国家标准 GB/T36958一2018 信息安全技术网络安全等级保护安全管理中心技术要求 nformationsecuritytechnology一Technicalrequirementsofsecurity managementcenterforclassifiedproteetionofcyberseeuriy 2018-12-28发布 2019-07-01实施国家市场监督管理总局发布国家标准化管理委员会国家标准
GB/T36958一2018 目次前言引言范围规范性引用文件术语和定义缩略语 5 安全管理中心概述 5.1总体说明 5.2功能描述第二级安全管理中心技术要求 6.1功能要求 6.2接口要求 6.3 自身安全要求第三级安全管理中心技术要求 7.1功能要求 7.2接口要求 13 自身安全要求 7.3 13 第四级安全管理中心技术要求 15 8.1功能要求 15 8.2接口要求 22 自身安全要求 8.3 第五级安全管理中心技术要求 23 10跨定级系统安全管理中心技术要求 23 附录A规范性附录安全管理中心与网络安全等级保护对象等级对应关系 24 附录B(规范性附录安全管理中心技术要求分级表 25 附录c资料性附录归一化安全事件属性 27
GB/36958一2018 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位:电子科技集团公司第十五研究所(信息产业信息安全测评中心、公安部第三研究所、公安部第一研究所、网神信息技术(北京)股份有限公司本标准主要起草人:霍珊珊、任卫红、刘健、张益、董晶晶、刘凯明郑国刚、陶源、陈广勇、李秋香、卢青、王刚
GB/T36958一2018 引言本标准从安全管理中心的功能、接口、自身安全等方面,对GB/T25070中提出的安全管理中心及其安全技术和机制进行了进一步规范,提出了通用的安全技术要求,指导安全厂商和用户依据本标准要求设计和建设安全管理中心为清晰表示每一个安全级别比较低一级安全级别的安全技术要求的增加和增强,从第二级安全管理中心的技术要求开始,每一级新增部分用“黑体”表示安全管理中心是对网络安全等级保护对象的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域,是网络安全等级保护对象安全防御体系的重要组成部分,涉及系统管理、安全管理、审计管理等方面
GB/36958一2018 信息安全技术网络安全等级保护安全管理中心技术要求范围本标准规定了网络安全等级保护安全管理中心的技术要求本标准适用于指导安全厂商和运营使用单位依据本标准要求设计、建设和运营安全管理中心规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T5271.8信息技术词汇第8部分;安全 GB17859一1999计算机信息系统安全保护等级划分准则 GB/T25069信息安全技术术语 GB/T25070信息安全技术信息系统等级保护安全设计技术要求术语和定义 GB17859一1999,GB/T5271.8,GB/T25069和GB/T25070界定的以及下列术语和定义适用于本文件 3.1 interface 数据采集接口data" aqutsttn 采集网络环境中的主机操作系统、数据库系统、网络设备、安全设备等各监测对象上的安全事件、脆弱性以及相关配置及其状态信息的接口 3.2 采集器colleetor 从网络安全等级保护对象或其所在区域上收集网络安全源数据和事件信息的组件 3.3 安全管理中心securitymanagementeenter 对定级系缆的安全策略及安全计算环境、安全区域边界和安全通信网络的安全机制实施统- -管理的平台或区域注修改GB/T25070-2010定义3.6 缩略语下列缩略语适用于本文件 CPU 中央处理器(CentralProcessingUnit) CVE 通用脆弱性及披露(CommonVulnerabilities&. Exposures) DDoS 分布式拒绝服务(DistributedDenialofService)
GB/T36958一2018 Protocol lP 互联网协议(Internet IPv4 互联网协议第四版(InternetProtocolversion4) IPv6 nternetProtocolversion6 互联网协议第六版(Int NMP Protocol ietwoakManagement" 简单网络管理协议(SimpleNet 5 安全管理中心概述 5.1总体说明安全管理中心作为对网络安全等级保护对象的安全策略及安全计算环境、安全区域边界和安全通信网络的安全机制实施统一管理的系统平台,实现统一管理、统一监控,统一审计、综合分析和协同防护本标准将安全管理中心技术要求分为功能要求、接口要求和自身安全要求三个大类(如图1所示) 其中,功能要求从系统管理、安全管理和审计管理三个方面提出具体要求;接口要求对安全管理中心涉及到的接口协议和接口安全提出具体要求;自身安全要求对安全管理中心自身安全功能提出具体要求依据GB/T25070的定义,第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心称为第二级安全管理中心,第三级安全管理中心,第四级安全管理中心和第五级安全管理中心安全管理中心等级与网络安全等级保护对象等级的关系见附录A,在附录B中,以表格形式列举了第二级、第三级、第四级的差异功能要求接口要求自身安全要求身份鉴别系统理要求安全管理要求审计管理要求第三方插件访问控制代理用户身份管理可信路径安全标记按口协议要求审计策略集中安全审计数据保护管理授权管理剩余信息保护安全事件管理软件容错设备策略管理资源控制风险管理" 审计数据集中接口安全要求管理入侵防冠资源监控密码保障数安个图1安全管理中心技术要求框架图安全管理中心作为一个系统区域(如图2所示),主要负责系统的安全运行维护管理,其边界通常为安全管理自身区域的网络边界访问控制设备,与被管理的网络设备区域、服务器区域进行安全配置数据交互,完成整个系统环境安全策略和安全运维的统一管理
GB/36958一2018 C000 防制 NP 牌和T放务器服务堡垒机入侵检测设各漏洞扫播系统安全管理中心 EG 数据库计来n 招业务专网区业务数据区应用服务区图2安全管理中心模型图 5.2功能描述系统管理主要通过管理员对系统的资源和运行进行配置、控制和管理,包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和异地灾难备份与恢复等安全管理主要通过安全管理员对系统中的主体、客体进行统一标记,对主体进行授权,配置一致的安全策略,并确保标记、授权和安全策略的数据完整性审计管理主要通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类,提供按时间段开启和关闭相应类型的安全审计机制,对各类审计记录进行存储、管理和查询等安全审计员对审计记录进行分析,并根据分析结果进行及时处理第二级安全管理中心技术要求 6.1功能要求 6.1.1系统管理要求 6.1.1.1用户身份管理用户身份管理应满足以下要求:
GB/T36958一2018 能够对被管理对象的系统管理员进行身份鉴别,并对身份标识及鉴别信息进行复杂度检查; a D)在物联网系统中,应通过被管理对象的系统管理员对感知设备,感知层网关等进行统一身份标识管理 6.1.1.2数据保护 6.1.1.2.1数据保密性数据保密性应满足以下要求在安全管理中心与被管理对象之间建立连接之前,可利用密码技术进行会话初始化验证 a b 可使用密码技术对安全管理中心与被管理对象之间通信过程中的整个报文或会话过程进行机密性保护; 可采用加密或其他保护措施实现被管理对象的鉴别信息、配置管理数据的存储保密性 6.1.1.2.2数据完整性数据完整性应满足以下要求能够检测到被管理对象鉴别信息、配置管理数据在传输过程中完整性受到破坏 a b 能够检测到被管理对象鉴别信息、配置管理数据在存储过程中完整性受到破坏 6.1.1.2.3数据备份与恢复数据备份与恢复应满足以下要求 a 提供数据本地备份与恢复功能,增量数据备份至少每天一次,备份介质场外存放 b 备份数据应至少包含安全管理中心采集的原始数据、主/客体配置管理数据、安全管理中心自身审计数据等; 在云计算平台中,应提供查询云服务客户数据及备份存储位置的方式 6.1.1.3安全事件管理 6.1.1.3.1安全事件采集安全事件采集应满足以下要求支持安全事件监测采集功能,及时发现和采集发生的安全事件; a) b) 能够对安全事件进行归一化处理,将不同来源、,不同格式,不同内容组成的原始事件转换成标准的事件格式; 安全事件的内容应包括日期,时间、主体标识,客体标识,类型、结果,IP地址、端口等信息; 安全事件采集的范围应涵盖主机设备、网络设备、数据库、安全设备、各类中间件、机房环境控 d 制系统等; 能够对采集的安全事件原始数据的集中存储 e 注安全事件的属性可参考附录c 6.1.1.3.2安全事件告警安全事件告警应具备告警功能,在发现异常时可根据预先设定的阂值产生告警 6.1.1.3.3安全事件响应安全事件响应应满足以下要求: 能够提供工单管理的功能,支持基于告警响应动作创建工单的流转流程 a
GB/36958一2018 b 能够提供安全通告功能,可以创建或导人安全风险通告,通告中应包括通告内容、描述信息、 CVE编号、影响的操作系统等; 能够根据通告提示的安全风险影响的操作系统,提供受影响的被保护资产列表 6.1.1.3.4统计分析报表统计分析报表应满足以下要求能够按照时间、事件类型等条件对安全事件进行查询 b 能够提供统计分析和报表生成功能 6.1.1.4风险管理 6.1.1.4.1资产管理资产管理应满足以下要求实现对被管理对象资产的管理,提供资产的添加、修改、删除、查询与统计功能 aa 资产管理信息应包含资产名称、资产IP地址、,资产类型、资产责任人,资产业务价值以及资产 b 的机膀性,完整性,可用性赋值等资产属性支持资产属性的自定义; d 支持手工录人资产记录或基于指定模板的批量资产导人 6.1.1.4.2威胁管理威胁管理应满足以下要求具备预定义的安全威胁分类; aa b)支持自定义安全威胁分类,如将已发生的安全事件对应的威胁设置为资产面临的威胁 6.1.1.4.3脆弱性管理脆弱性管理应允许创建并维护资产脆弱性列表,支持脆弱性列表的合并及更新 6.1.1.4.4风险分析风险分析应满足以下要求能够根据资产的业务价值、资产当前的脆弱性及资产面临的安全威胁,计算目标资产的安全 a 风险; b 安全风险的计算周期和计算公式能够根据部署环境的实际需要通过修改配置的方式进行相应调整; 安全管理系统能够以图形化的方式展现当前资产的风险级别当前风险的排名统计等 6.1.1.5资源监控 6.1.1.5.1可用性监测可用性监测应满足以下要求支持通过监测网络设备、安全设备、主机操作系统、数据库、中间件,应用系统等重要性能指标 a 实时了解其可用性状态; b 支持对关键指标(如:CPU使用率、内存使用率、磁盘使用率、进程占用资源、交换分区、网络流量等方面)设置阔值,触发闵值时产生告警
GB/T36958一2018 6.1.1.5.2网络拓扑监测网络拓扑监测应满足以下要求支持对网络拓扑图进行在线编辑,允许手工添加或删除监测节点或链路 a D)能够展现当前网络环境中关键设备(包括网络设备、安全设备、服务器主机等)和链路的运行状态,如网络流量、网络协议统计分析等指标 6.1.2审计管理要求 6.1.2.1审计策略集中管理审计策略集中管理应能够查看主机操作系统、数据库系统、网络设备、安全设备的审计策略配置情况,包括策略是否开启、参数设施是否符合安全策略等 6.1.2.2审计数据集中管理 6.1.2.2.1审计数据采集审计数据采集应满足以下要求能够实现审计数据的归一化处理,内容应诵盖日期,时间、主体标识,客体标识,类型,结果、,IP a) 地址,端口等信息支持设定查询条件进行审计数据查询 b 支持对各种审计数据按规则进行过滤处理; c 支持对数据采集信息按照特定规则进行合并 d 6.1.2.2.2审计数据采集对象审计数据采集对象应满足以下要求支持对网络设备(如交换机、路由器、流量管理、负载均衡等网络基础设备)的审计数据采集; a 支持对主机设备(如服务器操作系统等应用支撑平台和桌面电脑,笔记本电脑、手持终端等终 b) 端用户访问信息系统所使用的设备)的审计数据采集; 支持对数据库的审计数据采集，支持对安全设备(如防火墙,人侵监测系统、抗拒绝服务攻击设备、防病毒系统、应用安全审计 d 系统、访问控制系统等与信息系统安全防护相关的各种系统和设备)的审计数据采集，支持对各类中间件的审计数据采集; e 支持对机房环境控制系统(如空调、温度、湿度控制、消防设备、门禁系统等)的审计数据采集; fD) 在云计算平台中,应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行 g 审计在工业控制系统中,应对工业控制现场控制设备、网络安全设备、网络设备、服务器、操作站等 h) 设备的网络安全监控和报警、网络安全日志信息进行集中管理 6.1.2.2.3审计数据采集方式审计数据采集方式应满足以下要求: 支持通过如Syslog、SNMP等协议采集各种系统或设备上的审计数据 a D)通过统一接口,接收被管理对象的安全审计数据
GB/36958一2018 6.2接口要求 6.2.1第三方插件/代理接口协议要求安全管理中心应支持SNMPTrap,Syslog、webService等常规接口和自定义接口以及第三方的插件或者代理的接口实现各组件之间与第三方平台之间的数据交换 6.2.2接口安全要求接口安全要求应满足以下要求采用安全的接口协议,保证接口之间交互数据的完整性; b采用加密技术实现接口之间交互数据的保密性 6.3自身安全要求 6.3.1身份鉴别安全管理中心控制台的管理员身份鉴别应满足以下要求提供专用的登录控制模块对管理员进行身份标识和鉴别 a b提供管理员用户身份标识唯一和鉴别信息复杂度检查功能,保证不存在重复用户身份标识,身份鉴别信息不易被冒用提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 6.3.2 访问控制安全管理中心控制台的访问控制应满足以下要求提供自主访问控制功能依据安全策略控制管理员对各功能的访问; aa b) 自主访问控制的覆盖范围应包括所有管理员、功能及它们之间的操作; 由授权管理员配置访问控制策略,并禁止默认账户的访问 c 6.3.3安全审计安全管理中心控制台的安全审计应满足以下要求提供覆盖到每个管理员的安全审计功能,记录所有管理员对重要操作和安全事件进行审计 a b)保证无法单独中断审计进程,无法删除、修改或覆盖审计记录; 审计记录的内容至少应包括事件的日期,时间、发起者信息、类型、描述和结果等; c d提供对审计记录数据进行统计、查询的功能 6.3.4软件容错安全管理中心控制台的软件容错应提供数据有效性检验功能,保证通过人机接口输人或通过接口输人的数据格式或长度符合系统设定要求 6.3.5资源控制安全管理中心控制台的资源控制应满足以下要求对管理员登录地址范围进行限制 aa b 当管理员在一段时间内未作任何动作,应能够自动结束会话; 能够对最大并发会话连接数进行限制 c d 提供对自身运行状态的监测,应能够对服务水平降低到预先规定的最小值进行检测和报警
GB/T36958一2018 6.3.6入侵防范安全管理中心控制台的人侵防范应满足以下要求能够检测到对各服务器、网络设备和安全设备进行人侵的行为 a D)能够通过设定终端接人方式或网络地址范围对通过网络进行管理的管理终端进行限制; c 服务器操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持各组件的补丁及时得到更新; d 应关闭不需要的各组件系统服务和高危端口 6.3.7数据安全安全管理中心控制台的数据安全应满足以下要求 a 能够检测到管理数据和鉴别信息在传输和存储过程中完整性受到破坏采用密码技术或其他保护措施实现管理数据和鉴别信息的数据传输和存储保密性 b 第三级安全管理中心技术要求 7.1功能要求系统管理要求 7.1.1 7.1.1.1用户身份管理用户身份管理应满足以下要求能够对被管理对象环境中的主体进行标识; a b) 能够采用两种或两种以上组合的鉴别技术对用户进行身份鉴别能够对被管理对象的系统管理员进行身份鉴别,并对身份标识及鉴别信息进行复杂度检查; c 在物联网系统中,应通过被管理对象的系统管理员对感知设备、感知层网关等进行统一身份标 d 识管理 7.1.1.2数据保护 7.1.1.2.1数据保密性数据保密性应满足以下要求: 在安全管理中心与被管理对象之间建立连接之前,应利用密码技术进行会话初始化验证; a b) 应使用密码技术对安全管理中心与被管理对象之间通信过程中的整个报文或会话过程进行机密性保护; 应采用加密或其他保护措施实现被管理对象的鉴别信息配置管理数据的存储保密性 7.1.1.2.2数据完整性数据完整性应满足以下要求: a 能够检测到被管理对象鉴别信息、配置管理数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施 b 能够检测到被管理对象鉴别信息、配置管理数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施
GB/36958一2018 7.1.1.2.3数据备份与恢复数据备份与恢复应满足以下要求提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放; aa 5 备份数据应至少包含安全管理中心采集的原始数据,主/客身份标识数据,主/客体安全标记数据、主/客体配置管理数据、安全管理中心自身审计数据等在云计算平台中,应提供查询云服务客户数据及备份存储位置的方式,云计算平台的运维应在境内,禁止从境外对境内云计算平台的运维 7.1.1.2.4剩余信息保护剩余信息保护应保证主体和客体的鉴别信息所在的存储空间被释放或再分配给其他主体前得到完全清除,无论这些信息是存放在硬盘上还是在内存中 7.1.1.3安全事件管理 7.1.1.3.1安全事件采集安全事件采集应请足以下要求支持安全事件监测采集功能,及时发现和采集发生的安全事件; a b 能够对安全事件进行归一化处理,将不同来源、不同格式、不同内容组成的原始事件转换成标准的事件格式; 安全事件的内容应包括日期,时间,主体标识、客体标识,类型、结果、IP地址、端口等信息 d 安全事件采集的范围应涵盖主机设备、网络设备、数据库、安全设备、各类中间件、机房环境控制系统等; 能够对采集的安全事件原始数据的集中存储 e 注安全事件的属性可参考附录C 7.1.1.3.2安全事件告警安全事件告警应满足以下要求具备告警功能,在发现异常时可根据预先设定的值产生告警 aa 在产生告警时,应能够触发预先设定的事件分析规则,执行预定义的告警响应动作,如;控制台 b 对话框告警、控制台告警音、电子邮件告警,手机短信告警、创建工单、通过Syslog或SNMP Irap发布告警事件等具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力 7.1.1.3.3安全事件响应安全事件响应应满足以下要求能够提供工单管理的功能,支持基于告警响应动作创建工单的流转流程 a 能够提供安全通告功能,可以创建或导人安全风险通告,通告中应包括通告内容、描述信息、 b CVE编号、影响的操作系统等; 能够根据通告提示的安全风险影响的操作系统,提供受影响的被保护资产列表 7.1.1.3.4事件关联分析事件关联分析应满足以下要求:
GB/T36958一2018 支持将来自不同事件源的事件在一个分析规则中进行分析,从而能从海量事件中过滤出有逻 a 辑关系的事件序列,据此给出相应的告警 b 针对常见的攻击行为和违规访问提供相应的关联分析规则,如针对主机扫描、端口扫描、DDos 攻击、蠕虫、口令猜测、跳板攻击等的关联分析规则 7.1.1.3.5统计分析报表统计分析报表应满足以下要求: 能够按照时间、事件类型等条件对安全事件进行查询 a b)能够提供统计分析和报表生成功能 7.1.1.4风险管理 7.1.1.4.1资产管理资产管理应满足以下要求实现对被管理对象资产的管理,提供资产的添加、修改、厕除、查询与统计功能 a b) 资产管理信息应包含资产名称,资产IP地址、资产类型,资产责任人,资产业务价值以及资产的机密性,完整性,可用性赋值等资产属性; 支持资产属性的自定义 d 支持手工录人贵产记录或基于指定模板的批量资产导人 7.1.1.4.2资产业务价值评估资产业务价值评估应支持自定义资产业务价值评估模型,能够依据资产类型,资产重要性、损坏后造成的影响涉及的范围等参数形成资产业务价值等级 7.1.1.4.3威胁管理威胁管理应满足以下要求: 具备预定义的安全威胁分类 a b) 支持自定义安全威胁分类,如将已发生的安全事件对应的威胁设置为资产面临的威胁 7.1.1.4.4脆弱性管理脆弱性管理应允许创建并维护资产脆弱性列表,支持脆弱性列表的合并及更新 7.1.1.4.5风险分析风险分析应满足以下要求能够根据资产的业务价值、资产当前的脆弱性及资产面临的安全威胁,计算目标资产的安全 a 风险 b 安全风险的计算周期和计算公式能够根据部署环境的实际需要通过修改配置的方式进行相应调整安全管理系统能够以图形化的方式展现当前资产的风险级别、当前风险的排名统计等 7.1.1.5资源监控 7.1.1.5.1可用性监测可用性监测应满足以下要求 10
GB/36958一2018 支持通过监测网络设备、安全设备、主机操作系统、数据库,中间件,应用系统等重要性能指标， a 实时了解其可用性状态; b 支持对关键指标(如:(CPU使用率、内存使用率、磁盘使用率,进程占用资源、交换分区、网络流量等方面)设置阂值,触发阔值时产生告警; 在物联网系统平台,应通过系统管理员对感知设备状态(电力供应情况、是否在线、位置等)进行统一监测和处理; d 在工业控制系统中,应能够对工业控制系统设备的可用性和安全性进行实时监控,可以对监控指标设置告警阔值,触发告警并记录 7.1.1.5.2网络拓扑监测网络拓扑监测应满足以下要求: 支持对网络拓扑图进行在线编辑,允许手工添加或删除监测节点或链路 a b 能够展现当前网络环境中关键设备(包括网络设备、安全设备、服务器主机等)和链路的运行状态,如网络流量、网络协议统计分析等指标; 在网络运行出现异常时,能够展现在当前网络拓扑图中并产生告警 c d 能够发现并阻断非授权设备的外联及接入 7.1.2安全管理要求安全标记 7.1.2.1 安全标记应满足以下要求能够对主/客体的安全标记统一管理,主体标记范围包括用户、代理进程、终端等,客体标记范 a 围包括设备等; 安全标记应具备唯一性,能够准确反映主/客体在定级系统中的安全属性,并且具有防止篡改 b 和删除的能力; 标记属性应包括安全级别、安全范围等信息,安全级别应可排序进行高低判断,安全范围应可进行是否包含判断; 能够实现对不同安全级别的系统中安全标记与安全属性的单一映射关系 7.1.2.2授权管理授权管理应满足以下要求实现对每一个标记所能访问范围的统一管理; a b 实现主体对客体访问权限的统一管理,包括主机访问权限管理、网络访问权限管理,应用访问权限管理实现根据主体标记和客体标记安全级别的不同,制定访问控制策略,控制主体对客体的访问 7.1.2.3设备策略管理 7.1.2.3.1安全配置策略设备管理应实现对主机操作系统、数据库系统、网络设备、安全设备的安全配置策略的统一查询 7.1.2.3.2入侵防御入侵防御应满足以下要求提供统一接口,实现对网络入侵防御和主机入侵防御的事件采集、接收和指令下发; a 1
GB/T36958一2018 b 提供安全域内统一的操作系统、服务组件补丁更新服务 c 在云计算平台,云计算安全管理应具有对攻击行为回溯分析以及对网络安全事件进行预测和预警的能力;应具有对网络安全态势进行感知、预测和预判的能力 7.1.2.3.3恶意代码防范恶意代码防范应满足以下要求: a 对恶意代码防范产品统一升级进行监控和管理; b 对恶意代码防范情况的数据采集与上报 7.1.2.4密码保障密码保障应为被管理对象的密码技术、产品、服务的正确性,合规性,有效性提供保障在物联网系统平台,应通过安全管理员对系统中所使用的密钥进行统一管理,包括密钥的生成、分发、更新存储、备份、销毁等 7.1.3审计管理要求 7.1.3.1审计策略集中管理审计策略集中管理应能够查看主机操作系统、数据库系统、网络设备、安全设备的审计策略配置情况包括策略是否开启、参数设施是否符合安全策略等 7.1.3.2审计数据集中管理 7.1.3.2.1审计数据采集审计数据采集应满足以下要求能够实现审计数据的归一化处理,内容应涵盖日期,时间、主体标识,客体标识类型,结果、,IP a 地址、端口等信息; 支持设定查询条件进行审计数据查询 b 严格限制审计数据的访问控制权限,限制管理用户对审计数据的访问,实现管理用户和审计用 c 户的权限分离,避免非授权的删除、修改或覆盖; 支持对各种审计数据按规则进行过滤处理; d 支持对数据采集信息按照特定规则进行合并 e 7.1.3.2.2审计数据采集对象审计数据采集对象应满足以下要求支持对网络设备(如交换机、路由器,流量管理、负载均衡等网络基础设备)的审计数据采集; a 支持对主机设备如服务器操作系统等应用支撑平台和桌面电脑、笔记本电脑、手持终端等终 b 端用户访问信息系统所使用的设备)的审计数据采集支持对数据库的审计数据采集; d 支持对安全设备(如防火墙,人侵监测系统、抗拒绝服务攻击设备、防病毒系统、应用安全审计系统、访问控制系统等与信息系统安全防护相关的各种系统和设备)的审计数据采集支持对各类中间件的审计数据采集; f 支持对机房环境控制系统(如空调、温度、湿度控制、消防设备、门禁系统等)的审计数据采集支持对其他应用系统或相关平台的审计数据采集; 8 h)在云计算平台中,应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审 12
GB/36958一2018 计,应通过运维审计系统对管理员的运维行为进行安全审计;应通过租户隔离机制,确保审计数据隔离的有效性; 在工业控制系统中,应对工业控制现场控制设备、网络安全设备、网络设备,服务器、操作站等设备的网络安全监控和报警网络安全日志信息进行集中管理 7.1.3.2.3审计数据采集方式审计数据采集方式应满足以下要求: 支持通过如Syslog,SNMP等协议采集各种系统或设备上的审计数据 a b)通过统一接口,接收被管理对象的安全审计数据 7.1.3.2.4审计数据关联分析审计数据关联分析应支持将来自不同采集对象的审计数据在一个分析规则中进行分析 7.2接口要求第三方插件/代理接口协议要求 7.2.1 接口协议要求应满足以下要求: 安全管理中心应实现对IPv4及IPv6双协议环境的支持包括IPv4环境、IPv6环境及IPv4/ a IPv6混合环境); 安全管理中心应支持sNMPTrap.Syslog、,webServiee等常规接口和自定义接口以及第三方 b 的插件或者代理的接口实现各组件之间、与第三方平台之间的数据交换 7.2.2接口安全要求接口安全要求应满足以下要求采用安全的接口协议,保证接口之间交互数据的完整性， aa b) 采用加密技术实现接口之间交互数据的保密性 7.3自身安全要求 7.3.1身份鉴别安全管理中心控制台的管理员身份鉴别应满足以下要求提供专用的登录控制模块对管理员进行身份标识和鉴别,对同一管理员用户采用两种或两种 a 以上组合的鉴别技术实现用户身份鉴别; 提供管理员用户身份标识唯一和鉴别信息复杂度检查功能保证不存在重复用户身份标识,身 b 份鉴别信息不易被冒用; 提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 7.3.2访问控制安全管理中心控制台的访问控制应满足以下要求提供自主访问控制功能,依据安全策略控制管理员对各功能的访问 aa b 自主访问控制的覆盖范围应包括所有管理员、,功能及它们之间的操作; 由授权管理员配置访问控制策略,并禁止默认账户的访问 c d 实现特权用户的权限分离,应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系 13
GB/T36958一2018 7.3.3安全审计安全管理中心控制台的安全审计应满足以下要求提供覆盖到每个管理员的安全审计功能,记录所有管理员对重要操作和安全事件进行审计 a b 保证无法单独中断审计进程,无法删除、修改或覆盖审计记录; 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型,描述和结果等; c d 提供对审计记录数据进行统计、查询、分析及生成审计报表的功能; 根据统一安全策略,提供集中审计接口 7.3.4剩余信息保护安全管理中心控制台的剩余信息保护应保证管理员的鉴别信息所在的存储空间被释放或再分配给其他管理员用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中 7.3.5软件容错安全管理中心控制台的软件容错应满足以下要求提供数据有效性检验功能,保证通过人机接口输人或通过接口输人的数据格式或长度符合系 a 统设定要求; 提供自动恢复功能,当故障发生时能够恢复工作状态 b 7.3.6资源控制安全管理中心控制台的资源控制应满足以下要求对管理员登录地址范围进行限制 a 当管理员在一段时间内未作任何动作,应能够自动结束会话 b 能够对最大并发会话连接数进行限制 c 能够对单个管理员账户的多重并发会话进行限制; d 提供对自身运行状态的监测,应能够对服务水平降低到预先规定的最小值进行检测和报警 e 7.3.7入侵防范安全管理中心控制台的人侵防范应满足以下要求能够检测到对各服务器、网络设备和安全设备进行人侵的行为,并在发生严重入侵事件时提供 a 报警能够通过设定终端接人方式或网络地址范围对通过网络进行管理的管理终端进行限制 b 服务器操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务 c 器等方式保持各组件的补丁及时得到更新小应关闭不需要的各组件系统服务和高危端口 7.3.8数据安全安全管理中心控制台的数据安全应满足以下要求 a 能够检测到管理数据和鉴别信息在传输和存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施 b 采用密码技术或其他保护措施实现管理数据和鉴别信息的数据传输和存储保密性 14
GB/36958一2018 第四级安全管理中心技术要求 8.1功能要求 8.1.1系统管理要求 8.1.1.1 用户身份管理用户身份管理应满足以下要求: 能够对被管理对象环境中的主体进行标识 a b)能够采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,并且身份鉴别信息至少有一种是不可伪造的并采用密码技术来实现能够对被管理对象的系统管理员进行身份鉴别,并对身份标识及鉴别信息进行复杂度检查 c d 在物联网系统中,应通过被管理对象的系统管理员对感知设备、感知层网关等进行统一身份标识管理 8.1.1.2数据保护 8.1.1.2.1数据保密性数据保密性应满足以下要求在安全管理中心与被管理对象之间建立连接之前,应利用密码技术进行会话初始化验证 a b 使用密码技术对安全管理中心与被管理对象之间通信过程中的整个报文或会话过程进行机密性保护; 采用加密或其他保护措施实现被管理对象的鉴别信息、配置管理数据的存储保密性 d 应使用经国家密码管理主管部门批准的硬件密码设备进行密码运算和密钥管理对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用协议的攻击破坏数据保密性 8.1.1.2.2数据完整性数据完整性应满足以下要求能够检测到被管理对象的鉴别信息、配置管理数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; 能够检测到被管理对象的鉴别信息、配置管理数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; 对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用通信协议的攻击破坏数据完整性 8.1.1.2.3数据备份与恢复数据备份与恢复应满足以下要求 a 提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放 b 备份数据应至少包含安全管理中心采集的原始数据、主/客身份标识数据、主/客体安全标记数据、主/客体配置管理数据、安全管理中心自身审计数据等; 提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心 d 在云计算平台中,应提供查询云服务客户数据及备份存储位置的方式,云计算平台的运维应在 15
GB/T36958一2018 境内,禁止从境外对境内云计算平台的运维 8.1.1.2.4可信路径可信路径应满足以下要求 a 在对主体进行身份鉴别时,应能够建立一条安全的信息传输路径 D)在主体对客体进行访问时,应保证在被访问的客体与主体之间应能够建立一条安全的信息传输路径 8.1.1.2.5剩余信息保护剩余信息保护应保证主体和客体的鉴别信息所在的存储空间被释放或再分配给其他主体前得到完全清除,无论这些信息是存放在硬盘上还是在内存中， 8.1.1.3安全事件管理 8.1.1.3.1安全事件采集安全事件采集应满足以下要求 a 支持安全事件监测采集功能,及时发现和采集发生的安全事件; b 能够提供与第三方系统的数据采集接口,发送或接收安全事件" 能够对安全事件进行归一化处理,将不同来源、不同格式.不同内容组成的原始事件转换成标准的事件格式; 安全事件的内容应包括日期,时间、主体标识,客体标识,类型、结果,IP地址、端口等信息; d 安全事件采集的范围应涵盖主机设备、网络设备、数据库、安全设备、各类中间件、机房环境控制系统等; 能够对采集的安全事件原始数据的集中存储 f) 注;安全事件的属性可参考附录 c 8.1.1.3.2安全事件告警安全事件告警应满足以下要求具备告警功能,在发现异常时可根据预先设定的阂值产生告警; a b 在产生告警时,应能够触发预先设定的事件分析规则,执行预定义的告警响应动作,如;控制台对话框告警、控制台告警音、电子邮件告警、手机短信告警创建工单、通过Syslog或SNMP Trp向第三方系统转发告警事件等; 具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力 8.1.1.3.3安全事件响应安全事件响应应满足以下要求能够提供工单管理的功能,支持基于告警响应动作创建工单的流转流程; a 能够提供安全通告功能,可以创建或导人安全风险通告,通告中应包括通告内容、描述信息、 b CVE编号、影响的操作系统等; 能够根据通告提示的安全风险影响的操作系统,提供受影响的被保护资产列表; c 支持向第三方系统发送和接收工单信息、安全告警、安全预警、综合风险、资产信息、安全通告 d 等数据 16
GB/36958一2018 8.1.1.3.4事件关联分析事件关联分析应满足以下要求支持将来自不同事件源的事件在一个分析规则中进行分析,从而能从海量事件中过滤出有逻 a 辑关系的事件序列,据此给出相应的告警; b 针对常见的攻击行为和违规访问提供相应的关联分析规则,如针对主机扫描、端口扫描、DDos 攻击、蠕虫、口令猜测,跳板攻击等的关联分析规则提供多事件源事件关联时序关联、统计关联以及针对长时间窗口的关联分析功能,并能够提供告警; d 提供自定义关联规则编辑功能 8.1.1.3.5统计分析报表统计分析报表应满足以下要求: 能够按照时间、事件类型等条件对安全事件进行查询 a 能够提供统计分析和报表生成功能 b 8.1.1.4风险管理 8.1.1.4.1资产管理资产管理应满足以下要求实现对被管理对象资产的管理,以安全域等方式组织资产,提供资产的添加、修改、删除、查询 a 与统计功能; 资产管理信息应包含资产名称、资产P地址、资产类型、资产责任人、资产业务价值以及资产 b 的机密性、完整性、可用性赋值等资产属性; 支持资产属性的自定义; c d)支持手工录人资产记录或基于指定模板的批量资产导人支持对资产的自动发现,并能够将其自动添加到资产库中 e 8.1.1.4.2资产业务价值评估资产业务价值评估应支持自定义资产业务价值评估模型,能够依据资产类型、资产重要性、损坏后造成的影响、涉及的范围等参数形成资产业务价值等级 8.1.1.4.3威胁管理威胁管理应满足以下要求具备预定义的安全威胁分类; aa 5 支持自定义安全威胁分类,如将已发生的安全事件对应的威胁设置为资产面临的威胁 8.1.1.4.4脆弱性管理脆弱性管理应满足以下要求: 允许创建并维护资产脆弱性列表,支持脆弱性列表的合并及更新; a b 支持导入特定代理程序或扫描器获取的相关设备或系统的脆弱性信息能够根据脆弱性信息,自动生成所涉及的信息资产清单 17
GB/T36958一2018 8.1.1.4.5风险分析风险分析应满足以下要求能够根据资产的业务价值、资产当前的脆弱性及资产面临的安全威胁,计算目标资产的安全风 a 险和资产所在整个安全域的安全风险; b)安全风险的计算周期和计算公式能够根据部署环境的实际需要通过修改配置的方式进行相应调整; 安全管理系统能够以图形化的方式展现当前资产和安全域的风险级别、当前风险的排名统计等 8.1.1.5资源监控 8.1.1.5.1可用性监测可用性监测应满足以下要求支持通过监测网络设备、安全设备、主机操作系统、数据库、中间件、应用系统等重要性能指标， a 实时了解其可用性状态 b 支持对关键指标(如.CPU使用率内存使用率,磁盘使用率、进程占用资源、交换分区、网络流量等方面)设置阔值,触发阔值时产生告警,执行预定义的响应动作在物联网系统平台,应通过系统管理员对感知设备状态(电力供应情况.是青在线.,也置等)进行统一监测和处理; 在工业控制系统中,应能够对工业控制系统设备的可用性和安全性进行实时监控,可以对监控 d 指标设置告警闵值,触发告警并记录 8.1.1.5.2网络拓扑监测网络拓扑监测应满足以下要求支持对网络拓扑图进行在线编辑,允许手工添加或删除监测节点或链路; a b) 能够展现当前网络环境中关键设备(包括网络设备、安全设备、服务器主机等)和链路的运行状态,如网络流量、网络协议统计分析等指标; 在网络运行出现异常时,能够展现在当前网络拓扑图中并产生告警; c d 能够发现并阻断非授权设备的外联及接人支持在指定网络范围内进行拓扑发现并自动生成网络拓扑图 e 8.1.2安全管理要求 8.1.2.1安全标记安全标记应满足以下要求能够对主/客体的安全标记统一管理,主体标记范围包括用户,代理进程、终端等,客体标记范 a 围包括设备等安全标记应具备唯一性,能够准确反映主/客体在定级系统中的安全属性,并且具有防止篡改 b 和删除的能力; 标记属性应包括安全级别、安全范围等信息,安全级别应可排序进行高低判断,安全范围应可进行是否包含判断; d 能够实现对不同安全级别的系统中安全标记与安全属性的单一映射关系; 能够实现安全标记的自定义 e 18
GB/36958一2018 8.1.2.2授权管理授权管理应满足以下要求实现对每一个标记所能访问范围的统一管理; a b 实现主体对客体访问权限的统一管理,包括主机访问权限管理、网络访问权限管理、应用访问权限管理; 实现根据主体标记和客体标记安全级别的不同,制定访问控制策略,控制主体对客体的访问针对不同安全层次、不同标记的主/客体间的访问策略进行统一管理; 在进行物联网系统平台,应通过系统管理员对下载到感知设备上的应用软件进行授权 8.1.2.3设备策略管理 8.1.2.3.1安全配置策略设备管理应满足以下要求: 实现对主机操作系统、数据库系统、网络设备、安全设备的安全配置策略的统一查询; a b)实现对主机操作系统、数据库系统、网络设备、安全设备等安全配置策略的统一制定和下发 8.1.2.3.2入侵防御人侵防御应满足以下要求提供统一接口,实现对网络人侵防御和主机人侵防御的事件采集、接收和指令下发， a b) 提供安全域内统一的操作系统,服务组件补丁更新服务; 实现对主机操作系统、数据库、网络设备、安全设备入侵防御措施的联动和管理; c d)在云计算平台,云计算安全管理应具有对攻击行为回溯分析以及对网络安全事件进行预测和预警的能力;应具有对网络安全态势进行感知,预测和预判的能力在工业控制系统中,安全管理员能够结合工业控制系统设备的资产信息、威胁信息、脆弱性信息分析工业控制设备以及工业控制系统面临的安全风险和安全态势 8.1.2.3.3恶意代码防范恶意代码防范应满足以下要求对恶意代码防范产品统一升级进行监控和管理 a b)对恶意代码防范情况的数据采集与上报 8.1.2.4密码保障密码保障应为被管理对象的密码技术、产品、服务的正确性、合规性,有效性提供保障在物联网系统平台,应通过安全管理员对系统中所使用的密钥进行统一管理,包括密钥的生成,分发,更新、存储、备份、销毁等,并采取必要措施保证密钥安全 8.1.3审计管理要求 8.1.3.1审计策略集中管理审计策略集中管理应满足以下要求能够查看主机操作系统、数据库系统、网络设备、安全设备的审计策略配置情况,包括策略是否 a 开启、参数设施是否符合安全策略等; b 能够实现对主机操作系统、数据库系统、网络设备、安全设备的审计策略的统一配置管理 19
GB/T36958一2018 8.1.3.2审计数据集中管理 8.1.3.2.1 审计数据采集审计数据采集应满足以下要求: 能够实现审计数据的归一化处理,内容应涵盖日期、时间、主体标识、客体标识,类型、结果、IP a 地址,端口等信息; 支持设定查询条件进行审计数据查询 b 严格限制审计数据的访问控制权限,限制管理用户对审计数据的访问,实现管理用户和审计用户的权限分离,避免非授权的删除、修改或覆盖; 支持对各种审计数据按规则进行过滤处理; d 支持对数据采集信息按照特定规则进行合并; e 能够并根据设定的报表模版生成相应的审计报告 f) 8.1.3.2.2审计数据采集对象审计数据采集对象应满足以下要求支持对网络设备(如交换机.路由器、流量管理、负载均衡等网络基础设备)的审计数据采集; a) 支持对主机设备(如服务器操作系统等应用支撑平台和桌面电脑,笔记本电脑、手持终端等终 b 端用户访问信息系统所使用的设备)的审计数据采集; 支持对数据库的审计数据采集; d 支持对安全设备(如防火墙、人侵监测系统、抗拒绝服务攻击设备、防病毒系统、应用安全审计系统、访问控制系统等与信息系统安全防护相关的各种系统和设备)的审计数据采集支持对各类中间件的审计数据采集 D 支持对机房环境控制系统(如空调、温度,湿度控制、消防设备、门禁系统等)的审计数据采集支持对其他应用系统或相关平台的审计数据采集 8 h 在云计算平台中,应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审计,应通过运维审计系统对管理员的运维行为进行安全审计;应通过租户隔离机制,确保审计数据隔离的有效性在工业控制系统中,应对工业控制现场控制设备、网络安全设备、网络设备、服务器、操作站等设备的网络安全监控和报警、网络安全日志信息进行集中管理 8.1.3.2.3审计数据采集方式审计数据采集方式应满足以下要求支持通过如syslog.SNMP等协议采集各种系统或设备上的审计数据 a b) 通过统一接口,接收被管理对象的安全审计数据; c 支持通过部署软件代理的方式采集特定系统的审计数据 8.1.3.2.4数据采集组件要求数据采集组件应支持本地缓存和断点续传,在网络通信发生故障时,能够在数据采集组件对数据进行本地缓存,当网络连通恢复以后,信息采集组件重新恢复向安全管理中心上报断网期间采集的数据 8.1.3.2.5审计数据关联分析审计数据关联分析应满足以下要求: 20
GB/36958一2018 应支持将来自不同采集对象的审计数据在一个分析规则中进行分析; a b 应提供审计关联规则自定义功能在工业控制系统中,系统通过各设备安全日志信息的关联分析提取出少量的、或者是概括性的 c 重要安全事件或发掘隐藏的攻击规律,进行重点报警和分析,并对全局存在类似风险的系统进行安全预警 8.2接口要求 8.2.1第三方插件/代理接口协议要求接口协议要求应满足以下要求安全管理中心应实现对IPv4及IPv6双协议环境的支持包括IPv4环境、IPv6环境及IPv4 a Pv6混合环境); b 安全管理中心应支持SNMPTrap,Syslog、WebService等常规接口和自定义接口以及第三方的插件或者代理的接口实现各组件之间、与第三方平台之间的数据交换提供外部接口实现不同厂商平台之间的同步或异步的数据交互 d 支持通过编写并加载配置文件的方式.实现对第三方设备的接入管理 8.2.2接口安全要求接口安全要求应满足以下要求: 采用安全的接口协议,保证接口之间交互数据的完整性， a 采用加密技术实现接口之间交互数据的保密性， b 各接口之间进行通信时,应通过身份验证机制相互验证对方的可信性,确保可信连接 ce 8.3自身安全要求 8.3.1身份鉴别安全管理中心控制台的管理员身份鉴别应满足以下要求提供专用的登录控制模块对管理员进行身份标识和鉴别,对同一管理员用户采用两种或两种 a 以上组合的鉴别技术实现用户身份鉴别其中至少有一种是不可伪造的并采用密码技术来实现; 提供管理员用户身份标识唯一和鉴别信息复杂度检查功能,保证不存在重复用户身份标识,身 b 份鉴别信息不易被冒用; 提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 8.3.2访问控制安全管理中心控制台的访问控制应满足以下要求提供自主访问控制功能,依据安全策略控制管理员对各功能的访问 aa b 自主访问控制的覆盖范围应包括所有管理员、功能及它们之间的操作; 由授权管理员配置访问控制策略,并禁止默认账户的访问 c d 实现特权用户的权限分离,应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系 8.3.3可信路径安全管理中心控制台的可信路径应满足以下要求 21
GB/T36958一2018 在安全管理中心控制台对管理员进行身份鉴别时,应能够建立一条安全的信息传输路径; a b)在管理员通过安全管理中心控制台对资源进行访问时,安全管理中心控制台应保证在被访问的资源与管理员之间能够建立一条安全的信息传输路径 8.3.4安全审计安全管理中心控制台的安全审计应满足以下要求提供覆盖到每个管理员的安全审计功能,记录所有管理员对重要操作和安全事件进行审计; a b 保证无法单独中断审计进程,无法删除、修改或覆盖审计记录 c 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等 d 提供对审计记录数据进行统计、查询,分析及生成审计报表的功能根据统一安全策略,提供集中审计接口 e 8.3.5剩余信息保护安全管理中心控制台的剩余信息保护应保证管理员的鉴别信息所在的存储空间被释放或再分配给其他管理员用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中 8.3.6软件容错安全管理中心控制台的软件容错应满足以下要求提供数据有效性检验功能,保证通过人机接口输人或通过接口输人的数据格式或长度符合系 a) 统设定要求; 提供自动保护功能,当故障发生时自动保护当前所有状态 b 提供自动恢复功能,当故障发生时能够恢复工作状态 c 8.3.7资源控制安全管理中心控制台的资源控制应满足以下要求对管理员登录地址范围进行限制 a b) 当管理员在一段时间内未作任何动作,应能够自动结束会话能够对最大并发会话连接数进行限制 c 能够对单个管理员账户的多重并发会话进行限制 d 提供对自身运行状态的监测,应能够对服务水平降低到预先规定的最小值进行检测和报警 e 8.3.8入侵防范安全管理中心控制台的人侵防范应满足以下要求能够检测到对各服务器、,网络设备和安全设备进行人侵的行为,并在发生严重人侵事件时提供 a 报警; 能够通过设定终端接人方式或网络地址范围对通过网络进行管理的管理终端进行限制 b 服务器操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持各组件的补丁及时得到更新; d 应关闭不需要的各组件系统服务和高危端口 8.3.9数据安全安全管理中心控制台的数据安全应满足以下要求能够检测到管理数据和鉴别信息在传输和存储过程中完整性受到破坏,并在检测到完整性错 a 22
GB/36958一2018 误时采取必要的恢复措施; b 采用密码技术或其他保护措施实现管理数据和鉴别信息的数据传输和存储保密性; 对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用通信协议的攻击破坏数据完整性和保密性 d 应使用经国家密码管理主管部门批准的硬件密码设备进行密码运算和密钥管理第五级安全管理中心技术要求第五级安全管理中心技术要求另行制定 1C 跨定级系统安全管理中心技术要求跨定级系统安全管理中心应满足以下要求能够实施统一的安全互联策略,通过与各定级系统安全管理中心相连保证跨定级系统中用户身份、主/客体标记,访问控制策略等安全要素的- 一致性; b 能够对跨定级系统之间的数据传输交换进行保密性与完整性保护; 能够通过安全互联部件,对各定级系统中与安全互联相关的系统资源和运行进行配置和管理 c 能够通过安全互联部件,对各定级系统中与安全互联相关的主/客体进行标记管理,使其标记 d 能准确反映主/客体在定级系统中的安全属性;对主体进行授权,配置统一的安全策略能够通过安全互联部件,对各定级系统中与安全互联相关的安全审计机制各定级系统的安全审计机制以及与跨定级系统互联有关的安全审计机制进行集中管理包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储管理和查询等 23
GB/T36958一2018 附录 A 规范性附录) 安全管理中心与网络安全等级保护对象等级对应关系安全管理中心与网络安全等级保护对象等级对应关系见表A.1 表A.1安全管理中心与网络安全等级保护对象等级对应表安全管理中心级别网络安全等级保护对象等级第二级第二级第三级第三级第四级第四级第五级第五级 24
GB/36958一2018 附录 B 规范性附录安全管理中心技术要求分级表安全管理中心技术要求分级表见表B.1 表B.1安全管理中心技术要求分级表技术要求第二级第三级第四级用户身份管理 6.1.1.l 7.l.1.l十 8.l.1.1十 77 8.1.1.2.1十数据保密性 6.11.2.1 1.1.2.1十 6.1.1.2.2 7.1.1.2.2十 8.1.1.2.2十数据完整性数据保护数据备份与恢复 6,1.1.2.3 7.1.1.2.3十 8,1.1.2,3十可信路径 8.1.1.2.4 剩余信息保护 7.1.1.2.4 8.1.1.2.5 安全事件采集 6.1.l.3.1 7.1.1.3.l 8.1.l.3.1+ 安全事件告警 6.l.l.3.2 7.1.l.3,2十 8.1.l.3.,2十 7.1.1.3.3 系统管理安全事件管理安全事件响应 6.l.1.3.3 8.l.l.3.3十 7.1.1.3. 8.1.l.3.4十要求事件关联分析统计分析报表 6.1.1.3.4 7.1.1.3.5 8.1.1.3.5 资产管理 6.1.1.4.1 7.1.1.4.1 8.1.1.4.1十资产业务价值评估 7.1.1.4.2 8.1.1.4.2 风险管理威胁管理 6,1.1.4.2 7.1.l,4.3 8.1.1.4.3 功能脆羁性管理 6.l.l.4.3 7.1.l.4.4 8.,1.l,4.4十要求风险分析 7.1.l. 8.l.l.4.5十 .4.5 6.l.l.4.4 6.1.1.5.1 7.1.l.5.1 8.1.l.5.,1十可用性监测资源监控网络拓扑监测 6.1.1.5.2 7.1.1.5.2+ 8.1.l.5.2十安全标记 7.1.2.1 8.1.2.1十授权管理 7.1.2.2 8.1.2.2+ 7.1.2.3.1 8.1.2.3.1+ 安全配置策略安全管理要求设备策略管理人侵防御 7.1.2.3.2 8.1.2.3.2十 7.1.2.3.3 恶意代码防范 8.1.2.3.3 7.1.2.4 8.1.2.4 密码保障审计策略集中管理 6.1.2.1 8.1.3.1-" 7.1.3,1 审计数据采集 6.1.2.2.1 7.1.3.2.1+ 8.1.3.2.1十 6.1.2.2.2 7.1.3.2.2十 8.1.3.2.2 审计数据采集对象审计管理要求审计数据集中管理审计数据采集方式 6.1.2.2.3 7.1.3.2.3 8.1.3.2.3+ 数据采集组件要求 8.l.3.2.4 审计数据关联分析 7.1.3.2.4 8.1.3.2.5+ 25
GB/T36958一2018 表B.1续技术要求第二级第三级第四级第三方插件/代理接口协议要求 6.2.l 7,2.1十 8.2.1+ 接要求 7.2.2 接口安全要求 6.2.2 8.2.2十 6.3.1l 7.3.1+ 8.3.1+ 身份鉴别访问控制 6.3.2 7.3.2十 8.3.2 可信路径 8.3.3 安全审计 6.3.3 7.3.3十 8.3.4 自身剩余信息保护安全 7.3,4 8.3,5 要求软件容错 6.3.4 7.3.5十 8.3,6十 6.3.5 7.3.6十 8.3.7 资源控制 6.3.6 7.3,7十 8.3.8 人侵防范数据安全 6.3.7 7.3.8十 8.3.9+ 注 ”表示不具有该项要求,“”表示具有更高的要求 26
GB/36958一2018 附录 C 资料性附录归一化安全事件属性归一化安全事件属性见表C.1 表c.1归一化安全事件属性序号属性描述采集器IP 事件的采集器地址采集器名称事件的采集器名称设备IP 产生该事件的设备地址设备类型该设备的设备类型设备名称设备名称接收事件时间事件采集时间归并数量归并事件的次数事件发生时间事件在安全设备的发生时间事件类别事件类型事件名称事件名 10 事件内容事件原始信息 12 应用协议事件相关的协议名 13 严重级别事件的严重级别 14 目的IP 事件的目的地址 15 目的端口事件的目的端口 16 目的主机名事件目的主机名称 17 源IP 事件的源地址源端口事件的源端口 19 源主机名事件源主机名称 20 自定义属性用户根据需要自已定义的属性

信息安全技术网络安全等级保护安全管理中心技术要求GB/T36958-2018

随着信息技术的不断发展和应用，信息安全已经成为了一个越来越重要的话题。为了规范信息安全技术网络安全等级保护安全管理中心的建设和运营，国家发布了一系列标准，其中最重要的是GB/T36958-2018《信息安全技术网络安全等级保护安全管理中心技术要求》。该标准旨在为组织提供开展信息安全技术网络安全等级保护安全管理中心建设和运营活动的基本规范。

GB/T36958-2018标准要求

GB/T36958-2018标准明确了信息安全技术网络安全等级保护安全管理中心的相关要求，具体包括以下几个方面：

安全管理中心建设的要求：明确网络安全等级保护安全管理中心建设的目标、范围和任务等方面的要求。
安全管理中心组织架构和职责：明确网络安全等级保护安全管理中心的组织架构、职责和权限等方面的要求。
安全管理中心技术要求：明确网络安全等级保护安全管理中心所需的技术要求，包括软件、硬件、网络和数据等方面的要求。
安全管理中心运营管理要求：明确网络安全等级保护安全管理中心运营管理的要求，包括运营维护、安全保障和应急响应等方面的要求。
安全管理中心评估要求：明确网络安全等级保护安全管理中心评估的要求，包括内部评估、第三方评估和监督检查等方面的要求。

安全管理中心的作用和意义

网络安全等级保护是一种常用的信息安全保护措施，而安全管理中心则是网络安全等级保护的核心。安全管理中心有助于组织实现对信息系统和网络的统一监管与控制，提高信息安全威胁应对能力和处置能力。

同时，符合GB/T36958-2018标准的安全管理中心还可以有效降低组织在信息安全方面所面临的风险，在增强信息安全能力、提升竞争力方面具有重要意义。

结论

随着信息技术的快速发展，保障信息安全已经成为组织的一个重要任务。而建设符合GB/T36958-2018标准的网络安全等级保护安全管理中心，则是实现信息安全保障的关键之一。因为，本标准规范了安全管理中心的建设和运营，明确了其组织架构、职责、技术要求、运营管理要求及评估要求等方面的要求，有助于组织提高信息安全能力，降低信息安全风险。

因此，我们强烈建议组织在实施信息安全保障措施时，应当优先考虑建设符合GB/T36958-2018标准的网络安全等级保护安全管理中心。这不仅可以有效保障组织的信息安全，还可以提升组织的竞争力和社会地位。