解析智和網管平臺SugarNMS等保2.0滿足的控制點內容

北京智和信通結合《資訊保安技術 網路安全等級保護基本要求》（GB/T 22239-2019）等國家標準檔案 以及 使用者提出的網路安全管理需求進行產品設計，推出“監控+展示+安管+開發”創新四合一模式的智和網管平臺SugarNMS，實現本地及異地資料中心的網路裝置、伺服器、虛擬機器、中介軟體、資料庫、軟體和應用服務等狀態的AI智慧化管控。該平臺充分發揮網路基礎設施安全保護能力，助力使用者等保2.0安全區域邊界、安全計算環境、安管管理中心及管理部分要求建設。

 

網路安全等級保護工作中的物件主要包括基礎資訊網路、雲端計算平臺/系統、大資料應用/平臺/資源、物聯網(IoT)、工業控制系統和採用移動互聯技術的系統等。等級保護範圍內重要資訊系列所涵蓋的行業 涉及 能源、金融、交通、水利、醫療衛生、環境保護、工業製造、市政、電信與網際網路、廣播電視及政府部門。等保2.0提出五個等級安全要求，透過級別差異性增強關鍵設施的網路安全防護水平。此處編者按等保2.0安全通用要求為例，介紹智和網管平臺SugarNMS支撐分類及控制點的內容：

一、安全區域邊界

1、邊界防護要求

a）應 保證跨越邊界的訪問和資料流透過邊界裝置提供的受控介面進行通訊 ；

b）應能夠 對非授權裝置私自聯到內部網路的行為進行檢查或限制 ；

c）應能夠 對內部使用者非授權聯到外部網路的 行為 進行檢查或限制 ；

d）應 限制無線網路的使用，保證無線網路透過受控的邊界裝置接入內部網路等 。

智和網管平臺SugarNMS支撐策略：終端接入控制 +MAC-IP管理、黑白名單

平臺透過埠繫結MAC和IP，控制埠准入的終端裝置，透過控制開啟和關閉D ot 1X認證功能，實現終端接入的認證管理，透過控制網路裝置的埠開啟、關閉和VLan控制，實現對終端接入裝置的通斷控制。 定時獲取全網的MAC-IP資訊，並自動儲存。支援根據MAC或IP對線上裝置進行查詢。透過黑白名單功能從而檢測使用者所關心的裝置（透過IP或MAC來識別）是否在網路中出現及出現時間，提醒使用者是否進行下一步操作。

 

2、 訪問控制 要求

a) 應在網路邊界根據訪問控制策略設定訪問控制規則，預設情況下除允許通訊外受控介面拒絕所有通訊；

b) 應刪除多餘或無效的訪問控制規則，最佳化訪問控制列表，並保證訪問控制規則數量最小化；

c) 應對源地址、目的地址、源埠、目的埠和協議等進行檢查，以允許／拒絕資料包進出 ；

D)應能根據會話狀態資訊為進出資料流提供明確的允許 /拒絕訪問的能力。

智和網管平臺SugarNMS支撐策略：萬能命令模板 +ACL訪問控制 +QOS策略配置

萬能命令模板透過圖形化的介面，為裝置配置各種控制命令，使用者可以透過下發配置命令的形式，實現關機、資源獲取、連通性檢測等控制。平臺支援ACL策略、源和目的 IP、協議、埠、訪問動作等細粒度的控制，使用者可自定義 ACL模板，方便統一策略實施。平臺支援埠級 QOS策略，支援 QOS、流行為、包過濾、類、流量監管優先順序等流量策略，使用者可以對 QOS策略對比、核查。

 

二、安全計算環境

1、訪問控制要求

a) 應對登入的使用者分配賬戶和許可權；

b) 修改預設賬戶的預設口令；

c) 應及時刪除或停用多餘的、過期的賬戶，避免共享賬戶的存在；

e) 應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則 。

智和網管平臺SugarNMS支撐策略：三員認證體系+裝置使用者管理+SNMP管理

平臺符合三員認證體系，具備系統管理員、安全保密管理員和安全設計員三員管理，可賦予使用者對網路管理或只讀的許可權，不同管理員對不同網路進行管理使網路更加安全。透過對網路裝置傳送新增本地使用者命令，為裝置新增本地使用者，設定包括使用者名稱密碼、服務型別（連線協議telnet,SSH,terminal）、許可權級別等內容，支援批次裝置操作。提供SNMP使用者管理頁面，可在裝置上新增SNMP使用者，對SNMP協議版本、使用者名稱、使用者口令、許可權級別進行設定。

 

2、入侵防範要求

a) 應透過設定終端接入方式或網路地址範圍對透過網路進行管理的管理終端進行限制 。

智和網管平臺SugarNMS支撐策略：終端接入控制

平臺透過埠繫結MAC和IP，控制埠准入的終端裝置，透過控制開啟和關閉D ot 1X認證功能，實現終端接入的認證管理，透過控制網路裝置的埠開啟、關閉和VLan控制，實現對終端接入裝置的通斷控制。

 

三、安全管理中心

1、系統管理要求

a）應對系統管理員只允許其透過特定的命令或操作介面進行系統管理操作，並對這些操作進行審計；

b） 應 透過系統管理員對系統的資源和執行進行配置、控制和管理，包括使用者的身份、系統資源配置、系統載入和啟動、系統執行的異常處理、資料和裝置的異常備份與恢復等。

2、 審計管理 要求

a） 應對審計管理員只允許其透過特定的命令或操作介面進行安全審計操作，並對這些操作進行審計；

b） 應 審計管理員對審計記錄進行分析，並根據分析結果進行處理，包括根據安全審計策略對審計記錄進行儲存、管理和查詢等。

3、 安全管理 要求

a） 應透過安全管理員對系統中的安全策略進行配置，包括安全引數的設定，主體、客體進行統一安全標記，對主體進行授權， 配置可信驗證策略等。

上述三個控制點 智和網管平臺SugarNMS支撐策略：三員認證體系+日誌管理 +裝置使用者管理

平臺符合三員認證體系，具備系統管理員、安全保密管理員、安全審計員三員管理。系統提供裝置日誌和使用者日誌，透過日誌管理，讓裝置資訊和使用者操作記錄有處可尋，責任到人。 透過對網路裝置傳送新增本地使用者命令，為裝置新增本地使用者，設定包括使用者名稱密碼、服務型別（連線協議telnet、SSH、terminal）、許可權級別等內容，支援批次裝置操作。

 

4、集中管控 控制點要求

a）應劃分出特定的管理區域，對分佈在網路中的安全裝置或安全元件進行管控；

b）應對網路的鏈路、安全裝置、網路裝置和伺服器等的執行狀況進行集中監測；

c）應對分散在各個裝置上的審計資料進行收集彙總和集中分析，並保證審計記錄的留存時間符合法律法規要求；

d）應能對網路中發生的各類安全事件進行識別、報警和分析；

e)應保證系統範圍內的時間由唯一確定的時鐘產生，保證各項資料的管理和分析在時間上的一致性。

智和網管平臺SugarNMS支撐策略： 智慧發現+智慧識別+智慧監控+智慧管理+NTP時鐘管理

平臺可自動發現裝置、資源、鏈路等，並智慧識別型別，進行自動化效能採集，策略化故障監控，學習式事件管理；透過所見即所得的拓撲圖及大資料分析，多維度洞察網路狀況，並自動觸發預防性警示、自動故障報警。透過NTP時鐘管理， 保證系統範圍內的時間由唯一確定的時鐘產生，保證各項資料的管理和分析在時間上的一致性，向IT運維部門提供科學合理的決策依據。

智和網管平臺SugarNMS整體採用Java和HTML5語言開發，具有優秀的可移植性，產品支援100%國產化解決方案，可部署在國產伺服器上執行，安裝國產作業系統作為網管執行環境。管控裝置型別超過600種，使用者可自定義擴充套件裝置型別。