工作相关,作为测评方梳理下等保2.0的测评变化、理解与困惑。
让我最纳闷的是一个中心三重防护中的一个中心。
一个中心指的安全管理中心。以三级的测评项为例,分为系统管理、审计管理、安全管理和集中管控四大项。
前三项类似于三权分立,但并不是有一个管理中心同时管理系统所有设备,可以有安管平台对所有设备进行配置管理,堡垒机对所有服务器和网络设备进行运维,日志分析系统收集所有日志并进行统计分析。但是,这三点的要求包不包括应用系统?
系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
但从集中管控的要求来看,又是需要一个统一管理平台,能够集中监测、收集日志 、下发策略等。矛盾极了。不过很明确,把应用系统撇开了。
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理 ;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
有这样一个安全管理中心,当然是是方便的,但是安全设备、服务器千奇百态,有哪家能研发一个适配所有种类的设备的管理中心,又或者想通过这个要求推动所有安全设备和服务器的标准化?
如果市场有需要,又能够实现,这样的产品早就存在了。听说已经有安全厂商为了等保2.0特意在开发这样一个安全管理中心,倒是值得期待如何实现这四项要求。
网友评论