5.5.4.2 外包服務(wù)商

對外包服務(wù)商，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 外包服務(wù)商的基本要求：應(yīng)選擇具有相應(yīng)服務(wù)資質(zhì)并信譽(yù)好的外包服務(wù)商；
b） 在既定的范圍內(nèi)選擇外包服務(wù)商：對較為重要的業(yè)務(wù)應(yīng)用，應(yīng)在行業(yè)認(rèn)可或者是經(jīng)過上級主管部門批準(zhǔn)的范圍內(nèi)，選擇具有相應(yīng)服務(wù)資質(zhì)并信譽(yù)好的可信的外包服務(wù)商；
c） 外包服務(wù)的限制要求：關(guān)鍵的或涉密的業(yè)務(wù)應(yīng)用，一般不應(yīng)采用外包服務(wù)方式。


5.5.4.3 外包服務(wù)的運行管理

外包服務(wù)的運行管理，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 外包服務(wù)的監(jiān)控：對外包服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運行的安全狀況應(yīng)進(jìn)行監(jiān)控和檢查，出現(xiàn)問題應(yīng)遵照合同規(guī)定及時處理和報告；
b） 外包服務(wù)的評估：在a）的基礎(chǔ)上，對外包服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運行的安全狀況應(yīng)定期進(jìn)行評估，當(dāng)出現(xiàn)重大安全問題或隱患時應(yīng)進(jìn)行重新評估，提出改進(jìn)意見，直至停止外包服務(wù)。


5.5.5 有關(guān)安全機(jī)制保障

5.5.5.1 身份鑒別機(jī)制管理要求

對身份鑒別機(jī)制的管理，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 身份鑒別機(jī)制管理基本要求：對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)管理員和應(yīng)用系統(tǒng)管理員以及普通用戶，應(yīng)明確使用和保護(hù)身份鑒別機(jī)制的責(zé)任；應(yīng)指定安全管理人員定期進(jìn)行檢查，對身份鑒別機(jī)制的管理應(yīng)保證GB/T 20271-2006中6.1.3.1所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求；
b） 身份鑒別機(jī)制增強(qiáng)要求：在a）的基礎(chǔ)上，應(yīng)采用不可偽造的鑒別信息進(jìn)行身份鑒別；鑒別信息應(yīng)進(jìn)行相應(yīng)的保護(hù)；對身份鑒別機(jī)制的管理應(yīng)保證GB/T 20271-2006中6.2.3.1所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求；
c） 身份鑒別和認(rèn)證系統(tǒng)的管理維護(hù)：在b）的基礎(chǔ)上，應(yīng)采用有關(guān)身份鑒別和認(rèn)證系統(tǒng)的管理維護(hù)措施；對身份鑒別機(jī)制的管理應(yīng)保證GB/T 20271-2006中6.3.3.1所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求；
d） 身份鑒別和認(rèn)證管理的強(qiáng)制保護(hù)：在c）的基礎(chǔ)上，應(yīng)采用多鑒別機(jī)制進(jìn)行身份鑒別，操作過程需要留有操作記錄和審批記錄，必要時應(yīng)兩人以上在場才能進(jìn)行；對身份鑒別機(jī)制的管理應(yīng)保證GB/T 20271-2006中6.4.3.1所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求；
e） 身份鑒別和認(rèn)證管理的專項管理：在d）的基礎(chǔ)上，與相關(guān)業(yè)務(wù)部門共同制定專項管理措施；對身份鑒別機(jī)制的管理應(yīng)保證GB/T 20271-2006中6.5.3.1所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求。


5.5.5.2 訪問控制機(jī)制管理要求

對訪問控制機(jī)制的管理，不同安全等級應(yīng)有選擇地滿足以下要求的一項：
a） 自主訪問控制機(jī)制的管理：應(yīng)根據(jù)自主訪問控制機(jī)制的要求，由授權(quán)用戶為主、客體設(shè)置相應(yīng)訪問的參數(shù)；
b） 自主訪問控制審計管理：在a）基礎(chǔ)上，應(yīng)將自主訪問控制與審計密切結(jié)合，實現(xiàn)對自主訪問控制過程的審計，使訪問者必須為自己的行為負(fù)責(zé)；并保證最高管理層對自主訪問控制管理的掌握；
c） 強(qiáng)制訪問控制的管理：在b）基礎(chǔ)上，應(yīng)將強(qiáng)制訪問控制與審計密切結(jié)合，實現(xiàn)對強(qiáng)制訪問控制過程的審計；應(yīng)根據(jù)強(qiáng)制訪問控制機(jī)制的要求，由授權(quán)的安全管理人員通過專用方式為主、客體設(shè)置標(biāo)記信息；可采用集中式、分布式和混合式等基本的訪問控制管理模式，對分布在信息系統(tǒng)的不同計算機(jī)系統(tǒng)上實施同一安全策略的訪問控制機(jī)制，設(shè)置一致的主、客體標(biāo)記信息；應(yīng)根據(jù)信息系統(tǒng)的安全需求，確定實施系統(tǒng)級、應(yīng)用級、用戶級的審計跟蹤；
d） 訪問控制的監(jiān)控管理：在c）基礎(chǔ)上，對訪問控制進(jìn)行監(jiān)控管理，對系統(tǒng)、用戶或環(huán)境進(jìn)行持續(xù)性檢查；對實時性強(qiáng)的活動加強(qiáng)監(jiān)控，包括每日或每周對審計跟蹤（如有關(guān)非法登錄嘗試）的檢查；注意保護(hù)和檢查審計跟蹤數(shù)據(jù)，以及用于審計跟蹤分析的工具；
e） 訪問控制的專項控制：在d）基礎(chǔ)上，應(yīng)具有嚴(yán)格的用戶授權(quán)與訪問控制措施；對訪問控制機(jī)制的設(shè)置進(jìn)行專項審批，并由獨立的安全管理人員對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用等方面的訪問控制機(jī)制進(jìn)行獨立的有效性評估和檢查。


5.5.5.3 系統(tǒng)安全管理要求

對操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全管理，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 系統(tǒng)安全管理基本要求：應(yīng)對不同安全級別的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)按其安全技術(shù)和機(jī)制的不同要求實施相應(yīng)的安全管理；應(yīng)通過正式授權(quán)程序委派專人負(fù)責(zé)系統(tǒng)安全管理；建立系統(tǒng)安全配置、備份等安全管理規(guī)章制度；按規(guī)章制度的要求進(jìn)行正確的系統(tǒng)安全配置、備份等操作，及時進(jìn)行補(bǔ)丁升級；
b） 基于審計的系統(tǒng)安全管理：在a）的基礎(chǔ)上，應(yīng)對系統(tǒng)進(jìn)行日常安全管理，包括對用戶安全使用進(jìn)行指導(dǎo)和審計等；應(yīng)依據(jù)操作規(guī)程確定審計事件、審計內(nèi)容、審計歸檔、審計報告；對授權(quán)用戶應(yīng)采用相應(yīng)身份鑒別機(jī)制（見5.5.5.1）進(jìn)行鑒別，并遵照規(guī)定的登錄規(guī)程登錄系統(tǒng)和使用許可的資源；應(yīng)對系統(tǒng)工具的使用進(jìn)行授權(quán)管理和審計；應(yīng)對系統(tǒng)的安全弱點和漏洞進(jìn)行控制；應(yīng)依據(jù)變更控制規(guī)程對系統(tǒng)的變更進(jìn)行控制；應(yīng)及時對系統(tǒng)資源和系統(tǒng)文檔進(jìn)行安全備份；
c） 基于標(biāo)記的系統(tǒng)安全管理：在b）的基礎(chǔ)上，應(yīng)根據(jù)訪問控制安全策略的要求，全面考慮和統(tǒng)一設(shè)置、維護(hù)用戶及主、客體的標(biāo)記信息；設(shè)置和維護(hù)標(biāo)記信息的操作應(yīng)由授權(quán)的系統(tǒng)安全員通過系統(tǒng)提供的安全員操作界面實施；對可能危及系統(tǒng)安全的系統(tǒng)工具進(jìn)行嚴(yán)格的控制；
應(yīng)制定嚴(yán)格的變更控制制度，保證變更不影響應(yīng)用系統(tǒng)的可用性、安全性，保證變更過程的有效性、可審計性和可恢復(fù)性；應(yīng)對操作系統(tǒng)資源和系統(tǒng)文檔進(jìn)行標(biāo)記、安全備份，并制定、實施應(yīng)急安全計劃；
d） 基于強(qiáng)制的系統(tǒng)安全管理：在c）的基礎(chǔ)上，應(yīng)按系統(tǒng)內(nèi)置角色強(qiáng)制指定系統(tǒng)安全管理責(zé)任人；應(yīng)保證系統(tǒng)管理過程的可審計性；應(yīng)定期對操作系統(tǒng)安全性進(jìn)行評估；
e） 基于?？氐南到y(tǒng)安全管理：在d）的基礎(chǔ)上，應(yīng)保證系統(tǒng)的安全管理工作在多方在場并簽署責(zé)任書情況下進(jìn)行；應(yīng)使用經(jīng)過驗證的系統(tǒng)軟件，確保使用者熟悉系統(tǒng)的操作流程，并對操作人員的操作過程實施監(jiān)視。


5.5.5.4 網(wǎng)絡(luò)安全管理要求

對網(wǎng)絡(luò)系統(tǒng)的安全管理，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 網(wǎng)絡(luò)安全管理基本要求：應(yīng)對不同安全級別的網(wǎng)絡(luò)按其安全技術(shù)和機(jī)制的不同要求實施相應(yīng)的安全管理；應(yīng)通過正式授權(quán)程序指定網(wǎng)絡(luò)安全管理人員；應(yīng)制定有關(guān)網(wǎng)絡(luò)系統(tǒng)安全管理和配置的規(guī)定，保證安全管理人員按相應(yīng)規(guī)定對網(wǎng)絡(luò)進(jìn)行安全管理；
b） 基于規(guī)程的網(wǎng)絡(luò)安全管理：在a）的基礎(chǔ)上，應(yīng)按有關(guān)規(guī)程對網(wǎng)絡(luò)安全進(jìn)行定期評估，不斷完善網(wǎng)絡(luò)安全策略，建立、健全網(wǎng)絡(luò)安全管理規(guī)章制度，包括：
——制定使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略。依據(jù)總體安全方針、策略制定允許提供的網(wǎng)絡(luò)服務(wù)、制定網(wǎng)絡(luò)訪問許可和授權(quán)管理制度、保證信息系統(tǒng)網(wǎng)絡(luò)連接和服務(wù)的安全技術(shù)正確實施；
——制定網(wǎng)絡(luò)安全教育和培訓(xùn)計劃，保證信息系統(tǒng)的各類用戶熟知自己在網(wǎng)絡(luò)安全方面的安全責(zé)任和安全規(guī)程；
——建立網(wǎng)絡(luò)訪問授權(quán)制度，保證經(jīng)過授權(quán)的用戶才能在指定終端，使用指定的安全措施，按設(shè)定的可審計路由訪問許可的網(wǎng)絡(luò)服務(wù)；
——對安全區(qū)域外部移動用戶的網(wǎng)絡(luò)訪問實施嚴(yán)格的審批制度，實施用戶安全認(rèn)證和審計技術(shù)措施，保證網(wǎng)絡(luò)連接的可靠性、保密性，保證用戶對外部連接的安全性負(fù)責(zé)；
——定義與外部網(wǎng)絡(luò)連接的接口邊界，建立安全規(guī)范，定期對外部網(wǎng)絡(luò)連接接口的安全進(jìn)行評估，對通過外部連接的可信信息系統(tǒng)之間的網(wǎng)絡(luò)信息提供加密服務(wù)，有關(guān)加密設(shè)備和算法的使用按國家有關(guān)規(guī)定執(zhí)行；
——對外進(jìn)行公共服務(wù)的信息系統(tǒng)，應(yīng)采取嚴(yán)格的安全措施實施訪問控制，保證外部用戶對服務(wù)的訪問得到控制和審計，并保證外部用戶對特定服務(wù)的訪問不危及內(nèi)部信息系統(tǒng)的安全，對外傳輸?shù)臄?shù)據(jù)和信息要經(jīng)過審查，防止內(nèi)部人員通過內(nèi)外網(wǎng)的邊界泄露敏感信息；
——對可能從內(nèi)部網(wǎng)絡(luò)向外發(fā)起的連接資源（如Modem撥號接入Internet）實施嚴(yán)格控制，建立連接資源使用授權(quán)制度，建立檢查制度防止信息系統(tǒng)使用未經(jīng)許可和授權(quán)的連接資源；
——不同安全保護(hù)等級的信息系統(tǒng)網(wǎng)絡(luò)之間的連接按訪問控制策略實施可審計的安全措施，如使用防火墻、安全路由器等，實現(xiàn)必要的網(wǎng)絡(luò)隔離；
——保證網(wǎng)絡(luò)安全措施的日常管理責(zé)任到人，并對網(wǎng)絡(luò)安全措施的使用進(jìn)行審計；
——按網(wǎng)絡(luò)設(shè)施和網(wǎng)絡(luò)服務(wù)變更控制制度執(zhí)行網(wǎng)絡(luò)配置變更控制；
——建立網(wǎng)絡(luò)安全事件、事故報告處理流程，保證事件和事故處理過程的可審計性；
——對網(wǎng)絡(luò)連接、網(wǎng)絡(luò)安全措施、網(wǎng)絡(luò)設(shè)備及操作規(guī)程定期進(jìn)行安全檢查和評估，提交正式的網(wǎng)絡(luò)安全報告；
——信息系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)設(shè)備設(shè)施應(yīng)有必要的備份；
c） 基于標(biāo)記的網(wǎng)絡(luò)安全管理：在b）的基礎(chǔ)上，針對網(wǎng)絡(luò)安全措施的使用建立嚴(yán)格的審計、標(biāo)記制度，保證安全措施配有具體責(zé)任人負(fù)責(zé)網(wǎng)絡(luò)安全措施的日常管理；指定網(wǎng)絡(luò)安全審計人員，負(fù)責(zé)安全事件的標(biāo)記管理，網(wǎng)絡(luò)安全事件的審計；對審計活動進(jìn)行控制，保證網(wǎng)絡(luò)設(shè)施或?qū)徲嫻ぞ咛峁┑膶徲嬘涗浲暾院涂捎眯?；對可用性要求高的網(wǎng)絡(luò)指定專人進(jìn)行不間斷的監(jiān)控，并能及時處理安全事故；
d） 基于強(qiáng)制監(jiān)督的網(wǎng)絡(luò)安全管理：在c）的基礎(chǔ)上，建立的獨立安全審計，對網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)安全策略、安全控制措施進(jìn)行有效性檢查和監(jiān)督；保證網(wǎng)絡(luò)安全管理人員達(dá)到相應(yīng)的資質(zhì)；信息系統(tǒng)網(wǎng)絡(luò)之間的連接應(yīng)使用可信路徑；
e） 基于專控的網(wǎng)絡(luò)安全管理：在d）的基礎(chǔ)上，要求至少有兩名以上的網(wǎng)絡(luò)安全管理人員實施網(wǎng)絡(luò)安全管理事務(wù)，并保證網(wǎng)絡(luò)安全管理本身的安全風(fēng)險得到控制；信息系統(tǒng)網(wǎng)絡(luò)之間的連接嚴(yán)格控制在可信的物理環(huán)境范圍內(nèi)。


5.5.5.5 應(yīng)用系統(tǒng)安全管理要求

對應(yīng)用系統(tǒng)安全管理，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 應(yīng)用系統(tǒng)安全管理基本要求：應(yīng)對不同安全級別的應(yīng)用系統(tǒng)按其安全技術(shù)和機(jī)制的不同要求實施相應(yīng)的安全管理；應(yīng)通過正式授權(quán)程序委派專人負(fù)責(zé)應(yīng)用系統(tǒng)的安全管理，應(yīng)明確管理范圍、管理事務(wù)、管理規(guī)程，以及應(yīng)用系統(tǒng)軟件的安全配置、備份等安全工作；應(yīng)結(jié)合業(yè)務(wù)需求制定相關(guān)規(guī)章制度，并嚴(yán)格按照規(guī)章制度的要求實施應(yīng)用系統(tǒng)安全管理；
b） 基于操作規(guī)程的應(yīng)用系統(tǒng)安全管理：在a）的基礎(chǔ)上，應(yīng)制定并落實應(yīng)用系統(tǒng)的安全操作規(guī)程，包括：
——指定信息安全管理人員，依據(jù)信息安全操作規(guī)程，負(fù)責(zé)信息的分類管理和發(fā)布；
——對任何可能超越系統(tǒng)或應(yīng)用程序控制的實用程序和系統(tǒng)軟件都應(yīng)得到正式的授權(quán)和許可，并對使用情況進(jìn)行登記。保證對應(yīng)用系統(tǒng)信息或軟件的訪問不影響其他信息系統(tǒng)共享信息的安全性；
——應(yīng)用系統(tǒng)的內(nèi)部用戶，包括支持人員，應(yīng)按照規(guī)定的程序辦理授權(quán)許可，并根據(jù)信息的敏感程度簽署安全協(xié)議，保證應(yīng)用系統(tǒng)數(shù)據(jù)的保密性、完整性和可用性；
——應(yīng)指定專人負(fù)責(zé)應(yīng)用系統(tǒng)的審計工作，保證審計日志的準(zhǔn)確性、完整性和可用性；
——組織有關(guān)人員定期或不定期對應(yīng)用系統(tǒng)的安全性進(jìn)行審查，并根據(jù)應(yīng)用系統(tǒng)的變更或風(fēng)險變化提交正式的報告，提出安全建議；
——對應(yīng)用系統(tǒng)關(guān)鍵崗位的工作人員實施資質(zhì)管理，保證人員的可靠性和可用性；
——制定切實可用的應(yīng)用系統(tǒng)及數(shù)據(jù)的備份計劃和應(yīng)急計劃，并由專人負(fù)責(zé)落實和管理；
——制定應(yīng)用軟件安全管理規(guī)章制度，包括應(yīng)用軟件的開發(fā)和使用等管理；（見5.8）
c） 基于標(biāo)記的應(yīng)用系統(tǒng)安全管理：在b）的基礎(chǔ)上，應(yīng)對應(yīng)用軟件的使用采取授權(quán)、標(biāo)記管理制度；未授權(quán)用戶不得安裝、調(diào)試、運行、卸載應(yīng)用軟件，并對應(yīng)用軟件的使用進(jìn)行審計；
應(yīng)定期或不定期對應(yīng)用系統(tǒng)的安全性進(jìn)行評估，并根據(jù)應(yīng)用系統(tǒng)的變更或風(fēng)險變化提交正式的評估報告，提出安全建議，修訂、完善有關(guān)安全管理制度和規(guī)程；應(yīng)用系統(tǒng)的開發(fā)人員不得從事應(yīng)用系統(tǒng)日常運行和安全審計工作；操作系統(tǒng)的管理人員不得參與應(yīng)用系統(tǒng)的安全配置管理和應(yīng)用管理；
d） 基于強(qiáng)制的應(yīng)用系統(tǒng)安全管理：在c）的基礎(chǔ)上，要求建立獨立的應(yīng)用安全審計，對應(yīng)用系統(tǒng)的總體安全策略、應(yīng)用系統(tǒng)安全措施的設(shè)計、部署、維護(hù)和運行管理進(jìn)行檢查；審計人員僅實施審計工作，不參與系統(tǒng)的其它任務(wù)，確保授權(quán)用戶范圍內(nèi)的使用，防止信息的泄漏；
e） 基于專控的應(yīng)用系統(tǒng)安全管理：在d）的基礎(chǔ)上，應(yīng)對應(yīng)用系統(tǒng)的安全狀態(tài)實施周期更短的審計、檢查和操作過程監(jiān)督，并保證對應(yīng)用系統(tǒng)的安全措施能適應(yīng)安全環(huán)境的變化；應(yīng)與應(yīng)用系統(tǒng)主管部門共同制定專項安全措施。


5.5.5.6 病毒防護(hù)管理要求

對病毒防護(hù)管理，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 病毒防護(hù)管理基本要求：通過正式授權(quán)程序?qū)Σ《痉雷o(hù)委派專人負(fù)責(zé)檢查網(wǎng)絡(luò)和主機(jī)的病毒檢測并保存記錄；使用外部移動存儲設(shè)備之前應(yīng)進(jìn)行病毒檢查；要求從不信任網(wǎng)絡(luò)上所接收的文件或郵件，在使用前應(yīng)首先檢查是否有病毒；及時升級防病毒軟件；定期進(jìn)行總結(jié)匯報病毒安全狀況；
b） 基于制度化的病毒防護(hù)管理，在a）的基礎(chǔ)上，制定并執(zhí)行病毒防護(hù)系統(tǒng)使用管理、應(yīng)用軟件使用授權(quán)安全管理等有關(guān)制度；應(yīng)檢查網(wǎng)絡(luò)內(nèi)計算機(jī)病毒庫的升級情況并進(jìn)行記錄；對非在線, 的內(nèi)部計算機(jī)設(shè)備及其它移動存儲設(shè)備，以及外來或新增計算機(jī)做到入網(wǎng)前進(jìn)行殺毒和補(bǔ)丁檢測；
c） 基于集中實施的病毒防護(hù)管理：在b）的基礎(chǔ)上，實行整體網(wǎng)絡(luò)統(tǒng)一策略、定期統(tǒng)一升級、統(tǒng)一控制，緊急情況下增加升級次數(shù)；對檢測或截獲的各種高風(fēng)險病毒進(jìn)行及時分析處理，提供相應(yīng)的報表和總結(jié)匯報；采取對系統(tǒng)所有終端有效防范病毒或惡意代碼引入的措施；
d） 基于監(jiān)督檢查的病毒防護(hù)管理：在c）的基礎(chǔ)上，針對病毒防護(hù)管理制度執(zhí)行情況，以及病毒防護(hù)的安全情況，進(jìn)行定期或不定期檢查。


5.5.5.7 密碼管理要求

對密碼管理，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 密碼算法和密鑰管理：應(yīng)按國家密碼主管部門的規(guī)定，對信息系統(tǒng)中使用的密碼算法和密鑰進(jìn)行管理；應(yīng)按國家有關(guān)法律法規(guī)要求，對信息系統(tǒng)中包含密碼的軟、硬件信息處理模塊的進(jìn)、出口進(jìn)行管理；應(yīng)按國家密碼主管部門的規(guī)定，對密碼算法和密鑰實施分等級管理；
b） 以密碼為基礎(chǔ)的安全機(jī)制的管理：在a）的基礎(chǔ)上，應(yīng)對信息系統(tǒng)中以密碼為基礎(chǔ)的安全機(jī)制實施分等級管理。


5.5.6 安全集中管理

5.5.6.1 安全機(jī)制集中控管

對安全機(jī)制集中控管，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 安全機(jī)制集中控管基本要求：能夠?qū)π畔⑾到y(tǒng)所涉及的計算機(jī)、網(wǎng)絡(luò)以及應(yīng)用系統(tǒng)的安全機(jī)制實施統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計、協(xié)同防護(hù)，發(fā)揮安全機(jī)制的整體作用，提高安全防護(hù)的等級和水平，主要包括：
——建立一體化和開放性平臺，將多家不同類型的安全產(chǎn)品整合到一起，進(jìn)行統(tǒng)一的管理配置和監(jiān)控；能夠提供標(biāo)準(zhǔn)的接口，兼容所在信息系統(tǒng)的不同廠商產(chǎn)品的管理、訪問和連接問題，使第三方產(chǎn)品能夠整合到系統(tǒng)中；
——根據(jù)安全策略生成的安全規(guī)則，提供整個信息系統(tǒng)安全策略的統(tǒng)一管理和實施，具備對被管安全設(shè)施的配置/性能/故障等基本的管理功能，具備對安全資源(安全補(bǔ)丁/攻擊模式庫/安全策略等)管理能力，集中管理和審計能力；
——安全機(jī)制整合主要包括安全事件管理、風(fēng)險管理以及安全策略管理；
b） 安全機(jī)制分層分級聯(lián)和控管：在a）的基礎(chǔ)上，根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)，按照分布式多層次的管理結(jié)構(gòu)，進(jìn)行分層分級聯(lián)合方式的集中安全管理。


5.5.6.2 安全信息集中管理

對安全信息的集中管理，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 安全信息集中管理的基本要求：主要包括：
——將信息系統(tǒng)所涉及的計算機(jī)、網(wǎng)絡(luò)以及應(yīng)用系統(tǒng)的安全信息實施統(tǒng)一管理、綜合分析，發(fā)揮安全信息的整體作用；
——具有集中分析、瀏覽和匯集存儲從各安全組件傳送來的經(jīng)初步處理過的安全數(shù)據(jù)的功能，提供可視化報表和安全事件分析過程，以及安全事件的管理與輔助分析機(jī)制；
b） 對關(guān)鍵區(qū)域安全信息的集中管理：在a）的基礎(chǔ)上，通過對關(guān)鍵區(qū)域安全信息的集中管理，應(yīng)能夠?qū)﹃P(guān)鍵區(qū)域的安全信息的處理，采用相應(yīng)安全級別的訪問控制和保護(hù)措施；
c） 對核心區(qū)域安全信息的集中管理：在b）的基礎(chǔ)上，應(yīng)根據(jù)核心區(qū)域安全信息的需要，通過對安全信息的集中管理，與有關(guān)主管部門共同制定專項的安全控制和保護(hù)措施。