工控網(wǎng)首頁
>

應用設(shè)計

>

解析智和網(wǎng)管平臺等保2.0支撐控制點

解析智和網(wǎng)管平臺等保2.0支撐控制點

2019/11/11 17:11:56

智和信通結(jié)合《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)等國家標準文件以及用戶提出的網(wǎng)絡安全管理需求進行產(chǎn)品設(shè)計,推出“監(jiān)控+展示+安管+開發(fā)”創(chuàng)新四合一模式的智和網(wǎng)管平臺SugarNMS,實現(xiàn)本地及異地數(shù)據(jù)中心的網(wǎng)絡設(shè)備、服務器、虛擬機、中間件、數(shù)據(jù)庫、軟件和應用服務等狀態(tài)的AI智能化管控。該平臺充分發(fā)揮網(wǎng)絡基礎(chǔ)設(shè)施安全保護能力,助力用戶等保2.0安全區(qū)域邊界、安全計算環(huán)境、安管管理中心及管理部分要求建設(shè)。

網(wǎng)管平臺-總體架構(gòu).png

網(wǎng)絡安全等級保護工作中的對象主要包括基礎(chǔ)信息網(wǎng)絡、云計算平臺/系統(tǒng)、大數(shù)據(jù)應用/平臺/資源、物聯(lián)網(wǎng)(IoT)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等。等級保護范圍內(nèi)重要信息系列所涵蓋的行業(yè)涉及能源、金融、交通、水利、醫(yī)療衛(wèi)生、環(huán)境保護、工業(yè)制造、市政、電信與互聯(lián)網(wǎng)、廣播電視及政府部門。等保2.0提出五個等級安全要求,通過級別差異性增強關(guān)鍵設(shè)施的網(wǎng)絡安全防護水平。此處編者按等保2.0安全通用要求為例,介紹智和網(wǎng)管平臺SugarNMS支撐分類及控制點的內(nèi)容:

一、安全區(qū)域邊界

1、邊界防護要求

a)應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信;

b)應能夠對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查或限制;

c)應能夠對內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡的行為進行檢查或限制

d)應限制無線網(wǎng)絡的使用,保證無線網(wǎng)絡通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡等。

智和網(wǎng)管平臺SugarNMS支撐策略:終端接入控制+MAC-IP管理、黑白名單

平臺通過端口綁定MAC和IP,控制端口準入的終端設(shè)備,通過控制開啟和關(guān)閉Dot1X認證功能,實現(xiàn)終端接入的認證管理,通過控制網(wǎng)絡設(shè)備的端口打開、關(guān)閉和VLan控制,實現(xiàn)對終端接入設(shè)備的通斷控制。定時獲取全網(wǎng)的MAC-IP信息,并自動保存。支持根據(jù)MAC或IP對在線設(shè)備進行查詢。通過黑白名單功能從而檢測用戶所關(guān)心的設(shè)備(通過IP或MAC來識別)是否在網(wǎng)絡中出現(xiàn)及出現(xiàn)時間,提醒用戶是否進行下一步操作。

 

2、訪問控制要求

a) 應在網(wǎng)絡邊界根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則,默認情況下除允許通信外受控接口拒絕所有通信;

b) 應刪除多余或無效的訪問控制規(guī)則,優(yōu)化訪問控制列表,并保證訪問控制規(guī)則數(shù)量最小化;

c) 應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查,以允許/拒絕數(shù)據(jù)包進出;

D)應能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。

智和網(wǎng)管平臺SugarNMS支撐策略:萬能命令模板+ACL訪問控制+QOS策略配置

萬能命令模板通過圖形化的界面,為設(shè)備配置各種控制命令,用戶可以通過下發(fā)配置命令的形式,實現(xiàn)關(guān)機、資源獲取、連通性檢測等控制。平臺支持ACL策略、源和目的IP、協(xié)議、端口、訪問動作等細粒度的控制,用戶可自定義ACL模板,方便統(tǒng)一策略實施。平臺支持端口級QOS策略,支持QOS、流行為、包過濾、類、流量監(jiān)管優(yōu)先級等流量策略,用戶可以對QOS策略對比、核查。

 

二、安全計算環(huán)境

1、訪問控制要求

a) 應對登錄的用戶分配賬戶和權(quán)限;

b) 修改默認賬戶的默認口令;

c) 應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在;

e) 應由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則。

智和網(wǎng)管平臺SugarNMS支撐策略:三員認證體系+設(shè)備用戶管理+SNMP管理

平臺符合三員認證體系,具備系統(tǒng)管理員、安全保密管理員和安全設(shè)計員三員管理,可賦予用戶對網(wǎng)絡管理或只讀的權(quán)限,不同管理員對不同網(wǎng)絡進行管理使網(wǎng)絡更加安全。通過對網(wǎng)絡設(shè)備發(fā)送添加本地用戶命令,為設(shè)備添加本地用戶,設(shè)置包括用戶名密碼、服務類型(連接協(xié)議telnet,SSH,terminal)、權(quán)限級別等內(nèi)容,支持批量設(shè)備操作。提供SNMP用戶管理頁面,可在設(shè)備上添加SNMP用戶,對SNMP協(xié)議版本、用戶名、用戶口令、權(quán)限級別進行設(shè)置。

 

2、入侵防范要求

a)應通過設(shè)定終端接入方式或網(wǎng)絡地址范圍對通過網(wǎng)絡進行管理的管理終端進行限制

智和網(wǎng)管平臺SugarNMS支撐策略:終端接入控制

平臺通過端口綁定MAC和IP,控制端口準入的終端設(shè)備,通過控制開啟和關(guān)閉Dot1X認證功能,實現(xiàn)終端接入的認證管理,通過控制網(wǎng)絡設(shè)備的端口打開、關(guān)閉和VLan控制,實現(xiàn)對終端接入設(shè)備的通斷控制。

 

三、安全管理中心

1、系統(tǒng)管理要求

a)應對系統(tǒng)管理員只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作,并對這些操作進行審計;

b)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理,包括用戶的身份、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設(shè)備的異常備份與恢復等。

2、審計管理要求

a)應對審計管理員只允許其通過特定的命令或操作界面進行安全審計操作,并對這些操作進行審計;

b)審計管理員對審計記錄進行分析,并根據(jù)分析結(jié)果進行處理,包括根據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等。

3、安全管理要求

a)應通過安全管理員對系統(tǒng)中的安全策略進行配置,包括安全參數(shù)的設(shè)置,主體、客體進行統(tǒng)一安全標記,對主體進行授權(quán),配置可信驗證策略等。

上述三個控制點智和網(wǎng)管平臺SugarNMS支撐策略:三員認證體系+日志管理+設(shè)備用戶管理

平臺符合三員認證體系,具備系統(tǒng)管理員、安全保密管理員、安全審計員三員管理。系統(tǒng)提供設(shè)備日志和用戶日志,通過日志管理,讓設(shè)備信息和用戶操作記錄有處可尋,責任到人。通過對網(wǎng)絡設(shè)備發(fā)送添加本地用戶命令,為設(shè)備添加本地用戶,設(shè)置包括用戶名密碼、服務類型(連接協(xié)議telnet、SSH、terminal)、權(quán)限級別等內(nèi)容,支持批量設(shè)備操作。

 

4、集中管控控制點要求

a)應劃分出特定的管理區(qū)域,對分布在網(wǎng)路中的安全設(shè)備或安全組件進行管控;

b)應對網(wǎng)絡的鏈路、安全設(shè)備、網(wǎng)絡設(shè)備和服務器等的運行狀況進行集中監(jiān)測;

c)應對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規(guī)要求;

d)應能對網(wǎng)路中發(fā)生的各類安全事件進行識別、報警和分析;

e)應保證系統(tǒng)范圍內(nèi)的時間由唯一確定的時鐘產(chǎn)生,保證各項數(shù)據(jù)的管理和分析在時間上的一致性。

智和網(wǎng)管平臺SugarNMS支撐策略:智能發(fā)現(xiàn)+智能識別+智能監(jiān)控+智能管理+NTP時鐘管理

平臺可自動發(fā)現(xiàn)設(shè)備、資源、鏈路等,并智能識別類型,進行自動化性能采集,策略化故障監(jiān)控,學習式事件管理;通過所見即所得的拓撲圖及大數(shù)據(jù)分析,多維度洞察網(wǎng)絡狀況,并自動觸發(fā)預防性警示、自動故障報警。通過NTP時鐘管理,保證系統(tǒng)范圍內(nèi)的時間由唯一確定的時鐘產(chǎn)生,保證各項數(shù)據(jù)的管理和分析在時間上的一致性,向IT運維部門提供科學合理的決策依據(jù)。

目前智和信通已形成30余項獨立自主知識產(chǎn)權(quán)。其產(chǎn)品和解決方案在全國30多個省份大規(guī)模使用,覆蓋軍工國防、科研院所、政府、金融、交通、能源、電信、事業(yè)單位、企業(yè)、教育、醫(yī)療、設(shè)備商、開發(fā)人員等多領(lǐng)域。

審核編輯(
王靜
)
投訴建議

提交

查看更多評論