久久久亚洲精品成人,色五月丁香六月欧美综合,午夜影视啪啪免费体验区,噜噜综合亚洲AV中文无码

安全資訊

等級保護測評:系統(tǒng)運維管理

本篇為管理要求中系統(tǒng)運維管理的部分,等級保護中內(nèi)容最多的一個章節(jié)。文中內(nèi)容都是個人觀點,如有不對的地方歡迎糾正。文章以等保三級系統(tǒng)為基礎(chǔ),從合規(guī)角度解讀要求。

正文

本部分內(nèi)容有些地方看起來可能會和技術(shù)要求差不多,但是從管理和流程方面來約束的,主要考察管理制度的運行情況。本部分內(nèi)容較長,建議各位分段看,全部閱讀起來可能會需要較長時間。

7.2.5 系統(tǒng)運維管理

7.2.5 系統(tǒng)運維管理
7.2.5.1 **環(huán)境管理(G3)

**a) 應指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理;**b) 應指定部門負責機房安全,并配備機房安全管理人員,對機房的出入、服務器的開機或關(guān)機等工作進行管理;**c) 應建立機房安全管理制度,對有關(guān)機房物理訪問,物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定;**d) 應加強對辦公環(huán)境的保密性管理,規(guī)范辦公環(huán)境人員行為,包括工作人員調(diào)離辦公室應立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、 工作人員離開座位應確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等。** |

這里又把物理安全的內(nèi)容重新提了一遍,但重點是管理而非技術(shù)。

a) 機房的日常巡檢,一般是每日,也可以是三日,最多不能超過一周,不然有些說不過去;這類工作大部分是由運維來負責,除了設(shè)備狀況和信息告警這類常規(guī)檢查外,環(huán)境和設(shè)施也要檢查,比如溫濕度是不是在合理范圍內(nèi)、滅火系統(tǒng)的壓力表是否正常(對于指針位于紅色區(qū)域的滅火器材要及時更換)、強電設(shè)備及UPS運行狀況有無異常、機房內(nèi)有無凝露的情況等等。并且要有巡檢的記錄和巡檢人簽名。

b) 本條要求一般只要不是配線間級別的機房都會做得差不多,可能有些企業(yè)不會去做各種訪問記錄、操作記錄,但檢查時看的就是這些記錄文檔;從管理角度來看,這些基礎(chǔ)的工作還是要做起來的,不能偷懶。

c) 小企業(yè)可能沒有機房制度或者太簡單,大中型企業(yè)一般都有,這類制度目前大同小異,都是模板式的文檔,可以根據(jù)自身情況修改一下,做成宣傳板掛到機房或管理室的墻上。

d) 這里是一些安全意識細節(jié),也是不好管理的點,畢竟制度和要求可以有,具體能執(zhí)行的如何沒辦法有效控制。本條只是舉了幾個例子,其實目前不是檢查,而是督促企業(yè)加強安全意識教育和宣傳,不要因為缺少相關(guān)意識給企業(yè)帶來損失,不只是資金上,大公司還有企業(yè)形象層面的社會影響。

這里提的就是離職人員,一定要第一時間收回各種權(quán)限,門禁、鑰匙之類物品;工作設(shè)備不用時要手動鎖屏,或設(shè)置自動鎖屏;關(guān)鍵區(qū)域外人及無關(guān)人員不得訪問;敏感類資料不要直接放在桌面,紙質(zhì)材料不能隨便至于辦公桌,會議討論的方案或系統(tǒng)架構(gòu)類的信息要及時清除(在白板上臨時寫的一些內(nèi)容)。

這類細節(jié)其實很多,標準不可能窮舉。

7.2.5 系統(tǒng)運維管理
**7.2.5.2 資產(chǎn)管理(G3)

a) 應編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容;**b) 應建立資產(chǎn)安全管理制度,規(guī)定信息系統(tǒng)資產(chǎn)管理的責任人員或責任部門,并規(guī)范資產(chǎn)管理和使用的行為;**c) 應根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理,根據(jù)資產(chǎn)的價值選擇相應的管理措施;**d) 應對信息分類與標識方法作出規(guī)定,并對信息的使用、傳輸和存儲等進行規(guī)范化管理。 |

資產(chǎn)管理一直都是大事,但一直不被重視,大多數(shù)公司摸不清自己的家底,存在邊緣資產(chǎn)。這種情況無論是管理還是安全層面都是潛在風險,等被人搞了才知道原來自己還有這么個東西在網(wǎng)絡(luò)中。

a) 由于標準比較老,這里提的還是紙質(zhì)的資產(chǎn)列表清單,當前來看基本都是電子清單或者是資產(chǎn)統(tǒng)一管理平臺。建議如果有預算還是上一套資產(chǎn)管理系統(tǒng),若是沒錢,那就辛苦點進行資產(chǎn)梳理,盡可能避免存在邊緣未知資產(chǎn)。這里其實對于自己的東西還好(接觸過一個CIO,下邊每個員工的鼠標鍵盤他都清楚,對資產(chǎn)管理非常重視,但是提到外包人員在企業(yè)內(nèi)部新建的資產(chǎn)清單情況,瞬間就心虛了),重點是第三方人員的管理,比如外包開發(fā)軟件,要利用企業(yè)資源搭建開發(fā)環(huán)境,測試環(huán)境,安服方面演練可能還會搭個靶場什么的,這幫人裝了多少個虛擬機,建了多少個數(shù)據(jù)庫,開了多少端口,哪些設(shè)備連了外網(wǎng),這些作為甲方坑內(nèi)不可能全都弄清楚,那么項目交付后,這些臨時的資產(chǎn)(硬件、軟件、信息類)是否全部下線或卸載,以我的實際經(jīng)歷來看,大多安全主管、運維主管都不清楚,CIO就更不知道了。所以,這里建議由系統(tǒng)去自動發(fā)現(xiàn)和管理資產(chǎn),盡可能減少人為低級別工作的參與度。

b) 有了上述的資產(chǎn)管理系統(tǒng),制度就相對沒那么重要了,但不代表沒用,要約束一些基本原則和流程。

c) 資產(chǎn)梳理清晰之后,就要進行分類分級了,和數(shù)據(jù)類似,有高中低之分,目的是明確哪些是關(guān)鍵資產(chǎn),重點保護,出現(xiàn)問題時要優(yōu)先處理;對于硬件資產(chǎn)要粘貼不易撕除的標簽,說明資產(chǎn)類別、編號、SN號等信息,檢查時候會看。

d) 本條其實應該在c前邊,對于資產(chǎn)分類分級的依據(jù)說明,有點像應急預案中的安全事件等級定義;此外后邊還提到了對信息的訪問權(quán)限、傳輸和存儲管理,可以歸為數(shù)據(jù)治理范疇,本人沒有深入接觸,所以只能提一句。等級測評時,主要做到不用級別的數(shù)據(jù)有訪問權(quán)限設(shè)置,低級用戶訪問高級數(shù)據(jù)要提交申請,審批后才允許訪問,并對這個過程進行記錄(各種日志),敏感信息存儲要加密或?qū)I(yè)的防護措施,傳輸過程要對通信加密。一般能做到這幾點,本條的要求點也就基本滿足了。

7.2.5 系統(tǒng)運維管理
**7.2.5.3 介質(zhì)管理(G3)

a) 應建立介質(zhì)安全管理制度,對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定;**b) 應確保介質(zhì)存放在安全的環(huán)境中,對各類介質(zhì)進行控制和保護,并實行存儲環(huán)境專人管理;**c) 應對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制,對介質(zhì)歸檔和查詢等進行登記記錄,并根據(jù)存檔介質(zhì)的目錄清單定期盤點;**d) 應對存儲介質(zhì)的使用過程、送出維修以及銷毀等進行嚴格的管理,對帶出工作環(huán)境的存儲介質(zhì)進行內(nèi)容加密和監(jiān)控管理,對送出維修或銷毀的介質(zhì)應首先清除介質(zhì)中的敏感數(shù)據(jù),對保密性較高的存儲介質(zhì)未經(jīng)批準不得自行銷毀;**e) 應根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲,存儲地的環(huán)境要求和管理方法應與本地相同;**f) 應對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲,并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標識管理。 |

介質(zhì)管理在檢查中算是一個重點,但是很多企業(yè)做得都不太好,包括一些大型知名企業(yè),安全防護是做的不錯,但一到內(nèi)部管理流程就一塌糊涂。

a) 介質(zhì)管理制度一定要求,哪怕簡單的十幾行也可以;網(wǎng)上素材也有,參考一下結(jié)合企業(yè)實際情況進行可落地的制度修訂。

b) 介質(zhì)要有專門的存儲空間,可以是倉庫,可以是保密室、也可以是辦公室,只要你能保證存放在此空間的介質(zhì)得到有效保護就行,并且要制定專人管理(沒說不能兼職);一般我看到的多數(shù)就是一堆移動硬盤、U盤直接放某人的抽屜里(磁帶之類的一般還都有倉庫存放),或者放檔案柜里。別說保護了,就是當一堆辦公用品在管。不過換個角度來看,外人也不知道這些東西會涉密,感覺就是一堆垃圾隨便亂堆。

c) 這塊我接觸到的企業(yè)沒有做到的,要求介質(zhì)在運輸(物理傳輸太書面了)中要有相關(guān)要求和操作,保證數(shù)據(jù)安全;介質(zhì)也算資產(chǎn),包括里邊存儲的數(shù)據(jù),要盤點列入資產(chǎn)清單,存儲敏感信息的介質(zhì)使用和查看都要有審批和記錄。這點我印象比較深刻的好像是亞馬遜云的一個產(chǎn)品,好像叫Snowball,主要用于災備運輸,就是這玩意。

d) 本條就是對介質(zhì)使用、維修及銷毀的管理,對于環(huán)境外介質(zhì)使用的加密和監(jiān)控很難管理,這部分更多的還是建議制度和追責相結(jié)合,畢竟不是誰都有錢搞DLP的,而且企業(yè)越大DLP越難實施。至于送修可能不太可能,除非意外,沒做備份,介質(zhì)里的數(shù)據(jù)很重要,必須去做數(shù)據(jù)恢復,那么這又涉及到恢復人員可能讀取或竊取企業(yè)資料的問題,盡量避免這種情況發(fā)生。銷毀比較好說了,報廢的介質(zhì),盡可能徹底銷毀,不要叫給外部專業(yè)機構(gòu)去做,除非量特別大,一般可以給員工發(fā)個錘子,拿著一堆介質(zhì)去房間里發(fā)泄一下,尤其是研發(fā)同學(開玩笑)。測評時重點會看介質(zhì)管理制度,使用、維修、銷毀、外帶的約束,此外這些操作的記錄要有。

e) 就是異地場外備份,此外某些機密信息(非數(shù)據(jù)庫、用戶信息數(shù)據(jù))電子檔,要異地進行備份;后邊還提到了一句備份的方式和要求必須一致,不能異地備份有另外一套策略。

f) 在前邊幾條我已經(jīng)一起啰嗦出來了,什么DLP啊,資產(chǎn)分類分級??;如果難以實施,那么最起碼的介質(zhì)分類要做,這個不費時間,加密實在不行就用bitlocker,一人管理介質(zhì),一人管理密鑰(雖然不是很靠譜,但沒辦法窮嘛),或者買個保險柜專門保存介質(zhì),一人負責檔案室大門鑰匙管理,另一人負責保險箱密碼和鑰匙(不能都由一個人去管,容易出事)。這是最便宜的控制方式了,此外介質(zhì)上要有標簽。

7.2.5 系統(tǒng)運維管理
7.2.5.4 **設(shè)備管理(G3)

**a) 應對信息系統(tǒng)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門或人員定期進行維護管理;b) 應建立基于申報、審批和專人負責的設(shè)備安全管理制度,對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進行規(guī)范化管理;**c) 應建立配套設(shè)施、軟硬件維護方面的管理制度,對其維護進行有效的管理,包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監(jiān)督控制等;**d) 應對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理,按操作規(guī)程實現(xiàn)主要設(shè)備(包括備份和冗余設(shè)備)的啟動/停止、加電/斷電等操作;**e) 應確保信息處理設(shè)備必須經(jīng)過審批才能帶離機房或辦公地點。** |

偏運維的管理,包括的制度其實比較多,差不多每一條都要有一個對應的制度,而且,最特么煩的就是沒個制度都要跟一個流程,都要有過程記錄(可以是電子流程),這就很麻煩了,不過大企業(yè)標準流程就是這么搞的,真正跑起來之后其實也不錯。

a) 機房巡檢里包括這些內(nèi)容,具體分工各企業(yè)會有不同,可以在監(jiān)控平臺進行自動化巡檢,比當年省心多了。

b) 設(shè)備管理制度要求,信息類物品的采購要有規(guī)范,一般是采購部的事情,所以這塊的制度我沒有寫過。

c) 這部分和巡檢有重疊,定期巡檢查看設(shè)備狀況也算是維護的一個環(huán)節(jié),不過從后半句的描述來看,應該是指與供應商之間的設(shè)備維修、更換、升級一類的制度,可以簡單寫幾條。一般來說,企業(yè)申請設(shè)備維修或更換都會提審批,所以流程應該不會少,就看有沒有人管理這些記錄。;

d) IT部門員工操作規(guī)范/手冊,呵呵,大多企業(yè)都沒有,不過也不算重點項,有最好,沒有也無妨,如果人手夠,事情不太多,可以試著做一下,好處也是有的,記得要添加主要設(shè)備的啟動/停止、加電/斷電操作方法。

e) 這點對于當前的企業(yè)來說,我覺得是廢話,沒有誰會不打招呼直接把核心交換、防火墻或路由器拆走帶出去吧。如果真有,那這種公司我覺得就不要搞什么IT了,不適合。檢查時,一是看機房制度,二是看審批記錄。一般是設(shè)備維修或更換才會帶離機房。

另外在終端層面,做得好的公司都會有策略,確保外部辦公設(shè)備的保密性;做得不好的,壓根不擔心,因為那些東西丟了也無所謂。重點還是制度宣傳,追責和懲罰來約束。

7.2.5 系統(tǒng)運維管理
7.2.5.5 **監(jiān)控管理和安全管理中心(G3)

a) 應對通信線路、主機、網(wǎng)絡(luò)設(shè)備和應用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警,形成記錄并妥善保存;b) 應組織相關(guān)人員定期對監(jiān)測和報警記錄進行分析、評審,發(fā)現(xiàn)可疑行為,形成分析報告,并采取必要的應對措施;c) **應建立安全管理中心,對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關(guān)事項進行集中管理。 |

a) 網(wǎng)絡(luò)監(jiān)控平臺,對機房所有設(shè)備進行監(jiān)控,一般都會自帶報表生成功能;沒錢買,那就搞開源好了,也可以用,主要好安全防范,不要被當做突破口就好。

b) 流量分析、日志審計、態(tài)勢感知,配合做好應急預案,基本就差不多了,態(tài)勢感知可能有點扯,但是前兩個應該問題不大。

c) 部署漏洞管理平臺,HIDS,可以參考下安騎士的那些功能,很像這種防護軟件。如果沒預算,那最基本的把補丁管理做好,這塊測評時也說得過去。

7.2.5 系統(tǒng)運維管理
7.2.5.6 **網(wǎng)絡(luò)安全管理(G3)

**a) 應指定專人對網(wǎng)絡(luò)進行管理,負責運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作;b) 應建立網(wǎng)絡(luò)安全管理制度,對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定;**c) 應根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行更新,并在更新前對現(xiàn)有的重要文件進行備份;**d) 應定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描,對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補;**e) 應實現(xiàn)設(shè)備的最小服務配置,并對配置文件進行定期離線備份;**f) 應保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準;**g) 應依據(jù)安全策略允許或者拒絕便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入;**h) 應定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。 |

管理的東西比技術(shù)還多,全做到可能性不大,投入人力和時間太多。中小企業(yè)確實搞不起,可以選擇性來做,成熟后再逐步完善。

a) 指定網(wǎng)絡(luò)管理員(AB崗,不可與其他運維職位兼職),做好日常運維工作,做好巡檢記錄;

b) 已經(jīng)說的很明白了,制定一份網(wǎng)絡(luò)安全管理制度,包括配置管理(這里只提到了安全配置,其實網(wǎng)絡(luò)配置也要一起備份)、日志管理(6個月)、安全策略(根據(jù)實際情況來寫)、補丁管理(之前說的漏洞管理平臺)、密碼管理(一般3個月?lián)Q一次,8位以上,復雜度要求)。這只是為了應付檢查來寫的內(nèi)容,如果認真去搞安全運營,還會涉及其他內(nèi)容。

c) 及時更新設(shè)備版本,規(guī)則庫,后邊很良心的還提示了,升級前做好備份工作。

d) 同樣是補丁管理的一個環(huán)節(jié),定期漏掃已經(jīng)成為常態(tài),不再是問題了。

e) 最小化安裝原則,沒必要的服務和插件、軟件一律不裝,對于系統(tǒng)配置文件定期備份(建議不要超過一周),存儲到介質(zhì)或其他存儲設(shè)備。

f) 本條強調(diào)私自連接外網(wǎng)的情況,現(xiàn)在手機都可以開熱點,筆記本一聯(lián),防不勝防,考技術(shù)手段來防,策略設(shè)置比較復雜,增加額外成本,建議還是以思想教育為主,提高員工安全意識,這是最靠譜的。我說的有點引申了,其實測評主要考察的就是能夠訪問外網(wǎng)的設(shè)備,必須是經(jīng)過審批授權(quán)的。

g) 同f,加強安全意識,用懲罰來威懾。

h) 撥號上網(wǎng)具體指什么,這么多年一直沒有個明確的概念,個人感覺應該就是私自連接外網(wǎng)的行為吧,技術(shù)要求中提出要能夠檢測內(nèi)部設(shè)備私接外網(wǎng)的行為,技術(shù)層面可以做,但是費時費力費錢,從個人角度來看,說到底還是加強管理更靠譜一些。

7.2.5 系統(tǒng)運維管理
7.2.5.7 **系統(tǒng)安全管理(G3)

**a) 應根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略;**b) 應定期進行漏洞掃描,對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補;**c) 應安裝系統(tǒng)的最新補丁程序,在安裝系統(tǒng)補丁前,首先在測試環(huán)境中測試通過,并對重要文件進行備份后,方可實施系統(tǒng)補丁程序的安裝;**d) 應建立系統(tǒng)安全管理制度,對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定;**e) 應指定專人對系統(tǒng)進行管理,劃分系統(tǒng)管理員角色,明確各個角色的權(quán)限、責任和風險,權(quán)限設(shè)定應當遵循最小授權(quán)原則;**f) 應依據(jù)操作手冊對系統(tǒng)進行維護,詳細記錄操作日志,包括重要的日常操作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容,嚴禁進行未經(jīng)授權(quán)的操作;**g) 應定期對運行日志和審計數(shù)據(jù)進行分析,以便及時發(fā)現(xiàn)異常行為。 |

這里有點重復啰嗦了,不過也逐條說一下。

a) ACL運維層面都會去做,安全層面也會去做,最基本的劃好安全域,做好不同組別的邏輯隔離,不同權(quán)限的訪問限制,基本也就夠了,再細的東西要看實際情況。

bc) 漏掃不再重復了。

d) 主機層面的安全管理制度,和前面的網(wǎng)絡(luò)安全管理制度其實差不多,不再重敘。

e) 指定系統(tǒng)管理員(AB崗,不能兼職其他運維職位),要有崗位職責說明,注意做好權(quán)限分離,不要一個人擁有所有權(quán)限;系統(tǒng)同樣權(quán)限最小化原則。

f) 前邊說的操作手冊,來了吧,這里是檢查是否按照操作手冊去執(zhí)行,記錄有沒有做,對于違規(guī)操作有沒有懲罰和處置記錄。

g) 一般駐場人員會做這個事情,不過現(xiàn)在大多配備日志審計和安全設(shè)備,有問題會直接告警。如果這些設(shè)備都沒有,那要制定一個人定期查看這些日志,工作量較大。

7.2.5 系統(tǒng)運維管理
7.2.5.8 **惡意代碼防范管理(G3)

**a) 應提高所有用戶的防病毒意識,及時告知防病毒軟件版本,在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前,先進行病毒檢查,對外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應進行病毒檢查;**b) 應指定專人對網(wǎng)絡(luò)和主機進行惡意代碼檢測并保存檢測記錄;**c) 應對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定;**d) 應定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進行記錄,對主機防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險病毒或惡意代碼進行及時分析處理,并形成書面的報表和總結(jié)匯報。** |

本節(jié)主要講主機層面的殺軟和網(wǎng)絡(luò)層面的防病毒設(shè)備。

a) 這條講了2點。1注意這里提的是用戶,除了員工還包括你的用戶;這就有點難搞了,內(nèi)部人員可以培訓,外部人員可以在軟件使用幫助中加入安全意識提示標語或描述,或者在用戶協(xié)議、操作手冊中體現(xiàn)防毒意識的內(nèi)容。2對于新的病毒和漏洞,及時告知用戶。

b) 定期殺毒,記得留記錄,檢查時要看你有沒有做過全盤掃描,周期頻率多久;對于linux這類的系統(tǒng),有的單位裸跑,中招了手工處理,如果有這樣的團隊能搞定這事也可以,若不是,那你想好了現(xiàn)場怎么跟對方解釋。這里還隱含了一點,記住不要用破解版,你可以用免費版,但不能盜版,如果發(fā)現(xiàn)用盜版,本條直接就GG了。

c) 及時更新病毒庫和版本。

d) 前邊還好,殺軟本身都會記錄查殺過的病毒文件,但是對已發(fā)現(xiàn)的病毒進行分析和整理,并記錄匯總,這點做的其實不多,一般都是中招的病毒才會去分析,如果直接被攔下的可能不太會在意。作為普通甲方來說,確實沒必要,但如果有自己的知識庫的,可以試著去做,檢查的時候不是非要去做,本項非一票否決項。

7.2.5 系統(tǒng)運維管理
7.2.5.9 **密碼管理(G3)

**應建立密碼使用管理制度,使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。 |

這個沒必要說了,密碼學東西很多,這里提到的是符合國家規(guī)定的密碼技術(shù)和產(chǎn)品。另外對于密碼管理要有制度。

7.2.5 系統(tǒng)運維管理
7.2.5.10 **變更管理(G3)

**a) 應確認系統(tǒng)中要發(fā)生的變更,并制定變更方案;b) 應建立變更管理制度,系統(tǒng)發(fā)生變更前,向主管領(lǐng)導申請,變更和變更方案經(jīng)過評審、審批后方可實施變更,并在實施后將變更情況向相關(guān)人員通告;**c) 應建立變更控制的申報和審批文件化程序,對變更影響進行分析并文檔化,記錄變更實施過程,并妥善保存所有文檔和記錄;**d) 應建立中止變更并從失敗變更中恢復的文件化程序,明確過程控制方法和人員職責,必要時對恢復過程進行演練。 |

變更管理時運維的一個重要流程,企業(yè)應該重視,包括乙方在內(nèi)。

a) 變更要提前申請,提交完整的變更方案,其中包括回滾方案;

b) 變更管理制度,網(wǎng)上很多,目前已經(jīng)很完善了,很多是針對項目的,運維方面的也有。不多做解釋了,模板里寫的都不錯。

c) 變更要有流程,無論紙質(zhì)還是電子流程,要適用、合理,不能為了應付弄個簡化流程,這樣不合適,不利于企業(yè)日后管理,留存好記錄。

d) 這點就是回滾/恢復詳細方案(中止變更流程,包含在變更流程中,是一種特殊情況),對于重要系統(tǒng)的變更,要預先進行演練,確認方案沒問題再予以實施。

7.2.5 系統(tǒng)運維管理
7.2.5.11 **備份與恢復管理(G3)

**a) 應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;**b) 應建立備份與恢復管理相關(guān)的安全管理制度,對備份信息的備份方式、備份頻度、存儲介質(zhì)和保存期等進行規(guī)范;**c) 應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響,制定數(shù)據(jù)的備份策略和恢復策略,備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ǎ?*d) 應建立控制數(shù)據(jù)備份和恢復過程的程序,對備份過程進行記錄, 所有文件和記錄應妥善保存;**e) 應定期執(zhí)行恢復程序,檢查和測試備份介質(zhì)的有效性,確保可以在恢復程序規(guī)定的時間內(nèi)完成備份的恢復。 |

備份和恢復是重點檢查項,總結(jié)一下,主要會關(guān)注幾個點:

首先災難恢復計劃時針對重要關(guān)鍵業(yè)務通,不是所有系統(tǒng),一般系統(tǒng)只要有一定備份恢復可行方案即可,分優(yōu)先級做備份恢復管理;

制度必要要有;

關(guān)鍵系統(tǒng)實時備份,場外備份,異地備份,6個月至少;

有錢的搞雙活,沒錢的搞雙機雙線;

定期進行災難恢復演練,驗證可行性、有效性,一般一年至少一次(建議)。

7.2.5 系統(tǒng)運維管理
7.2.5.12 **安全事件處置(G3)

**a) 應報告所發(fā)現(xiàn)的安全弱點和可疑事件,但任何情況下用戶均不應嘗試驗證弱點;**b) 應制定安全事件報告和處置管理制度,明確安全事件的類型,規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責;**c) 應根據(jù)國家相關(guān)管理部門對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響,對本系統(tǒng)計算機安全事件進行等級劃分;**d) 應制定安全事件報告和響應處理程序,確定事件的報告流程,響應和處置的范圍、程度,以及處理方法等;**e) 應在安全事件報告和響應處理過程中, 分析和鑒定事件產(chǎn)生的原因,收集證據(jù),記錄處理過程,總結(jié)經(jīng)驗教訓,制定防止再次發(fā)生的補救措施,過程形成的所有文件和記錄均應妥善保存;**f) 對造成系統(tǒng)中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。** |

應急響應管理,目前外包形式較多,有自己應急團隊的沒多少。大多企業(yè)關(guān)心的還是出事了盡快搞定,別影響有任務,別影響形象,不出事的情況:跟我有毛關(guān)系,搞它干毛。

a) 滲透或無意中發(fā)現(xiàn)的漏洞,及時上報,不要去搞事,現(xiàn)在是要關(guān)小黑屋的。有些乙方的工程師,水平還可以,沒事喜歡去挖洞,挖到了還喜歡去搞事,以前可能還好,最近如果還這么玩,估計很快會被公安請去喝茶。還有一點,沒有授權(quán),不要去搞政府網(wǎng)站,不要作死。

bc) 應急預案,不是那種隨便寫寫的,看后邊的要求,要包括事件分級、報告流程、應急流程、還有操作方法等??梢詤⒖肌秶揖W(wǎng)絡(luò)安全事件應急預案》。

de) 應急預案的細節(jié),對于一些常見的已知攻擊或病的,要在附件形式附上不同狀況的操作指導手冊。至于應急響應的流程和每步操作,建議去看下ISCCC的應急處理資質(zhì)的要求,里邊雖然都是要求的內(nèi)容,但是對于每步該走什么,該留存什么都很詳細。官網(wǎng)可以下載《信息安全服務資質(zhì)自評估表-應急處理類填寫指南》。

f) 這條說的有點不太理解,中斷和泄露為什么要用不同的預案和流程,這類可以定義為重大或特別重大安全事故,其實處理起來的過程差不多,只是造成的影響比較嚴重。有了解的同學可以解釋一下。

7.2.5 系統(tǒng)運維管理
7.2.5.13 **應急預案管理(G3)

**a) 應在統(tǒng)一的應急預案框架下制定不同事件的應急預案,應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容;**b) 應從人力、設(shè)備、技術(shù)和財務等方面確保應急預案的執(zhí)行有足夠的資源保障;**c) 應對系統(tǒng)相關(guān)的人員進行應急預案培訓,應急預案的培訓應至少每年舉辦一次;**d) 應定期對應急預案進行演練,根據(jù)不同的應急恢復內(nèi)容,確定演練的周期;**e) 應規(guī)定應急預案需要定期審查和根據(jù)實際情況更新的內(nèi)容,并按照執(zhí)行。 |

和應急響應章節(jié)相關(guān),屬于安全事件未發(fā)生前的預防措施。

a) 這條我是憑個人理解,針對不同的關(guān)鍵系統(tǒng)或基礎(chǔ)設(shè)置制定不同的應急預案,由于業(yè)務原因應急方式可能會存在不同,所以不是一套預案就能使用所有系統(tǒng)。一般是指較大的企業(yè)。

b) 這條純屬屁話,眾所周知,安全的預算你懂的。不過網(wǎng)安法出臺了,等保強制了,也可以拿這條規(guī)定試著跟領(lǐng)導提要求,萬一同意了呢。O( ̄__, ̄)o

cd) 已經(jīng)白話了,不用再解釋了;都是每年至少一次,沒如果不做,測評時會扣分,印象中。

e) 建議和演練一起搞,每年修訂一次,1-2年可能不變,要說3-5年還不變,就是扯了,一定要考慮預案的適用性,隨著系統(tǒng)和業(yè)務的變化也要及時變更。不只是應急預案,同時也包括其他在行的制度和流程。安全是一個不斷循環(huán)的過程。

結(jié)尾

到此為止,等級保護測評介紹系列全部更新完成(說實話,我都不信我能寫完這個系列)。希望能夠幫到有需要的人,文中大多是個人經(jīng)驗和理解,肯定會有不當?shù)牡胤?,歡迎隨意吐槽和糾正。

等級保護測評系列介紹

等級保護測評(一):物理安全

等級保護測評(二):網(wǎng)絡(luò)安全

等級保護測評(三):主機安全

等級保護測評(四):應用與數(shù)據(jù)安全

等級保護測評(五):制度與人員安全

等級保護測評(六):系統(tǒng)建設(shè)管理

等級保護測評(七):系統(tǒng)運維管理

服務熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號

微信公眾號

桂东县| 略阳县| 新郑市| 柳林县| 和硕县| 宿州市| 连州市| 定兴县| 大洼县| 当雄县|