“安全管理中心”是等级保护2.0标准新增的层面,其要求侧重在对设备运行状况、审计数据、安全策略、恶意代码、补丁升级、安全事件等集中式的分析与管控。
《网络安全法》第二十一条明确规定:网络运营者应当按照网络安全等级保护制度的要求,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。依据《网络安全法》有关规定,《高风险判定指引》把运行监控措施缺失、日志存储时间不满足要求、安全事件发现处置措施缺失等情况列为高风险。
《网络安全等级保护测评高风险判定指引》——安全管理中心篇
安全管理中心
1.1 运行监控措施缺失
对应要求:应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。
判例内容:对可用性要求较高的系统,若没有任何监测措施,发生故障时难以及时对故障进行定位和处理,可判定为高风险。
适用范围:可用性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、对可用性要求较高的系统;
3、无任何监控措施,发生故障也无法及时对故障进行定位和处理。
补偿措施:无。
整改建议:建议对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。
1.2 日志存储不满足要求
对应要求:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
判例内容:《网络安全法》要求“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”;因此,如相关设备日志留存不满足法律法规相关要求,可判定为高风险。
适用范围:3级及以上系统。
满足条件(任意条件):
1、3级及以上系统;
2、对网络运行状态、网络安全事件等日志的留存不满足法律法规规定的相关要求(不少于六个月)。
补偿措施:对于一些特殊行业或日志时效性短于6个月的,可根据实际情况,可酌情降低风险等级。
整改建议:建议部署日志服务器,统一收集各设备的审计数据,进行集中分析,并根据法律法规的要求留存日志。
1.3 安全事件发现处置措施缺失
对应要求:应能对网络中发生的各类安全事件进行识别、报警和分析。
判例内容:未部署相关安全设备,识别网络中发生的安全事件,并对重要安全事件进行报警的,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、无法对网络中发生的安全事件(包括但不限于网络攻击事件、恶意代码传播事件等)进行识别、告警和分析。
补偿措施:无。
整改建议:建议部署相关专业防护设备,对网络中发生的各类安全事件进行识别、报警和分析,确保相关安全事件得到及时发现,及时处置。
附表:
注①《网络安全等级保护测评高风险判定指引》由中关村信息安全测评联盟组织,上海市信息安全测评认证中心主笔,杭州安信检测技术有限公司、江苏金盾检测技术有限公司、深圳市网安计算机安全检测技术有限公司、合肥天帷信息安全技术有限公司、山东新潮信息技术有限公司、成都安美勤信息技术股份有限公司、甘肃安信信息安全技术有限公司、江苏骏安信息测评认证有限公司、安徽祥盾信息科技有限公司等机构共同参与。
注②适用范围:本指引适用于网络安全等级保护测评活动、安全检查等工作。信息系统建设单位亦可参考本指引描述的案例编制系统安全需求。
注③在判定过程中,使用者应知晓《高风险判定指引》是基于“一般场景”假设的编制思路。在具体风险判定中,应根据被测对象的实际情况来综合确定该风险严重程度是否为“高”。如初步符合“适用范围”、“需满足的条件”后,还需根据“补偿措施”所引申的方向思考是否可降低风险严重程度;鼓励根据实际情况对于补偿措施中未涉及但确实能起到降低风险等级的安全措施进行深入分析。