信息化觀察網(wǎng)

安全運(yùn)維體系通常由人員組織、安全策略制定、安全運(yùn)維規(guī)章制度和相關(guān)技術(shù)手段等方面組成。如何建設(shè)健全的安全運(yùn)維體系呢，以下列舉了相關(guān)幾個(gè)方面及措施。

信息系統(tǒng)安全運(yùn)維是IT管理部門通過(guò)相關(guān)的技術(shù)、方法、工具、制度、流程和文檔等對(duì)IT基礎(chǔ)設(shè)施（軟件、硬件、網(wǎng)絡(luò)等）進(jìn)行綜合管理的過(guò)程，其目的是保障IT最終承載的業(yè)務(wù)安全。

安全運(yùn)維體系通常由人員組織、安全策略制定、安全運(yùn)維規(guī)章制度和相關(guān)技術(shù)手段（例如各類運(yùn)維平臺(tái)）等方面組成。如何建設(shè)健全的安全運(yùn)維體系呢，以下列舉了相關(guān)幾個(gè)方面及措施。

一、人員組織管理

1）對(duì)崗位職責(zé)、權(quán)限進(jìn)行明確劃分，并且不存在兼崗情況。重要崗位、重要系統(tǒng)管理人員設(shè)有雙人備份機(jī)制。

2）系統(tǒng)管理員嚴(yán)格按照相關(guān)制度進(jìn)行用戶管理，并定期檢查系統(tǒng)用戶賬號(hào)，確保每個(gè)賬號(hào)有唯一的、合規(guī)的使用人員。

3）在內(nèi)部人員發(fā)生變動(dòng)（如換崗、離職）后，及時(shí)對(duì)其相應(yīng)權(quán)限進(jìn)行變更、刪除。

二、資產(chǎn)管理

1）編制并保存與保護(hù)對(duì)象相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容。

2）根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施。

3）對(duì)信息分類與標(biāo)識(shí)方法做出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理。

三、介質(zhì)管理

1）確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，實(shí)行存儲(chǔ)環(huán)境專人管理，并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)。

2）對(duì)介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等情況進(jìn)行控制，并對(duì)介質(zhì)的歸檔和查詢等進(jìn)行登記記錄。

3）介質(zhì)的銷毀措施，包含有保密信息的介質(zhì)利用焚化或粉碎的方法，或者將數(shù)據(jù)擦除確保該設(shè)備上的敏感數(shù)據(jù)和授權(quán)軟件無(wú)法被恢復(fù)重用。

四、日志管理

1）全面收集并管理信息系統(tǒng)及相關(guān)設(shè)備的運(yùn)行日志，包括系統(tǒng)日志、操作日志、錯(cuò)誤日志等。

2）對(duì)原始日志進(jìn)行統(tǒng)一化處理，原始日志信息存儲(chǔ)進(jìn)行防篡改簽名，以便可以作為司法證據(jù)。

3）形成的審計(jì)記錄內(nèi)容至少是否包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等，并定期備份審計(jì)記錄，涉及敏感數(shù)據(jù)的記錄保存時(shí)間不少于半年。

五、漏洞和風(fēng)險(xiǎn)管理

1）采取必要的措施識(shí)別安全漏洞和隱患，對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評(píng)估可能的影響后進(jìn)行修補(bǔ)。

2）定期邀請(qǐng)第三方公司開展安全測(cè)評(píng)，形成安全測(cè)評(píng)報(bào)告，采取措施應(yīng)對(duì)發(fā)現(xiàn)的安全問(wèn)題。

六、網(wǎng)絡(luò)和系統(tǒng)安全管理

1）劃分不同的管理員角色進(jìn)行網(wǎng)絡(luò)和系統(tǒng)的運(yùn)維管理，明確各個(gè)角色的責(zé)任和權(quán)限。

2）指定專門的部門或人員進(jìn)行賬號(hào)管理，對(duì)申請(qǐng)賬號(hào)、建立賬號(hào)、刪除賬號(hào)等進(jìn)行控制。

3）建立網(wǎng)絡(luò)和系統(tǒng)安全管理制度，對(duì)安全策略、賬號(hào)管理、配置管理、日志管理、日常操作、升級(jí)與打補(bǔ)丁、口令更新周期等方面做出規(guī)定。

4）制定重要設(shè)備的配置和操作手冊(cè)，依據(jù)手冊(cè)對(duì)設(shè)備進(jìn)行安全配置和優(yōu)化配置等。

5）詳細(xì)記錄運(yùn)維操作日志，包括日常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容。

6）嚴(yán)格控制變更性運(yùn)維，經(jīng)過(guò)審批后才可改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)，操作過(guò)程中應(yīng)保留不可更改的審計(jì)日志，操作結(jié)束后應(yīng)同步更新配置信息庫(kù)。

7）嚴(yán)格控制運(yùn)維工具的使用，經(jīng)過(guò)審批后才可接入進(jìn)行操作，操作過(guò)程中應(yīng)保留不可更改的審計(jì)日志，操作結(jié)束后應(yīng)刪除工具中的敏感數(shù)據(jù)。

8）控制遠(yuǎn)程運(yùn)維的開通，經(jīng)過(guò)審批后才可開通遠(yuǎn)程運(yùn)維接口或通道，操作過(guò)程中應(yīng)保留不可更改的審計(jì)日志，操作結(jié)束后立即關(guān)閉接口或通道。

9）保證所有與外部的連接均得到授權(quán)和批準(zhǔn)，定期檢查違反規(guī)定無(wú)線上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略的行為。

七、惡意代碼防范管理

1）提高所有用戶的防惡意代碼意識(shí)，告知對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入系統(tǒng)前進(jìn)行惡意代碼檢查等。

2）對(duì)惡意代碼防范要求做出規(guī)定，包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、惡意代碼的定期查殺等。

3）定期驗(yàn)證防范惡意代碼攻擊的技術(shù)措施的有效性。

八、配置管理

1）記錄和保存基本配置信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、各個(gè)設(shè)備安裝的軟件組件、軟件組件的版本和補(bǔ)丁信息、各個(gè)設(shè)備或軟件組件的配置參數(shù)等。

2）將基本配置信息改變納入變更范疇，實(shí)施對(duì)配置信息改變的控制，并及時(shí)更新基本配置信息庫(kù)。

九、密碼管理要求

使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。

十、變更管理要求

1）明確變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施。

2）建立變更的申報(bào)和審批控制程序，依據(jù)程序控制所有的變更，記錄變更實(shí)施過(guò)程。

3）建立中止變更并從失敗變更中恢復(fù)的程序，明確過(guò)程控制方法和人員職責(zé)，必要時(shí)對(duì)恢復(fù)過(guò)程進(jìn)行演練。

十一、備份與恢復(fù)管理

1）識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等。

2）規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等。

3）根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。

十二、安全事件處置

1）及時(shí)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件。

2）制定安全事件報(bào)告和處置管理制度，明確不同安全事件的報(bào)告、處置和響應(yīng)流程，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)等。

3）在安全事件報(bào)告和響應(yīng)處理過(guò)程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)。

4）對(duì)造成系統(tǒng)中斷和造成信息泄漏的重大安全事件應(yīng)采用不同的處理程序和報(bào)告程序。

十三、應(yīng)急預(yù)案管理

1）規(guī)定統(tǒng)一的應(yīng)急預(yù)案框架，并在此框架下制定不同事件的應(yīng)急預(yù)案，包括啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。

2）從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。

3）定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，并進(jìn)行應(yīng)急預(yù)案的演練。

4）定期對(duì)原有的應(yīng)急預(yù)案重新評(píng)估，修訂完善。

十四、外包管理

1）確保外包運(yùn)維服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定。

2）與選定的外包運(yùn)維服務(wù)商簽訂相關(guān)的協(xié)議，明確約定外包運(yùn)維的范圍、工作內(nèi)容。

3）確保選擇的外包運(yùn)維服務(wù)商在技術(shù)和管理方面均具有按照等級(jí)保護(hù)要求開展安全運(yùn)維工作的能力，并將能力要求在簽訂的協(xié)議中明確。

4）在與外包運(yùn)維服務(wù)商簽訂的協(xié)議中明確所有相關(guān)的安全要求。如可能涉及對(duì)敏感信息的訪問(wèn)、處理、存儲(chǔ)要求，對(duì)IT基礎(chǔ)設(shè)施中斷服務(wù)的應(yīng)急保障要求等。

另外，可以通過(guò)建設(shè)用于支撐信息系統(tǒng)安全運(yùn)維的工具和系統(tǒng)平臺(tái)進(jìn)行技術(shù)手段上的補(bǔ)充。比如：建立一個(gè)集中的信息系統(tǒng)運(yùn)行狀態(tài)收集、處理、顯示及報(bào)警的網(wǎng)管系統(tǒng)；發(fā)現(xiàn)、管理所有與信息系統(tǒng)運(yùn)行相關(guān)的軟硬件，建立資產(chǎn)清單和資產(chǎn)配置清單的資產(chǎn)發(fā)現(xiàn)管理平臺(tái)；定時(shí)掃描信息系統(tǒng)相關(guān)資產(chǎn)脆弱性，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)加固的漏洞管理平臺(tái)；通過(guò)防火墻、IPS、IDS、WAF等系統(tǒng)構(gòu)建一個(gè)全方位入侵檢測(cè)體系；收集各類日志與管理的日志審計(jì)系統(tǒng)；運(yùn)維操作管理審計(jì)一體的堡壘機(jī)等。

參考文檔

--------GBT 36626-2108《信息安全技術(shù)信息系統(tǒng)安全運(yùn)維管理指南》

--------JR/T 0071—2012《金融行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指引》