解析智和网管平台等保2.0支撑控制点
智和信通结合《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等国家标准文件以及用户提出的网络安全管理需求进行产品设计,推出“监控+展示+安管+开发”创新四合一模式的智和网管平台SugarNMS,实现本地及异地数据中心的网络设备、服务器、虚拟机、中间件、数据库、软件和应用服务等状态的AI智能化管控。该平台充分发挥网络基础设施安全保护能力,助力用户等保2.0安全区域边界、安全计算环境、安管管理中心及管理部分要求建设。
网络安全等级保护工作中的对象主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。等级保护范围内重要信息系列所涵盖的行业涉及能源、金融、交通、水利、医疗卫生、环境保护、工业制造、市政、电信与互联网、广播电视及政府部门。等保2.0提出五个等级安全要求,通过级别差异性增强关键设施的网络安全防护水平。此处编者按等保2.0安全通用要求为例,介绍智和网管平台SugarNMS支撑分类及控制点的内容:
一、安全区域边界
1、边界防护要求
a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
b)应能够对非授权设备私自联到内部网络的行为进行检查或限制;
c)应能够对内部用户非授权联到外部网络的行为进行检查或限制;
d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络等。
智和网管平台SugarNMS支撑策略:终端接入控制+MAC-IP管理、黑白名单
平台通过端口绑定MAC和IP,控制端口准入的终端设备,通过控制开启和关闭Dot1X认证功能,实现终端接入的认证管理,通过控制网络设备的端口打开、关闭和VLan控制,实现对终端接入设备的通断控制。定时获取全网的MAC-IP信息,并自动保存。支持根据MAC或IP对在线设备进行查询。通过黑白名单功能从而检测用户所关心的设备(通过IP或MAC来识别)是否在网络中出现及出现时间,提醒用户是否进行下一步操作。
2、访问控制要求
a) 应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
D)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。
智和网管平台SugarNMS支撑策略:万能命令模板+ACL访问控制+QOS策略配置
万能命令模板通过图形化的界面,为设备配置各种控制命令,用户可以通过下发配置命令的形式,实现关机、资源获取、连通性检测等控制。平台支持ACL策略、源和目的IP、协议、端口、访问动作等细粒度的控制,用户可自定义ACL模板,方便统一策略实施。平台支持端口级QOS策略,支持QOS、流行为、包过滤、类、流量监管优先级等流量策略,用户可以对QOS策略对比、核查。
二、安全计算环境
1、访问控制要求
a) 应对登录的用户分配账户和权限;
b) 修改默认账户的默认口令;
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
智和网管平台SugarNMS支撑策略:三员认证体系+设备用户管理+SNMP管理
平台符合三员认证体系,具备系统管理员、安全保密管理员和安全设计员三员管理,可赋予用户对网络管理或只读的权限,不同管理员对不同网络进行管理使网络更加安全。通过对网络设备发送添加本地用户命令,为设备添加本地用户,设置包括用户名密码、服务类型(连接协议telnet,SSH,terminal)、权限级别等内容,支持批量设备操作。提供SNMP用户管理页面,可在设备上添加SNMP用户,对SNMP协议版本、用户名、用户口令、权限级别进行设置。
2、入侵防范要求
a)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
智和网管平台SugarNMS支撑策略:终端接入控制
平台通过端口绑定MAC和IP,控制端口准入的终端设备,通过控制开启和关闭Dot1X认证功能,实现终端接入的认证管理,通过控制网络设备的端口打开、关闭和VLan控制,实现对终端接入设备的通断控制。
三、安全管理中心
1、系统管理要求
a)应对系统管理员只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户的身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的异常备份与恢复等。
2、审计管理要求
a)应对审计管理员只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b)应审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
3、安全管理要求
a)应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
上述三个控制点智和网管平台SugarNMS支撑策略:三员认证体系+日志管理+设备用户管理
平台符合三员认证体系,具备系统管理员、安全保密管理员、安全审计员三员管理。系统提供设备日志和用户日志,通过日志管理,让设备信息和用户操作记录有处可寻,责任到人。通过对网络设备发送添加本地用户命令,为设备添加本地用户,设置包括用户名密码、服务类型(连接协议telnet、SSH、terminal)、权限级别等内容,支持批量设备操作。
4、集中管控控制点要求
a)应划分出特定的管理区域,对分布在网路中的安全设备或安全组件进行管控;
b)应对网络的链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
c)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
d)应能对网路中发生的各类安全事件进行识别、报警和分析;
e)应保证系统范围内的时间由唯一确定的时钟产生,保证各项数据的管理和分析在时间上的一致性。
智和网管平台SugarNMS支撑策略:智能发现+智能识别+智能监控+智能管理+NTP时钟管理
平台可自动发现设备、资源、链路等,并智能识别类型,进行自动化性能采集,策略化故障监控,学习式事件管理;通过所见即所得的拓扑图及大数据分析,多维度洞察网络状况,并自动触发预防性警示、自动故障报警。通过NTP时钟管理,保证系统范围内的时间由唯一确定的时钟产生,保证各项数据的管理和分析在时间上的一致性,向IT运维部门提供科学合理的决策依据。
目前智和信通已形成30余项独立自主知识产权。其产品和解决方案在全国30多个省份大规模使用,覆盖军工国防、科研院所、政府、金融、交通、能源、电信、事业单位、企业、教育、医疗、设备商、开发人员等多领域。
提交
2019中国信息安全自主可控政策盘点分析