张亲的技术博客
  • 已删除用户

菜单

Administrator
发布于 2023-06-15 / 2 阅读
0

等保三级之安全管理

安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理 都属于安全管理范畴,重点关注各项安全制度的制定和执行,这里的安全制度不仅仅是在宏观方面,比如也包含:需求变更流程、人员的录用/离岗、存储介质的管理等。关注群体主要为公司领导、产研负责人、行政负责人等。

一、安全管理中心

1.1 系统管理

  1. 【安全管理】应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;

  2. 【安全管理】应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、 系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

1.2 审计管理

  1. 【安全管理】应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;

  2. 【安全管理】应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略 对审计记录进行存储、管理和查询等。

1.3 安全管理

  1. 【安全管理】应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;

  2. 【安全管理】应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统 一安全标记,对主体进行授权,配置可信验证策略等。

1.4 集中管控

  1. 【安全管理】应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;

  2. 【安全管理】应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;

  3. 【安全管理】应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;(高风险项)

  4. 【安全管理】应对分散在各个设备上的审计数据进行收集汇总和集中分析,审计记录的留存时间应符合法律法规要求:(高风险项)

  5. 【安全管理】应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;

  6. 【安全管理】应能对网络中发生的各类安全事件进行识别、报警和分析;(高风险项)

二、安全管理制度

2.1 安全策略

  1. 【安全管理】应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。

2.2 管理制度

  1. 【安全管理】应对安全管理活动中的各类管理内容建立安全管理制度;(高风险项)

  2. 【安全管理】应对管理人员或操作人员执行的日常管理操作建立操作规程;

  3. 【安全管理】应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。

2.3 制定和发布

  1. 【安全管理】应指定或授权专门的部门或人员负责安全管理制度的制定;

  2. 【安全管理】安全管理制度应通过正式、有效的方式发布,并进行版本控制。

2.4 评审和修订

  1. 【安全管理】应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。

三、安全管理机构

3.1 岗位设置

  1. 【安全管理】应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权;(高风险项)

  2. 【安全管理】应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;

  3. 【安全管理】应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。

3.2 人员配备

  1. 【安全管理】应配备一定数量的系统管理员、审计管理员和安全管理员等;

  2. 【安全管理】应配备专职安全管理员,不可兼任。

3.3 授权和审批

  1. 【安全管理】应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;

  2. 【安全管理】应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;

  3. 【安全管理】应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。

4.4 沟通和合作

  1. 【安全管理】应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题;

  2. 【安全管理】应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通;

  3. 【安全管理】应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。

3.5 审核和检查

  1. 【安全管理】应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;

  2. 【安全管理】应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;

  3. 【安全管理】应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。

四、安全管理人员

4.1 人员录用

  1. 【安全管理】应指定或授权专门的部门或人员负责人员录用;

  2. 【安全管理】应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核;

  3. 【安全管理】应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议;

4.2 人员离岗

  1. 【安全管理】应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;

  2. 【安全管理】应办理严格的调离手续,并承诺调离后的保密义务后方可离开。

4.3 安全意识教育和培训

  1. 【安全管理】应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施;(高风险项)

  2. 【安全管理】应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训;

  3. 【安全管理】应定期对不同岗位的人员进行技能考核。

4.4 外部人员访问管理

  1. 【安全管理】应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;

  2. 【安全管理】应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案;(高风险项)

  3. 【安全管理】外部人员离场后应及时清除其所有的访问权限;

  4. 【安全管理】获得系统访问授权的外部人员应签署保密协议,不应进行非授权操作,不应复制和泄露任何敏感信息。

无、安全建设管理

5.1 定级和备案

  1. 【安全管理】应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由;

  2. 【安全管理】应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;

  3. 【安全管理】定级结果应经过相关部门的批准;

  4. 【安全管理】应将备案材料报主管部门和相应公安机关备案。

5.2 安全方案设计

  1. 【安全管理】应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;

  2. 【安全管理】应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件;

  3. 【安全管理】应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和 审定,经过批准后才能正式实施。

5.3 产品采购和使用

  1. 【安全管理】网络安全产品采购和使用应符合国家主管部门的相关要求;(高风险项)

  2. 【安全管理】密码产品与服务的采购和使用应符合国家密码管理主管部门的要求;

  3. 【安全管理】应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。

5.4 自行软件开发

  1. 【安全管理】应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制;

  2. 【安全管理】应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;

  3. 【安全管理】应制定代码编写安全规范,要求开发人员参照规范编写代码;

  4. 【安全管理】应具备软件设计的相关文档和使用指南,并对文档使用进行控制;

  5. 【安全管理】在软件开发过程中应对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测;

  6. 【安全管理】应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制;

  7. 【安全管理】开发人员应为专职人员,开发人员的开发活动应受到控制、监视和审查。

5.5 外包软件开发

  1. 【安全管理】应在软件交付前检测其中可能存在的恶意代码;

  2. 【安全管理】开发单位应提供软件设计文档和使用指南;

  3. 【安全管理】开发单位应提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。(高风险项)

5.6 工程实施

  1. 【安全管理】应指定或授权专门的部门或人员负责工程实施过程的管理;

  2. 【安全管理】应制定安全工程实施方案控制工程实施过程;

  3. 【安全管理】应通过第三方工程监理控制项目的实施过程。

5.7 测试验收

  1. 【安全管理】应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告;

  2. 【安全管理】应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。(高风险项)

5.8 系统交付

  1. 【安全管理】应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;

  2. 【安全管理】应对负责运行维护的技术人员进行相应的技能培训;

  3. 【安全管理】应提供建设过程文档和运行维护文档。

5.9 等级测评

  1. 【安全管理】应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改;

  2. 【安全管理】应在发生重大变更或级别发生变化时进行等级测评;

  3. 【安全管理】测评机构的选择应符合 国家主管部门的相关要求。

5.10 服务供应商选择

  1. 【安全管理】服务供应商的选择应符合国家主管部门的相关要求;

  2. 【安全管理】应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务;

  3. 【安全管理】应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。

六、安全运维管理

6.1 环境管理

  1. 【安全管理】应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理;

  2. 【安全管理】应建立机房安全管理制度,对有关物理访问、物品进出和环境安全等方面的管理作出规定;

  3. 【安全管理】不应在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等;

6.2 资产管理

  1. 【安全管理】应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;

  2. 【安全管理】应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;

  3. 【安全管理】应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理;

6.3 介质管理

  1. 【安全管理】应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据 存档介质的目录清单定期盘点;

  2. 【安全管理】应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录;

6.4 设备维护管理

  1. 【安全管理】对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;

  2. 【安全管理】应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效管理,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等;

  3. 【安全管理】信息处理设备必须经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据必须加密;

  4. 【安全管理】含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被恢复重用;

6.5 漏洞和风险管理

  1. 【安全管理】应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的 影响后进行修补;

  2. 【安全管理】应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题;

6.6 网络和系统安全管理

  1. 【安全管理】应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限;

  2. 【安全管理】应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制;

  3. 【安全管理】应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定;

  4. 【安全管理】应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等;

  5. 【安全管理】应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容;

  6. 【安全管理】应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为;

  7. 【安全管理】应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库;

  8. 【安全管理】应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据;(高风险项)

  9. 【安全管理】应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道;

  10. 【安全管理】所有与外部的连接均应得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为;应每月至少检查一次违反网络安全策略的行为。(高风险项)

6.7 恶意代码防范管理

  1. 【安全管理】应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等;(高风险项)

  2. 【安全管理】应定期验证防范恶意代码攻击的技术措施的有效性;

6.8 配置管理

  1. 【安全管理】应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等;

  2. 【安全管理】应将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库;

6.9 密码管理

  1. 【安全管理】应遵循密码相关的国家标准和行业标准;

  2. 【安全管理】应使用国家密码管理主管部门认证核准的密码技术和产品;

6.10 变更管理

  1. 【安全管理】应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施;(高风险项)

  2. 【安全管理】应建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程;

  3. 【安全管理】应建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练;

6.11 备份与恢复管理

  1. 【安全管理】应识别需要定期备份的重要业务信息、系统数据及软件系统等;

  2. 【安全管理】应规定备份信息的备份方式、备份频度、存储介质、保存期等;

  3. 【安全管理】应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等;(高风险项)

6.12 安全事件处置

  1. 【安全管理】应及时向安全管理部门报告所发现的安全弱点和可疑事件;

  2. 【安全管理】应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等;

  3. 【安全管理】应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训;

  4. 【安全管理】对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序;

6.13 应急预案管理

  1. 【安全管理】应规定统一的应急预案框架,包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容;

  2. 【安全管理】应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;(高风险项)

  3. 【安全管理】应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练;(高风险项)

  4. 【安全管理】应定期对原有的应急预案重新评估,修订完善;

6.14 外包运维管理

  1. 【安全管理】外包运维服务商的选择应符合国家主管部门的相关要求;

  2. 【安全管理】应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容;

  3. 【安全管理】外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力,并将 能力要求在签订的协议中明确;

  4. 【安全管理】应在与外包运维服务商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对 IT 基础设施中断服务的应急保障要求等;

MQTT 性能测试之 mqtt-j...
等保三级之数据库安全