GB/T 34990—2017 信息安全技術 信息系統安全管理平臺技術要求和測試評價方法附 錄 B (資料性附錄) 平臺對各類管理對象的控制過程說明
B.1 概述
平臺實現的安全管理流程主要由安全管理員、系統管理員和安全審計員通過安全管理中心執行,分別實施系統維護、安全策略制定和部署、審計記錄分析和結果響應等。其中:
系統部件管理功能:負責對信息系統安全保護環境中的計算環境、區域邊界、通信網絡中系統部件實施集中管理和維護,包括用戶身份管理、資源管理、異常情況處理等;
安全機制管理功能:作為信息系統的安全控制中樞,主要實施標記管理、授權管理及策略管理等,通過制定相應的系統安全策略,并要求計算環境、區域邊界和通信網絡中系統部件的安全機制強制執行,從而實現對整個信息系統的集中管理;
審計機制管理功能:作為信息系統的監督中樞,通過制定審計策略,并要求計算環境、區域邊界、通信網絡中的審計機制強制執行,實現對整個信息系統的行為審計,確保用戶無法抵賴違反系統安全策略的行為,同時為應急處理提供依據。
平臺對各類管理對象的控制過程在5.2.2、5.2.3、5.2.4提出了管理功能要求,下面僅對控制過程中可涉及的各種系統部件以及安全機制和審計機制的范圍等作出簡要說明。其中,事件響應處置過程在正文中已有說明,這里不再贅述。有關信息系統安全保護環境中的計算環境子系統、區域邊界子系統、通信網絡子系統應遵照GB/T 25070-2010中的要求執行。
本附錄僅提供常用系統部件的有關信息。
B.2 管理對象識別過程的控制范圍
平臺對管理對象識別過程涉及的主要控制范圍(如表B.1所示)說明如下:
表B.1 平臺對管理對象識別過程的控制范圍
| 管理對象 | 系統部件管理方面 | 安全機制管理方面 | 審計機制管理方面 | 參考標準 |
|---|---|---|---|---|
| 服務器、終端計算機的操作系統 | 標識、操作系統類型、版本、系統配置、用戶 | 操作系統的安全配置 | 操作系統的審計配置 | GB/T 20272-2006 |
| 服務器的數據庫管理系統 | 標識、數據庫管理系統類型、版本、系統配置、用戶 | 數據庫管理系統的安全配置 | 數據庫管理系統的審計配置 | GB/T 20273-2006 |
| 應用軟件系統 | 標識、應用軟件系統名稱、版本、可管理的系統配置、用戶 | 應用軟件系統可管理的安全配置 | 應用軟件系統可管理的審計配置 | GB/T 28452-2012 |
| 路由器、交換機等網絡設備(系統) | 標識、網絡設備類型、型號、版本號、系統配置 | 網絡設備的訪問控制列表等配置 | 網絡設備的審計配置 | GB/T 20270-2006 |
| 防火墻系統 | 標識、防火墻類型、型號、版本號、系統配置 | 防火墻系統的安全配置 | 防火墻系統的審計配置 | GB/T 20281-2015 |
| 入侵檢測/防御系統 | 標識、入侵檢測/防御系統類型、型號、版本號、系統配置 | 入侵檢測/防御系統的安全配置 | 入侵檢測/防御系統的審計配置 | GB/T 28451-2012GB/T 28451-2012 |
| 安全審計系統 | 標識、安全審計系統類型、型號、版本號、系統配置 | 安全審計系統的安全配置 | 安全審計系統的審計配置 | GB/T 20945-2013 |
| 統一威脅管理系統 | 標識、統一威脅管理系統類型、型號、版本號、系統配置 | 統一威脅管理系統的安全配置 | 統一威脅管理系統的審計配置 | GB/T 31499-2015 |
| 網絡和終端隔離設備 | 標識、隔離設備類型、型號、版本號、系統配置 | 隔離設備的安全配置 | 隔離設備的審計配置 | GB/T 20279-2015 |
| 聯網的辦公設備 | 標識、辦公設備類型、型號、版本號、系統配置 | 根據可提供功能確定 | 根據可提供功能確定 | GB/T 29244-2012 |
| 聯網的物理安全設施 | 標識、物理安全設施類型、型號、版本號、系統配置 | 根據可提供功能確定 | 根據可提供功能確定 | GB/T 21052-2007 |
B.3 管理策略設置過程的控制范圍
平臺對管理對象進行管理策略設置過程涉及的主要控制范圍(見表B.2)說明如下:
表B.2 平臺對管理對象進行管理策略設置過程的控制范圍
| 管理對象 | 系統部件管理方面 | 安全機制管理方面 | 審計機制管理方面 |
|---|---|---|---|
| 服務器、終端計算機的操作系統 | 操作系統的系統配置、用戶身份標識 | 操作系統的安全配置、用戶權限設置 | 操作系統的審計配置 |
| 服務器的數據庫管理系統 | 數據庫管理系統的系統配置、用戶身份標識 | 數據庫管理系統的安全配置、用戶權限設置 | 數據庫管理系統的審計配置 |
| 應用軟件系統 | 應用軟件系統可管理的系統配置、用戶身份標識 | 應用軟件系統可管理的安全配置、用戶權限設置 | 應用軟件系統可管理的審計配置 |
| 路由器、交換機等網絡設備(系統) | 網絡設備系統配置 | 網絡設備的訪問控制列表等配置 | 網絡設備的審計配置 |
| 防火墻系統 | 防火墻的系統配置 | 防火墻系統的安全配置 | 防火墻系統的審計配置 |
| 入侵檢測/防御系統 | 入侵檢測/防御系統的系統配置 | 入侵檢測/防御系統的安全配置 | 入侵檢測/防御系統的審計配置 |
| 安全審計系統 | 安全審計系統的系統配置 | 安全審計系統的安全配置 | 安全審計系統的審計配置 |
| 統一威脅管理系統 | 統一威脅管理系統的系統配置 | 統一威脅管理系統的安全配置 | 統一威脅管理系統的審計配置 |
| 網絡和終端隔離設備 | 隔離設備的系統配置 | 隔離設備的安全配置 | 隔離設備的審計配置 |
| 聯網的辦公設備 | 辦公設備可管理的系統配置 | 根據可提供功能確定 | 根據可提供功能確定 |
| 聯網的物理安全設施 | 物理安全設施可管理的系統配置 | 根據可提供功能確定 | 根據可提供功能確定 |
B.4 運行狀態監控過程的控制范圍
平臺對管理對象運行狀態監控過程涉及的主要控制范圍(見表B.3)說明如下:
表B.3 平臺對管理對象運行狀態監控過程的控制范圍
| 管理對象 | 系統部件管理方面 | 安全機制管理方面 | 審計機制管理方面 |
|---|---|---|---|
| 服務器、終端計算機的操作系統 | 1)操作系統的系統配置和用戶權限設置是否發生變化2)服務器、終端計算機是否在線運行3)是否有新接入的服務器、終端計算機設備 | 1)操作系統的安全配置是否發生變化2)操作系統提供的監測信息 | 1)操作系統的審計配置是否發生變化2)操作系統提供的審計信息 |
| 服務器的數據庫管理系統 | 1)數據庫管理系統的系統配置、用戶權限設置是否發生變化2)數據庫管理系統是否在線運行 | 1)數據庫管理系統的安全配置是否發生變化2)數據庫管理系統提供的監測信息 | 1)數據庫管理系統的審計配置是否發生變化2)數據庫管理系統提供的審計信息 |
| 應用軟件系統 | 1)應用軟件系統可管理的系統配置、用戶權限設置是否發生變化2)應用軟件系統是否在線運行3)是否有新接入的應用軟件系統 | 1)應用軟件系統可管理的安全配置是否發生變化2)應用軟件系統提供的監測信息 | 1)應用軟件系統可管理的審計配置是否發生變化2)應用軟件系統提供的審計信息 |
| 路由器、交換機等網絡設備(系統) | 1)網絡設備系統配置是否發生變化2)是否出現網絡異常流量 3)網絡設備系統是否在線運行4)是否有新接入的網絡設備 | 1)網絡設備的訪問控制列表等配置是否發生變化2)網絡設備系提供的監測信息 | 1)網絡設備的審計配置是否發生變化2)網絡設備提供的審計信息 |
| 防火墻系統 | 1)防火墻的系統配置是否發生變化2)防火墻系統是否在線運行3)是否有新接入的防火墻系統 | 1)防火墻系統的安全配置是否發生變化2)防火墻系統提供的監測信息 | 1)防火墻系統的審計配置是否發生變化2)防火墻系統提供的審計信息 |
| 入侵檢測/防御系統 | 1)入侵檢測/防御系統的系統配置是否發生變化2)入侵檢測/防御系統是否在線運行 | 1)入侵檢測/防御系統的安全配置是否發生變化2)入侵檢測/防御系統提供的監測信息,如網絡攻擊等 | 1)入侵檢測/防御系統的審計配置是否發生變化2)入侵檢測/防御系統提供的審計信息 |
| 安全審計系統 | 1)安全審計系統的系統配置是否發生變化2)安全審計系統是否在線運行 | 1)安全審計系統的安全配置是否發生變化2)安全審計系統提供的監測信息 | 1)安全審計系統的審計配置是否發生變化2)安全審計系統提供的審計信息 |
| 統一威脅管理系統 | 1)統一威脅管理系統的系統配置是否發生變化2)統一威脅管理系統是否在線運行 | 1)統一威脅管理系統的安全配置是否發生變化2)統一威脅管理系統提供的監測信息 | 1)統一威脅管理系統的審計配置是否發生變化2)統一威脅管理系統提供的審計信息 |
| 網絡和終端隔離設備 | 1)隔離設備的系統配置是否發生變化2)隔離設備是否在線運行 | 1)隔離設備的安全配置是否發生變化2)隔離設備提供的監測信息 | 1)隔離設備的審計配置是否發生變化2)隔離設備提供的審計信息 |
| 聯網的辦公設備 | 1)辦公設備可管理的系統配置是否發生變化2)辦公設備是否在線運行3)是否有新接入的辦公設備 | 根據提供的可管理功能確定 | 根據提供的可管理功能確定 |
| 聯網的物理安全設施 | 1)物理安全設施可管理的系統配置是否發生變化2)物理安全設施是否在線運行3)是否有新接入的物理安全設施 | 根據提供的可管理功能確定 | 根據提供的可管理功能確定 |
推薦文章: