6.1　功能要求

6.1.1　系統管理要求

6.1.1.1　用戶身份管理

用戶身份管理應滿足以下要求：

能夠對被管理對象的系統管理員進行身份鑒別，并對身份標識及鑒別信息進行復雜度檢查；

在物聯網系統中，應通過被管理對象的系統管理員對感知設備、感知層網關等進行統一身份標識管理。

6.1.1.2　數據保護

6.1.1.2.1　數據保密性

數據保密性應滿足以下要求：

a) 在安全管理中心與被管理對象之間建立連接之前，可利用密碼技術進行會話初始化驗證；

b) 可使用密碼技術對安全管理中心與被管理對象之間通信過程中的整個報文或會話過程進行機密性保護；

c) 可采用加密或其他保護措施實現被管理對象的鑒別信息、配置管理數據的存儲保密性。

6.1.1.2.2　數據完整性

數據完整性應滿足以下要求：

能夠檢測到被管理對象鑒別信息、配置管理數據在傳輸過程中完整性受到破壞；

能夠檢測到被管理對象鑒別信息、配置管理數據在存儲過程中完整性受到破壞。

6.1.1.2.3　數據備份與恢復

數據備份與恢復應滿足以下要求：

提供數據本地備份與恢復功能，增量數據備份至少每天一次，備份介質場外存放；

備份數據應至少包含安全管理中心采集的原始數據、主/客體配置管理數據、安全管理中心自身審計數據等；

在云計算平臺中，應提供查詢云服務客戶數據及備份存儲位置的方式。

6.1.1.3　安全事件管理

6.1.1.3.1　安全事件采集

安全事件采集應滿足以下要求：

a) 支持安全事件監測采集功能，及時發現和采集發生的安全事件；

b) 能夠對安全事件進行歸一化處理，將不同來源、不同格式、不同內容組成的原始事件轉換成標準的事件格式；

c) 安全事件的內容應包括日期、時間、主體標識、客體標識、類型、結果、IP地址、端口等信息；

d) 安全事件采集的范圍應涵蓋主機設備、網絡設備、數據庫、安全設備、各類中間件、機房環境控制系統等；

e) 能夠對采集的安全事件原始數據的集中存儲。

注：安全事件的屬性可參考附錄C。

6.1.1.3.2　安全事件告警

安全事件告警應具備告警功能，在發現異常時可根據預先設定的閾值產生告警。

6.1.1.3.3　安全事件響應

安全事件響應應滿足以下要求：

a) 能夠提供工單管理的功能，支持基于告警響應動作創建工單的流轉流程；

b) 能夠提供安全通告功能，可以創建或導入安全風險通告，通告中應包括通告內容、描述信息、CVE編號、影響的操作系統等；

c) 能夠根據通告提示的安全風險影響的操作系統，提供受影響的被保護資產列表。

6.1.1.3.4　統計分析報表

統計分析報表應滿足以下要求：

a) 能夠按照時間、事件類型等條件對安全事件進行查詢；

b) 能夠提供統計分析和報表生成功能。

6.1.1.4　風險管理

6.1.1.4.1　資產管理

資產管理應滿足以下要求：

a) 實現對被管理對象資產的管理，提供資產的添加、修改、刪除、查詢與統計功能；

b) 資產管理信息應包含資產名稱、資產IP地址、資產類型、資產責任人、資產業務價值以及資產的機密性、完整性、可用性賦值等資產屬性；

c) 支持資產屬性的自定義；

d) 支持手工錄入資產記錄或基于指定模板的批量資產導入。

6.1.1.4.2　威脅管理

威脅管理應滿足以下要求：

a) 具備預定義的安全威脅分類；

b) 支持自定義安全威脅分類，如將已發生的安全事件對應的威脅設置為資產面臨的威脅。

6.1.1.4.3　脆弱性管理

脆弱性管理應允許創建并維護資產脆弱性列表，支持脆弱性列表的合并及更新。

6.1.1.4.4　風險分析

風險分析應滿足以下要求：

a) 能夠根據資產的業務價值、資產當前的脆弱性及資產面臨的安全威脅，計算目標資產的安全風險；

b) 安全風險的計算周期和計算公式能夠根據部署環境的實際需要通過修改配置的方式進行相應調整；

c) 安全管理系統能夠以圖形化的方式展現當前資產的風險級別、當前風險的排名統計等。

6.1.1.5　資源監控

6.1.1.5.1　可用性監測

可用性監測應滿足以下要求：

支持通過監測網絡設備、安全設備、主機操作系統、數據庫、中間件、應用系統等重要性能指標，實時了解其可用性狀態；

支持對關鍵指標（如：CPU使用率、內存使用率、磁盤使用率、進程占用資源、交換分區、網絡流量等方面）設置閾值，觸發閾值時產生告警。

6.1.1.5.2　網絡拓撲監測

網絡拓撲監測應滿足以下要求：

支持對網絡拓撲圖進行在線編輯，允許手工添加或刪除監測節點或鏈路；

能夠展現當前網絡環境中關鍵設備（包括網絡設備、安全設備、服務器主機等）和鏈路的運行狀態，如網絡流量、網絡協議統計分析等指標。

6.1.2　審計管理要求

6.1.2.1　審計策略集中管理

審計策略集中管理應能夠查看主機操作系統、數據庫系統、網絡設備、安全設備的審計策略配置情況，包括策略是否開啟、參數設施是否符合安全策略等。

6.1.2.2　審計數據集中管理

6.1.2.2.1　審計數據采集

審計數據采集應滿足以下要求：

能夠實現審計數據的歸一化處理，內容應涵蓋日期、時間、主體標識、客體標識、類型、結果、IP地址、端口等信息；

支持設定查詢條件進行審計數據查詢；

支持對各種審計數據按規則進行過濾處理；

支持對數據采集信息按照特定規則進行合并。

6.1.2.2.2　審計數據采集對象

審計數據采集對象應滿足以下要求：

支持對網絡設備（如交換機、路由器、流量管理、負載均衡等網絡基礎設備）的審計數據采集；

支持對主機設備（如服務器操作系統等應用支撐平臺和桌面電腦、筆記本電腦、手持終端等終端用戶訪問信息系統所使用的設備）的審計數據采集；

支持對數據庫（如Oracle、My SQL、MSSQL Server等）的審計數據采集；

支持對安全設備（如防火墻、入侵監測系統、抗拒絕服務攻擊設備、防病毒系統、應用安全審計系統、訪問控制系統等與信息系統安全防護相關的各種系統和設備）的審計數據采集；

支持對各類中間件的審計數據采集；

支持對機房環境控制系統（如空調、溫度、濕度控制、消防設備、門禁系統等）的審計數據采集；

在云計算平臺中，應對云服務器、云數據庫、云存儲等云服務的創建、刪除等操作行為進行審計；

在工業控制系統中，應對工業控制現場控制設備、網絡安全設備、網絡設備、服務器、操作站等設備的網絡安全監控和報警、網絡安全日志信息進行集中管理。

6.1.2.2.3　審計數據采集方式

審計數據采集方式應滿足以下要求：

a) 支持通過如Syslog、SNMP等協議采集各種系統或設備上的審計數據；

b) 通過統一接口，接收被管理對象的安全審計數據。