GB∕T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求

6.1.1.2.2数据完整性

数据完整性应满足以下要求： a）能够检测到被管理对象鉴别信息、配置管理数据在传输过程中完整性受到破坏； b）能够检测到被管理对象鉴别信息、配置管理数据在存储过程中完整性受到破坏

6.1.1.2.3数据备份与恢复

数据备份与恢复应满足以下要求： a） 提供数据本地备份与恢复功能，增量数据备份至少每天一次，备份介质场外存放； b） 备份数据应至少包含安全管理中心采集的原始数据、主/客体配置管理数据、安全管理中心自 身审计数据等； C 在云计算平台中民政标准，应提供查询云服务客户数据及备份存储位置的方式

6.1.1.3安全事件管理

6.1.1.3.1安全事件采集

安全事件采集应满足以下要求： a） 支持安全事件监测采集功能，及时发现和采集发生的安全事件； D) 能够对安全事件进行归一化处理，将不同来源、不同格式、不同内容组成的原始事件转换成标 准的事件格式； 安全事件的内容应包括日期、时间、主体标识、客体标识、类型、结果、IP地址、端口等信息； d) 安全事件采集的范围应涵盖主机设备、网络设备、数据库、安全设备、各类中间件、机房环境控 制系统等； 能够对采集的安全事件原始数据的集中存储。 注，安全事件的属性可参考附录C

6.1.1.3.2安全事件告誉

6.1.1.3.3 安全事件响应

安全事件响应应满足以下要求： a）能够提供工单管理的功能，支持基于告警响应动作创建工单的流转流程

GB/T369582018

b）能够提供安全通告功能，可以创建或导入安全风险通告，通告中应包括通告内容、描述信息、 CVE编号、影响的操作系统等； 能够根据通告提示的安全风险影响的操作系统，提供受影响的被保护资产列表

6.1.1.3.4统计分析报表

统计分析报表应满足以下要求： a）能够按照时间、事件类型等条件对安全事件进行查询； b）能够提供统计分析和报表生成功能

6.1.1.4风险管理

6.1.1.4风险管理

6.1.1.4. 1资产管理

资产管理应满足以下要求： a）实现对被管理对象资产的管理，提供资产的添加、修改、删除、查询与统计功能； b） 资产管理信息应包含资产名称、资产IP地址、资产类型、资产责任人、资产业务价值以及资产 的机密性、完整性、可用性赋值等资产属性； 支持资产属性的自定义； d）支持手工录人资产记录或基于指定模板的批量资产导入

6.1.1.4.2威胁管理

威胁管理应满足以下要求： a）具备预定义的安全威胁分类； b）支持自定义安全威胁分类，如将已发生的安全事件对应的威胁设置为资产面临的威胁。

6.1.1.4.3脆弱性管理

脆弱性管理应允许创建并维护资产脆弱性列表，支持脆弱性列表的合并及更新。

6.1.1.4.4风险分析

风险分析应满足以下要求： 能够根据资产的业务价值、资产当前的脆弱性及资产面临的安全威胁，计算目标资产的安全 风险； b 安全风险的计算周期和计算公式能够根据部署环境的实际需要通过修改配置的方式进行相应 调整；

6.1.1.5资源监控

6.1.1.5.1可用性监测

可用性监测应满足以下要求： a）支持通过监测网络设备、安全设备、主机操作系统、数据库、中间件、应用系统等重要性能指标， 实时了解其可用性状态； 支持对关键指标（如：CPU使用率、内存使用率、磁盘使用率、进程占用资源、交换分区、网络流 量等方面）设置阅值，触发阅值时产生告警

6.1.1.5.2网络拓扑监测

网络拓扑监测应满足以下要求： a）支持对网络拓扑图进行在线编辑，允许手工添加或删除监测节点或链路； b）能够展现当前网络环境中关键设备（包括网络设备、安全设备、服务器主机等)和链路的运行状 态，如网络流量、网络协议统计分析等指标，

6.1.2审计管理要求

6.1.2.1审计策略集中管理

计策略集中管理应能够查有主机 全策略等

6.1.2.2审计数据集中管理

6.1.2.2.1审计数据采集

审计数据采集应满足以下要求： 能够实现审计数据的归一化处理，内容应涵盖日期、时间、主体标识、客体标识、类型、结果、 地址、端口等信息； b) 支持设定查询条件进行审计数据查询； c) 支持对各种审计数据按规则进行过滤处理； 支持对数据采集信息按照特定规则进行合并

6.1.2.2.2审计数据采集对象

审计数据采集对象应满足以下要求： a）支持对网络设备（如交换机、路由器、流量管理、负载均衡等网络基础设备)的审计数据采集； 支持对主机设备（如服务器操作系统等应用支撑平台和桌面电脑、笔记本电脑、手持终端等终 端用户访问信息系统所使用的设备）的审计数据采集； c) 支持对数据库的审计数据采集； d) 支持对安全设备（如防火墙、人侵监测系统、抗拒绝服务攻击设备、防病毒系统、应用安全审计 系统、访问控制系统等与信息系统安全防护相关的各种系统和设备）的审计数据采集； e) 支持对各类中间件的审计数据采集； f) 支持对机房环境控制系统（如空调、温度、湿度控制、消防设备、门禁系统等）的审计数据采集； g) 在云计算平台中，应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行 审计； h) 在工业控制系统中，应对工业控制现场控制设备、网络安全设备、网络设备、服务器、操作站等 设备的网络安全监控和报警、网络安全日志信息进行集中管理

6.1.2.2.3审计数据采集

审计数据采集方式应满足以下要求： a）支持通过如Syslog、SNMP等协议采集各种系统或设备上的审计数据； b）通过统一接口，接收被管理对象的安全审计数据

6.2.1第三方插件/代理接口协议要求

GB/T369582018

安全管理中心应支持SNMPTrap、Syslog、WebService等常规接口和自定义接口以及第三方的插 件或者代理的接口实现各组件之间、与第三方平台之间的数据交换

6.2.2接口安全要求

接口安全要求应满足以下要求： ）采用安全的接口协议，保证接口之间交互数据的完整性 b）采用加密技术实现接口之间交互数据的保密性

安全管理中心控制台的管理员身份鉴别应满足以下要求： a 提供专用的登录控制模块对管理员进行身份标识和鉴别： D 提供管理员用户身份标识唯一和鉴别信息复杂度检查功能，保证不存在重复用户身份标识，身 份鉴别信息不易被冒用； 提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施

安全管理中心控制台的访问控制应满足以下要求 a）提供自主访问控制功能，依据安全策略控制管理员对各功能的访问； b）自主访问控制的覆盖范围应包括所有管理员、功能及它们之间的操作； c）由授权管理员配置访间控制策略，并禁止默认账户的访间

安全官理中儿控制百日 a）提供自主访问控制功能，依据安全策略控制管理员对各功能的访问； b）自主访问控制的覆盖范围应包括所有管理员、功能及它们之间的操作； C）由授权管理员配置访间报 叫策路，并禁止默认账户的访间

安全管理中心控制台的安全审计应满足以下要求： a）提供覆盖到每个管理员的安全审计功能，记录所有管理员对重要操作和安全事件进行审计； b）保证无法单独中断审计进程，无法删除、修改或覆盖审计记录； c）审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等； d）提供对审计记录数据进行统计查询的功能

安全管理中心控制台的软件容错应提供数据有效性检验功能，保证通过人机接口输人或通过接口 俞入的数据格式或长度符合系统设定要求

安全管理中心控制台的资源控制应满足以下要求： a）对管理员登录地址范围进行限制； b） 当管理员在一段时间内未作任何动作，应能够自动结束会话； 能够对最大并发会话连接数进行限制； d) 提供对自身运行状态的监测，应能够对服务水平降低到预先规定的最小值进行检测和报警

安全管理中心控制台的人侵防范应满足以下要求： a）能够检测到对各服务器、网络设备和安全设备进行入侵的行为； b) 能够通过设定终端接人方式或网络地址范围对通过网络进行管理的管理终端进行限制； C 服务器操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务 器等方式保持各组件的补丁及时得到更新； d) 应关闭不需要的各组件系统服务和高危端口

安全管理中心控制台的人侵防范应满足以下要求： a）能够检测到对各服务器、网络设备和安全设备进行入侵的行为； b）能够通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制； C 服务器操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服 器等方式保持各组件的补丁及时得到更新； d）应关闭不需要的各组件系统服务和高危端口

安全管理中心控制台的数据安全应满足以下要求： a）能够检测到管理数据和鉴别信息在传输和存储过程中完整性受到破坏； b）采用密码技术或其他保护措施实现管理数据和鉴别信息的数据传输和存储保密性。

安全管理中心控制台的数据安全应满足以下要求： a）能够检测到管理数据和鉴别信息在传输和存储过程中完整性受到破坏； b）采用密码技术或其他保护措施实现管理数据和鉴别信息的数据传输和存储保密性

7第三级安全管理中心技术要求

7.1.1系统管理要求

7.1.1.1用户身份管理

用户身份管理应满足以下要求： a) 能够对被管理对象环境中的主体进行标识； b) 能够采用两种或两种以上组合的鉴别技术对用户进行身份鉴别； C 能够对被管理对象的系统管理员进行身份鉴别，并对身份标识及鉴别信息进行复杂度检查； d) 在物联网系统中，应通过被管理对象的系统管理员对感知设备、感知层网关等进行统一身份标 识管理。

7.1.1.2数据保护

7.1.1.2.1数据保密性

数据保密性应满足以下要求： a）在安全管理中心与被管理对象之间建立连接之前，应利用密码技术进行会话初始化验证； 应使用密码技术对安全管理中心与被管理对象之间通信过程中的整个报文或会话过程进行机 密性保护； 应采用加密或其他保护措施实现被管理对象的鉴别信息、配置管理数据的存储保密性

7.1.1.2.2数据完整性

数据完整性应满足以下要求： a 能够检测到被管理对象鉴别信息、配置管理数据在传输过程中完整性受到破坏，并在检测到完 整性错误时采取必要的恢复措施； D 能够检测到被管理对象鉴别信息、配置管理数据在存储过程中完整性受到破坏，并在检测到完 整性错误时采取必要的恢复措施

7.1.1.2.3数据备份与恢复

GB/T369582018

7.1.1.2.4剩余信息保护

剩余信息保护应保证主体和客体的鉴别信息所在的存储空间被释放或再分配给其他主体前得至 青除，无论这些信息是存放在硬盘上还是在内存中

7.1.1.3安全事件管理

7.1.1.3.1安全事件采集

安全事件采集应满足以下要求： a）支持安全事件监测采集功能，及时发现和采集发生的安全事件； b) 能够对安全事件进行归一化处理，将不同来源、不同格式、不同内容组成的原始事件转换成标 准的事件格式； c） 安全事件的内容应包括日期、时间、主体标识、客体标识、类型、结果、IP地址、端口等信息； d) 安全事件采集的范围应涵盖主机设备、网络设备、数据库、安全设备、各类中间件、机房环境控 制系统等； e）能够对采集的安全事件原始数据的集中存储。 注：安全事件的属性可参考附录C

7.1.1.3.2安全事件告警

7.1.1.33安全事件响应

安全事件响应应满足以下要求： a） 能够提供工单管理的功能，支持基于告警响应动作创建工单的流转流程； b） 能够提供安全通告功能，可以创建或导入安全风险通告，通告中应包括通告内容、描述信息、 CVE编号、影响的操作系统等； c）能够根据通告提示的安全风险影响的操作系统提供受影响的被保护资产列表

7.1.1.3.4事件关联分析

事件关联分析应满足以下要求：

支持将来自不同事件源的事件在一个分析规则中进行分析，从而能从海量事件中过滤出有逻 辑关系的事件序列，据此给出相应的告警； b 针对常见的攻击行为和违规访问提供相应的关联分析规则，如针对主机扫描、端口扫描、DDoS 攻击、蠕虫、口令猜测、跳板攻击等的关联分析规则

7.1.1.3.5统计分析报表

统计分析报表应满足以下要求： a）能够按照时间、事件类型等条件对安全事件进行查询； b）能够提供统计分析和报表生成功能

7.1.1.4风险管理

7.1.1.4.1资产管理

资产管理应满足以下要求： a）实现对被管理对象资产的管理，提供资产的添加、修改、删除、查询与统计功能； b) 资产管理信息应包含资产名称、资产IP地址、资产类型、资产责任人、资产业务价值以及资产 的机密性、完整性、可用性赋值等资产属性； C 支持资产属性的自定义； d）支持手工录入资产记录或基于指定模板的批量资产导入

7.1.1.4.2资产业务价值评估

资产业务价值评估应支持自定义资产业务价值评估模型，能够依据资产类型、资产重要性、损坏后 告成的影响、涉及的范围等参数形成资产业务价值等级

7.1.1.4.3威胁管理

威胁管理应满足以下要求： a）具备预定义的安全威胁分类； b）支持自定义安全威胁分类，如将已发生的安全事件对应的威胁设置为资产面临的威胁

7.1.1.4.4脆弱性管理

7.1.1.4.5风险分析

风险分析应满足以下要求： a） 能够根据资产的业务价值、资产当前的脆弱性及资产面临的安全威胁，计算目标资产的安全 风险； b） 安全风险的计算周期和计算公式能够根据部署环境的实际需要通过修改配置的方式进行相应 调整； 安全管理系统能够以图形化的方式展现当前资产的风险级别、当前风险的排名统计等

7.1.1.5资源监控

7.1.1.5.1可用性监测

可用性监测应满足以下要求： 10

可用性监测应满足以下要求： 10

GB/T369582018

支持通过监测网络设备、安全设备、主机操作系统、数据库、中间件、应用系统等重要性能指标， 实时了解其可用性状态； b） 支持对关键指标（如：CPU使用率、内存使用率、磁盘使用率、进程占用资源、交换分区、网络流 量等方面)设置阈值，触发阈值时产生告警： C 在物联网系统平台，应通过系统管理员对感知设备状态（电力供应情况、是否在线、位置等）进 行统一监测和处理： d 在工业控制系统中，应能够对工业控制系统设备的可用性和安全性进行实时监控，可以对监控 指标设置告警阈值，触发告警井记录

7.1.1.5.2网络拓扑监测

网络拓扑监测应满足以下要求： a） 支持对网络拓扑图进行在线编辑，允许手工添加或删除监测节点或链路； b) 能够展现当前网络环境中关键设备（包括网络设备、安全设备、服务器主机等）和链路的运行状 态，如网络流量、网络协议统计分析等指标； 在网络运行出现异常时，能够展现在当前网络拓扑图中并产生告警； d) 能够发现并阻断非授权设备的外联及接入

7.1.2安全管理要求

7.1.2.1安全标记

安全标记应满足以下要求： 能够对主/客体的安全标记统一管理，主体标记范围包括用户、代理进程、终端等，客体标记范 围包括设备等； b) 安全标记应具备唯一性，能够准确反映主/客体在定级系统中的安全属性，并且具有防止纂改 和删除的能力； C 标记属性应包括安全级别、安全范围等信息，安全级别应可排序进行高低判断，安全范围应可 进行是否包含判断； d) 能够实现对不同安全级别的系统中安全标记与安全属性的单一映射关系

7.1.2.2授权管理

授权管理应满足以下要求： a 实现对每一个标记所能访问范围的统一管理； b) 实现主体对客体访问权限的统一管理，包括主机访问权限管理、网络访问权限管理、应用访问 权限管理； C) 实现根据主体标记和客体标记安全级别的不同，制定访问控制策略，控制主体对客体的访问。

Z.1.2.3设备策略管理

7.1.2.3.1安全配置策断

设备管理应实现对主机操作系统、数据库系统、网络设备、安全设备的安全配置策略的统一查询

7.1.2.3.2入侵防御

入侵防御应满足以下要求： a）提供统一接口，实现对网络入侵防御和主机入侵防御的事件采集、接收和指令下发

b）提供安全域内统一的操作系统、服务组件补丁更新服务； c 在云计算平台，云计算安全管理应具有对攻击行为回溯分析以及对网络安全事件进行预测和 预警的能力：应具有对网络安全态势进行感知、预测和预判的能力

7.1.2.3.3恶意代码防

意代码防范应满足以下要求： 对恶意代码防范产品统一升级进行监控和管理 对恶意代码防范情况的数据采集与上报

代码防范应满足以下要求： 对恶意代码防范产品统一升级进行监控和管理； 对恶意代码防范情况的数据采集与上报

7.1.2.4密码保障

密码保障应为被管理对象的密码技术、产品、服务的正确性、合规性、有效性提供保障。在物联网 平台，应通过安全管理员对系统中所使用的密钥进行统一管理，包括密钥的生成、分发、更新、存储 、销毁等

7.1.3审计管理要求

7.1.3.1审计策略集中管理

审计策略集中管理应能够查看主机操作系统、数据库系统、网络设备、安全设备的审计策略配置情 况，包括策略是否开启、参数设施是否符合安全策略等

7.1.3.2审计数据集中管理

7.1.3.2.1审计数据采集

审计数据采集应满足以下要求： a) 能够实现审计数据的归一化处理，内容应涵盖日期、时间、主体标识、客体标识、类型、结果、IP 地址、端口等信息； b 支持设定查询条件进行审计数据查询； c) 严格限制审计数据的访问控制权限，限制管理用户对审计数据的访问，实现管理用户和审计用 户的权限分离，避免非授权的删除、修改或覆盖； d）支持对各种审计数据按规则进行过滤处理； e）支持对数据采集信息按照特定规则进行合并

7.1.3.2.2审计数据采集对象

审计数据采集对象应满足以下要求： a) 支持对网络设备（如交换机、路由器、流量管理、负载均衡等网络基础设备）的审计数据采集； b 支持对主机设备（如服务器操作系统等应用支撑平台和桌面电脑、笔记本电脑、手持终端等终 端用户访问信息系统所使用的设备）的审计数据采集； c) 支持对数据库的审计数据采集； 支持对安全设备（如防火墙、入侵监测系统、抗拒绝服务攻击设备、防病毒系统、应用安全审计 系统、访问控制系统等与信息系统安全防护相关的各种系统和设备)的审计数据采集； e) 支持对各类中间件的审计数据采集； f) 支持对机房环境控制系统（如空调、温度、湿度控制、消防设备、门禁系统等）的审计数据采集； g) 支持对其他应用系统或相关平台的审计数据采集： 在云计算平台中，应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审 12

GB/T369582018

计，应通过运维审计系统对管理员的运维行为进行安全审计；应通过租户隔离机制，确保审计 数据隔离的有效性； 在工业控制系统中，应对工业控制现场控制设备、网络安全设备、网络设备、服务器、操作站等 设备的网络安全监控和报警、网络安全日志信息进行集中管理

7.1.3.2.3审计数据采集方式

审计数据采集方式应满足以下要求： a）支持通过如Syslog、SNMP等协议采集各种系统或设备上的审计数据； b）通过统一接口.接收被管理对象的安全审计数据。

7.1.3.2.4审计数据关联分析

7.2.1第三方插件/代理接口协议要求

接口协议要求应满足以下要求： 安全管理中心应实现对IPv4及IPv6双协议环境的支持（包括IPv4环境、IPv6环境及IPv4/ IPv6混合环境）； 安全管理中心应支持SNMPTrap、Syslog、WebService等常规接口和自定义接口以及第三方 的插件或者代理的接口实现各组件之间、与第三方平台之间的数据交换

7.2.2接口安全要求

接口安全要求应满足以下要求： a）采用安全的接口协议，保证接口之间交互数据的完整性： b）采用加密技术实现接口之间交互数据的保密性

安全管理中心控制台的管理员身份鉴别应满足以下要求 a 提供专用的登录控制模块对管理员进行身份标识和鉴别，对同一管理员用户采用两种或两种 以上组合的鉴别技术实现用户身份鉴别； D 提供管理员用户身份标识唯一和鉴别信息复杂度检查功能，保证不存在重复用户身份标识，身 份鉴别信息不易被冒用； ） 提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施

提供专用的登录控制模块对管理员进行身份标识和鉴别，对同一管理员用户采用两种或两 以上组合的鉴别技术实现用户身份鉴别； D 提供管理员用户身份标识唯一和鉴别信息复杂度检查功能，保证不存在重复用户身份标识 份鉴别信息不易被冒用； 提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施

安全管理中心控制合的访问控制应满足以下要求 a）提供自主访问控制功能，依据安全策略控制管理员对各功能的访同 b 自主访问控制的覆盖范围应包括所有管理员、功能及它们之间的操作； 由授权管理员配置访问控制策略，并禁止默认账户的访问； 实现特权用户的权限分离市政工程标准规范范本，应授予不同账户为完成各自承担任务所需的最小权限，并在它们 T 间形成相互制约的关系

安全管理中心控制合的访问控制应满足以下要求： a）提供自主访问控制功能，依据安全策略控制管理员对各功能的访问： b）自主访问控制的覆盖范围应包括所有管理员、功能及它们之间的操作； 由授权管理员配置访问控制策略，并禁止默认账户的访问； 1 实现特权用户的权限分离，应授予不同账户为完成各自承担任务所需的最小权限，并在它们之 间形成相互制约的关系

安全管理中心控制台的安全审计应满足以下要求： a) 提供覆盖到每个管理员的安全审计功能，记录所有管理员对重要操作和安全事件进行审计； b 保证无法单独中断审计进程，无法删除、修改或覆盖审计记录； c 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等； d 提供对审计记录数据进行统计、查询、分析及生成审计报表的功能； e) 根据统一安全策略，提供集中审计接口

7.3.4剩余信息保护

安全管理中心控制台的剩余信息保护应保证管理员的鉴别信息所在的存储空间被释放或再分配 也管理员用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。

安全管理中心控制台的软件容错应满足以下要求： 提供数据有效性检验功能，保证通过人机接口输入或通过接口输人的数据格式或长度符合 统设定要求： 提供自动恢复功能，当故障发生时能够恢复工作状态

安全管理中心控制台的资源控制应满足以下要求： a）对管理员登录地址范围进行限制； 当管理员在一段时间内未作任何动作，应能够自动结束会话； 能够对最大并发会话连接数进行限制； d) 能够对单个管理员账户的多重并发会话进行限制 e) 提供对自身运行状态的监测，应能够对服务水平降低到预先规定的最小值进行检测和报警

能够检测到对各服务器、网络设备和安全设备进行人侵的行为体育标准，并在发生严重入侵事件时提供 报警； b 能够通过设定终端接人方式或网络地址范围对通过网络进行管理的管理终端进行限制； C) 服务器操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务 器等方式保持各组件的补丁及时得到更新； d) 应关闭不需要的各组件系统服务和高危端口