求其了
安全管理中心不是一个机构,也不是一个产品,而是一个技术管控枢纽,通过管理区域实现管理,并通过技术工具实现一定程度上的集中管控
1系统管理(针对系统管理员)
可以对每个设备单独进行管理,也可以通过统一的管理平台集中管理。
001应对系统管理员进行身份鉴别,只允许其通过特定的命令行或操作界面进行系统管理操作,并对这些操作进行审计。
1.各设备和统一管理平台(这个不一定有)有没有启用身份鉴别(账号密码)的功能对系统管理员进行身份鉴别(换言之,有没有系统管理员专属账号和对应权限);
2.是否只允许系统管理员过特定的命令行或操作界面进行系统管理操作(权限有没有细分);
3.系统管理员的操作有没有被日志记录下来。
002应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
以上是系统管理员的职责,要看系统管理员的权限有没有划出来,要跟审计员和安全员的权限形成制约和独立,互不干涉,有且仅有系统管理员可做他职责内的事情。
2审计管理
可以对每个设备单独进行审计管理,也可以通过统一的日志审计平台集中管理。(看起来很像是吧)
003应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计。
1.各设备和统一日志审计平台(这个不一定有)有没有启用身份鉴别(账号密码)的功能对审计管理员进行身份鉴别(换言之,有没有审计管理员专属账号和对应权限);
2.是否只允许审计管理员过特定的命令行或操作界面进行系统管理操作(权限有没有细分);
3.审计管理员的操作有没有被日志记录下来。
004应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
以上是审计管理员的职责,要看审计管理员的权限有没有划出来,要跟管理员和安全员的权限形成制约和独立,互不干涉,有且仅有审计管理员可做他职责内的事情。
3安全管理
可以对每个安全设备单独进行审计管理,也可以通过统一的安全管理平台集中管理。(梅开二度)
005应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计。
1.各设备和统一安全管理平台(这个不一定有)有没有启用身份鉴别(账号密码)的功能对安全管理员进行身份鉴别(换言之,有没有安全管理员专属账号和对应权限);
2.是否只允许安全管理员过特定的命令行或操作界面进行系统管理操作(权限有没有细分);
3.安全管理员的操作有没有被日志记录下来。
006应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
以上是安全管理员的职责,要看安全管理员的权限有没有划出来,要跟管理员和审计员的权限形成制约和独立,互不干涉,有且仅有安全管理员可做他职责内的事情。
4集中管控
在网络中划分出一个独立的管理区域(可以叫运维区),在该区域内对安全设备或安全组件进行统一管控,可以由一个平台实现,也可以多个平台或工具实现。(抽象不)
007应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控。
1.看有没有划出运维区VLAN专门负责安全管理
2.安全设备或安全组件的管理设备是不是都在这个区里
有个VLAN 的概念:
又叫虚拟局域网,是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制(即跟交换机数量无关)而根据用户需求进行网络分段。通过路由划分出不同的VLAN(IP组),每个VLAN就会独立(数据包,emmm简单叫流量吧),流量就过不去,那这些IP组就形成一个子网,独立的小团体,流量只会在小团体里面流通,这种就是分区。
那什么是一层、二层、三层交换机呢:
一层交换机是指只支持物理层协议的交换机(例如电话程控交换机) 老久老久;
二层交换机是指支持物理层和数据链路层协议的交换机(例如以太网交换机,用于小型的局域网络);
它按照所接收到数据包的目的MAC地址来进行转发,对于网络层或者高层协议来说是透明的。它不处理网络层的IP地址,不处理高层协议的诸如TCP、UDP的端口地址,它只需要数据包的物理地址即MAC地址,数据交换是靠硬件来实现的,其速度相当快
三层交换机是指支持物理层、数据链路层及网络层协议具有部分路由器功能的交换机(带路由功能的交换机,用于加快大型局域网络内部的数据的快速转发)。
举个栗子,在上课的时候学生偷偷传纸条,当一个男生偷偷传张纸条给女生,女生这时候会干嘛?是要打开纸条查看里面写了什么内容吧!三层交换机在接收到目的mac地址是自己的时候要做的事情也是向上层解封装,查看三层目的IP地址,然后呢?
女生打开,上面写着“请将纸条递给下一个人”,三层交换机也是这样一看原来目的IP地址不是自己,这才执行路由层面的转发;所以说交换机在执行要不要三层转发,是在目的mac是自己的同时,IP地址是不是自己,如果是自己那还转发个啥来,就不用转发了。
