等级保护安全运维管理三级通用测评项要求解读.docx
《等级保护安全运维管理三级通用测评项要求解读.docx》由会员分享,可在线阅读,更多相关《等级保护安全运维管理三级通用测评项要求解读.docx(12页珍藏版)》请在冰豆网上搜索。
等级保护安全运维管理三级通用测评项要求解读
安全运维管理
安全运维管理是在指等级保护对象建设完成投入运行之后,对系统实施的有效、完善的维护管理,是保证系统运行阶段安全的基础。
安全运维管理对安全运维过程提出了安全控制要求,涉及的控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等。
1环境管理
环境管理包括对机房和办公环境的管理。
一般来说,等级保护对象使用的硬件设备,例如网络设备、安全设备、服务器设备、存储设备和存储介质、供电和通信用线缆等,都放置在机房内,因此,应确保机房运行环境的良好、安全。
同时,工作人员办公可能涉及一些敏感信息或关键数据,所以,应对办公环境安全进行严格的管理和控制。
1.1应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理
机房是存放等级保护对象基础设施的重要场所。
应落实机房环境的管理责任人,对机房环境进行严格的管理和控制,确保机房运行环境的良好、安全。
1.2应建立机房安全管理制度,对有关物理访问、物品带进出和环境安全等方面的管理作出规定
为保证系统有一个良好、安全的运行环境,应针对机房制定相应的管理规定或要求。
1.3应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等
加强对内部办公环境的管理是控制网络安全风险的措施之一。
为保证内部办公环境的独立性、敏感性,应降低外部人员无意或有意访问内部区域的可能性,同时杜绝内部员工因无意的行为泄露敏感文档而导致网络安全事件的发生。
2资产管理
等级保护对象的资产包括各种硬件设备(例如网络设备、安全设备、服务器设备、操作终端、存储设备和存储介质、供电和通信用线缆等)、各种软件(例如操作系统、数据库管理系统、应用系统等)、各种数据(例如配置数据、业务数据、备份数据等)和各种文件等。
由于等级保护对象的资产种类较多,所以必须对所有资产实施有效的管理,以确保资产可以被识别,并能够按照其自身重要程度得到有效的保护。
2.1应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容
等级保护对象的资产种类较多。
如果资产管理比较混乱,就容易导致等级保护对象发生安全问题或不利在于发生安全问题时采取有效的应急措施。
2.2应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施
重要程度不同的信息资产,在系统中起的作用不同。
应综合考虑资产的价值及其在系统中的地位、作用等因素,按照重要程度的不同对资产进行分类、分级管理。
分类的原则应在相关文档中进行明确,且需明确重要资产和非重要资产在资产管理环节(例如入库、维修、出库)的不同要求。
2.3应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理
信息作为资产的一种,可根据其所属类别和重要程度的不同进行梳理和分类,一般可分为敏感、内部公开、对外公开等类别。
不同类别的信息在使用、传输和存储等方面的管理要求也应不同。
3介质管理
数据存储介质主要包括磁带、磁盘、光盘、(从设备内拆簿下来的)硬盘、移动硬盘、u盘、纸介质等。
存储介质是用来存放与系统相关的数据的,如果不能妥善保存和管理,就可能造成数据的丢失与损坏。
因此,要加强介质管理,对介质的存放、使用、传输、维护、销毁等操作进行严格的控制。
3.1应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点
介质类型包括纸介质、磁介质、光介质等。
由于存储介质是用来存放与系统相关的数据的,所以介质管理工作非常重要,如果管理不善,就可能造成数据的丢失或损坏。
应为存储介质提供安全的存放环境并进行妥善的管控。
3.2应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录
若系统中存在离线的备份存储介质,则应对其进行管控。
例如,在对介质进行两地传输时,应遵循相应的管理要求,选择可靠的传送人员,并在打包交付过程中进行签字确认等。
4设备维护管理
等级保护对象使用的硬件设备包括网络设备、安全设备、服务器设备、存储设备和存储介质、供电和通信用线缆等。
系统的正常运行依赖于对这些设备的正确使用和维护。
为保证这些设备的正常运行,操作人员必须严格按照操作规程进行使用和维护,并认真做好使用和维护记录。
4.1应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理
对设备进行有效的维护管理,在一定程度上可以降低系统发生安全问题的概率。
应明确设备维护管理的责任部门或人员0
4.2应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等
系统的正常运行依赖于对设备的正确使用和维护。
为了保证对设备的正确使用和维护,应建立相应的管理规定或要求。
相关人员必须严格按照管理规定或要求对设备进行使用和维护,并认真做好使用和维护记录。
4.3信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据应加密
信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据应加密。
4.4含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被恢复重用
存储介质在报废或重用时容易引起敏感信息的泄露,因此应采取相应的处理措施。
5漏洞和风险管理
漏洞和隐患会给等级保护对象造成安全风险,因此,需要采取必要的措施进行识别和评估,及时修补发现的漏洞和隐患,确保等级保护对象安全、稳定运行
5.1应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补
安全漏洞和隐患是安全问题的主要根源,因此,应采取有效措施及时识别系统中的漏洞和隐患,并根据评估的情况对识别出来的漏洞和隐患进行修补。
5.2应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题
定期开展安全测评工作,有利于及时发现系统中潜在的安全问题。
安全测评的形式不限于风险评估、等级测评,只要是对系统进行全面测试评估的方法都可以。
6网络和系统安全管理
网络和系统的安全状况直接关系到等级保护对象能否正常运行。
网络和系统安全管理涉及安全策略管理、操作账户管理、角色权限管理、配置参数管理、升级变更管理、日常操作管理、设备接入管理、运维日志管理等方面。
6.1应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限
如果没有明确的责任和权限要求,就容易发生渎职事件。
因此,应对管理员职责进行明确的划分并进行岗位职责定义。
6.2应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制
账户管理应由专门的部门或人员负责,并对账户的全生命周期进行管控
6.3应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定
如果对系统和网络安全管理缺乏规范性指导或规范性指导规定不一致,就容易导致人员渎职或不作为。
因此,应针对网络和系统安全建立相应的管理策略和规程类管理要求。
6.4应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等
配置规范和配置基线是保障等级保护对象安全运行的基本前提。
应对设备的配置和操作建立配置规范和配置基线
6.5应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容
运维操作日志缺失不利于安全事件的回溯或追踪。
因此,应对日常运维操作进行详细的记录。
6.6应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为
如果没有明确的职责要求,就容易引起人员渎职或不作为。
因此,应指定专人负责对日志、监测和报警数据等进行分析和统计
6.7应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库
变更管理不当极易引发安全问题。
对运维过程中的变更操作需严格控制,在变更前审批,在变更过程中保留痕迹,在变更后更新变更内容。
6.8应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据
IT运维工具既包括专用的商业运维工具,也包括自行开发的运维工具。
无论使用哪种工具,都需要进行严格的管控。
6.9应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道
远程运维是系统安全隐患之一,如果控制不当,就容易引发安全事件。
因此,应对远程运维的开通进行严格的控制。
如果确实需要开通远程运维,则应对操作过程日志进行留存并保证其不可更改,运维结束后应立即关闭远程运维。
6.10应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为
对所有外部连接进行管控,并定期对违规外连行为进行检查。
7恶意代码防范管理
恶意代码对等级保护对象的危害极大,传播途径和方式众多,防范比较困难。
因此,不仅需要通过安装专用工具进行恶意代码防范,还需要加强宣贯,提高用户的恶意代码防范意识,建立完善的恶意代码防范管理制度并进行有效的落实。
7.1应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等
恶意代码对等级保护对象的危害极大,且传播途径和方式众多,因此,提升所有用户的防恶意代码意识是规避恶意代码的基本途径。
防范恶意代码需要安装防恶意代码工具。
为有效预防恶意代码的入侵,除了提高用户的防恶意代码意识,还应建立完善的恶意代码管理制度并有效实施。
7.2应定期验证防范恶意代码攻击的技术措施的有效性
防范恶意代码攻击的技术措施,最常见的是安装防恶意代码软件。
该类措施的有效性保障就是定期升级恶意代码库,并对检测到的恶意代码进行分析。
另外,采用可信计算技术也可以防范恶意代码攻击(需定期验证可信计算技术的有效性)。
8配置管理
等级保护对象配置数据的准确性关系到系统能否正常、稳定、安全地运行。
对于系统配置信息,需要进行记录和保存;对于配置信息的变更,需要进行严格的管控。
8.1应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等
系统配置信息的准确性是系统正常、安全运行的有效保障。
因此,应对系统的基本信息进行及时、有效的记录和保存。
8.2应将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库
配置信息及时同步是配置管理流程的重要环节。
由于此项与变更管理、网络和系统管理中的相关要求项类似,所以应关注这些方面的信息是否一致。
9密码管理
密码技术是保证信息保密性和完整性的重要技术。
为保证密码技术使用过程的安全,在遵循相关国家标准和行业标准的基础上,应对涉及的产品、设备和密码加强管理。
9.1应遵循密码相关国家标准和行业标准
密码的生产需要授权许可。
密码产品应符合国家和行业的相关标准。
9.2应使用国家密码管理主管部门认证核准的密码技术和产品
系统使用的密码产品要有国家密码主管部门核发的相关型号证书。
10变更管理
等级保护对象在运行过程中会面临各种各样的变更操作。
如果没有对变更过程进行有效的管理和控制,就会给等级保护对象带来重大的安全风险°因此,需要对变更操作实施全程管控,做到各项变更内容有章可循、有案可查,遇到问题有路可退,确保变更操作不给系统带来安全风险。
10.1应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施
变更管理受控是减少系统变更所导致的安全问题的有效手段。
因此,要对变更策略进行明确的规定,并对变更流程进行全程管控
10.2应建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程
在执行变更操作时,应遵循变更管控的相关控制程序,约束变更过程,并进行有效的记录。
10.3应建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练
变更失败恢复程序一般会在变更方案中予以明确。
变更方案用于描述变更过程中的操作,重要的是明确了变更失败后的恢复操作
11备份与恢复管理
数据备份是保障等级保护对象在发生数据丢失或数据被破坏时恢复业务正常运行的重要措施。
对等级保护对象的重要业务信息、系统数据、配置信息、软件程序等,需要制定明确的数据备份策略,定期开展备份操作,并针对备份文件的有效性进行恢复性测试和验证
11.1应识别需要定期备份的重要业务信息、系统数据及软件系统等
对需要备份的信息进行识别,并制定相应的备份策略
11.2应规定备份信息的备份方式、备份频度、存储介质、保存期等
对需要备份的信息制定相应的备份策略,例如备份方式、备份频度、存储介质等
11.3应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等
数据备份策略是指根据数据性质的不同选择不同的备份内容、备份方式等。
数据恢复策略是指在因各种事件导致数据丢失时利用介质中的备份数据进行恢复的方法和操作。
12安全事件处置
在等级保护对象的运行过程中会出现很多安全事件。
需要对所有安全事件进行分类、分级,并为不同类型、不同级别的安全事件制定相应的响应流程,使安全事件能够得到及时、有效的处置,确保等级保护对象安全、稳定运行。
12.1应及时向安全管理部门报告所发现的安全弱点和可疑事件
如果发现系统中有潜在的弱点和可疑事件,则应及时向安全主管部门汇报,并提交相应的报告或信息。
12.2应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等
安全事件的分类分级标准再参考GB/T20986—2007《信息安全技术信息安全事件分类分级指南》。
12.3应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训
应对安全事件报告和响应处理过程进行详细的记录,并对事件发生的原因进行分析和总结。
12.4对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序
应对不同的安全事件制定不同的处理和报告程序。
13应急预案管理
为了有效处理等级保护对象运行过程中可能发生的重大安全事件,需要在统一的框架下制定针对不同安全事件的应急预案,根据应急预案的内容对涉及的人员进行培训、演练,并根据等级保护对象的变化情况和安全策略的调整结果进行应急预案的评估、修订与完善。
13.1应规定统一的应急预案框架,包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容
应急预案框架通常是单位总体应急预案管理的顶层文件,明确了应急组织构成、人员职责、应急预案启动条件、响应、后期处置、应急预案日常管理、应急资源保障等内容,与各类网络安全事件专项应急预案共同构成应急预案体系。
13.2应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容
对重要事件制定专项应急预案,并对应急处理流程、系统恢复流程进行明确的定义。
13.3应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练
应急预案培训和演练是应急处理的重要环节。
应定期组织相关人员进行培训和演练,以保证单位具有及瞪、有效处理应急事件的能力。
13.4应定期对原有的应急预案重新评估,修订完善。
应根据每次应急演练的情况,对应急预案进行重新评估和修订。
14外包运维管理
运维工作在等级保护对象生命周期中的持续时间最长,直接关系到系统能否安全、稳定运行。
委托外部服务商执行运维工作的单位,要严格管控外包运维服务商的选择工作,在服务协议中明确外包运维服务商的能力、工作范围和工作内容等。
14.1应确保外包运维服务商的选择符合国家的有关规定
外包运维服务商应满足国家相关主管部门的规定和要求,以证明其具有相应的服务能力。
14.2应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容
外包运维服务商提供的服务内容应在相关协议中予以明确。
14.3应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确
外包运维服务商应具有按照等级保护要求开展运维工作的能力,这意味着外包运维服务商应能提供以往根据等级保护要求开展运维工作的实例
在选择外包运维服务商时,应重点考虑运维人员具备等级保护相关运维能力的(例如进行过等级保护相关培训的)o
14.4应在与外包运维服务商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。
应在与外包运维服务商签订的协议中明确相关网络安全要求,以确保单位和外包运维服务商在双方要履行的网络安全相关义务方面不存在误解和分歧。
可能的网络安全要求包括可以访问的信息类型和访问方法、权限分配、数据保护、网络安全培训等。
升级会员 