安全设备或安全组件,如日志审计类设备或软件、防病毒服务器、终端安全管理系统、漏洞扫描设备等需集中部署;对于需串联在网络中部署的安全设备或安全组件,如防火墙、防毒墙、IPS等,需划分带外管理区进行管理)。
三、单元判定
如果1)-2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
【带外管理】是指通过专门的网管通道实现对网络的管理,将网管数据与业务数据分开,为网管数据建立独立通道。
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
一、测评对象
路由器、交换机和防火墙等设备或相关组件;
二、测评实施
1)应核查是否采用安全方式(如SSH、HTTPS、IPSec VPN等)对安全设备或安全组件进行管理;
2)应核查是否使用独立的带外管理网络对安全设备或安全组件进行管理。
三、单元判定
如果1)或2)为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
一、测评对象
综合网管系统等提供运行状态监测功能的系统;
二、测评实施
1)应核查是否部署了具备运行状态监测功能的系统或设备,能够对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
2)应测试验证运行状态监测系统是否根据网络链路、安全设备、网络设备和服务器等的工作状态、依据设定的阀值(或默认阀值)实时报警。
三、单元判定
如果1)-2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
判例内容:对可用性要求较高的系统,若没有任何监测措施,发生故障时难以及时对故障进行定位和处理,可判定为高风险。
适用范围:可用性要求较高的3级及以上系统。
满足条件:1、3级及以上系统;2、对可用性要求较高的系统;3、无任何监控措施,发生故障也无法及时对故障进行定位和处理。
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
一、测评对象
综合安全审计系统、数据库审计系统等提供集中审计功能的系统;
二、测评实施
1)应核查各个设备是否配置并启用了相关策略,将审计数据发送到独立于设备自身的外部集中安全审计系统中;
2)应核查是否部署统一的集中安全审计系统,统一收集和存储各设备日志,并根据需要进行集中审计分析;
3)应核查审计记录的留存时间是否至少为6个月。
三、单元判定
如果1)-3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
判例内容:《网络安全法》要求“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”;因此,如相关设备日志留存不满足法律法规相关要求,可判定为高风险。
适用范围:3级及以上系统。
满足条件:1、3级及以上系统;2、对网络运行状态、网络安全事件等日志的留存不满足法律法规规定的相关要求(不少于六个月)。
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
一、测评对象
提供集中安全管控功能的系统;
二、测评实施
1)应核查是否能够对安全策略(如防火墙访问控制策略、入侵保护系统防护策略、WAF安全防护策略等)进行集中管理;
2)应核查是否实现对操作系统防恶意代码系统及网络恶意代码防护设备的集中管理,实现对防恶意代码病毒规则库的升级进行集中管理;
3)应核查是否实现对各个系统或设备的补丁升级进行集中管理。
三、单元判定
如果1)-3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
一、测评对象
提供集中安全管控功能的系统;
二、测评实施
1)应核查是否部署了相关系统平台能够对各类安全事件进行分析并通过声光等方式实时报警;
2)应核查监测范围是否能够覆盖网络所有关键路径。
三、单元判定
如果1)-2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
判例内容:未部署相关安全设备,识别网络中发生的安全事件,并对重要安全事件进行报警的,可判定为高风险。
适用范围:3级及以上系统。
满足条件:1、3级及以上系统;2、无法对网络中发生的安全事件(包括但不限于网络攻击事件、恶意代码传播事件等)进行识别、告警和分析。
安全子类--集中管控(云计算安全扩展要求)
a) 应能对物理资源和虚拟资源按照策略做统一管理调度与分配;
一、测评对象
资源调度平台、云管理平台或相关组件;
二、测评实施
1)应核查是否有资源调度平台等提供资源统一管理调度与分配策略;
2)应核查是否能够按照上述策略对物理资源和虚拟资源做统一管理调度与分配。
三、单元判定
如果1)-2)均为肯定,则符合本单元测评指标要求,否则不符合或部分符合本单元测评指标要求。
b) 应保证云计算平台管理流量与云服务客户业务流量分离;
一、测评对象
网络架构和云管理平台;
二、测评实施
1)应核查网络架构和配置策略能否采用带外管理或策略配置等方式实现管理流量和业务流量分离;
2)应测试验证云计算平台管理流量与业务流量是否分离。
三、单元判定
如果1)-2)均为肯定,则符合本单元测评指标要求,否则不符合或部分符合本单元测评指标要求。
c) 应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计;
一、测评对象
云管理平台、综合审计系统或相关组件;
二、测评实施
1)应核查是否根据云服务商和云服务客户的职责划分,实现各自控制部分审计数据的收集;
2)应核查云服务商和云服务客户是否能够实现各自的集中审计。
三、单元判定
如果1)-2)均为肯定,则符合本单元测评指标要求,否则不符合或部分符合本单元测评指标要求。
d) 应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。
一、测评对象
云管理平台或相关组件;
二、测评实施
应核查是否根据云服务商和云服务客户的职责划分,ll实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测;
三、单元判定
如果以上测评实施内容为肯定,则符合本单元测评指标要求,否则不符合本单元测评指标要求。
872
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
