一、要求内容
a)应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;
b)应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;
c)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
二、实施建议
通过建立安全运行中心(SOC)来实现集中统一的监控管理功能,SOC的具体功能将可能包括资产管理、安全事件管理、威胁脆弱性管理、安全预警、安全知识管理、监控管理等方面。
三、常见问题
多数公司缺少统一的安全监控和管理的能力和技术,常见的仅是通过一些网管软件或入侵检测设备进行简单的监控和安全告警功能,无法实现集中化管理,也缺少自动分析功能。
四、实施难点
SOC的建设需要大量的资金投入。
五、测评方法
形式 访谈,检查。 对象 系统运维负责人,监测记录文档,监测分析报告,安全管理中心。
实施
a)应访谈系统运维负责人,询问是否对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测并报警,是否形成监测记录文档,是否指定人员对监测进行整理并保管;
b)应访谈系统运维负责人,询问其是否组织人员定期对监测记录进行分析、评审,是否发现可疑行为并对其采取必要的措施,是否形成分析报告;
c)应检查监测记录,查看是否记录监测对象、监测内容等方面;
d)应检查监测分析报告,查看是否包括监测的异常现象、处理措施等;
e)应检查是否具有安全管理中心,对恶意代码、补丁和审计等进行集中管理。
六、参考资料
无。