壹、技術要求
1,人身安全
1.1物理位置選擇
機房和辦公場所應選擇在具有抗震、防風、防雨能力的建築物內;
1.2物理訪問控制
(1)機房出入口應有專人值守,對進入人員進行身份識別並登記;
(2)進入機房的訪客應得到批準,其活動應受到限制和監控。
1.3防盜和防破壞
(1)主要設備要放在物理限定的範圍內;
(2)設備或主要部件應固定,並設置明顯的不可擦除的標誌;
(3)通信電纜應敷設在隱蔽場所,如地下或管道中;
(4)媒體應分類標識並存放在媒體庫或檔案室;
(5)安裝必要的防盜報警設施,防止盜竊和破壞進入機房。
1.4防雷
(1)機房建築應安裝防雷裝置;
(2)應設置交流電源接地線。
1.5消防
應當設置滅火設備和火災自動報警系統,並保持完好。
1.6防水防潮
(1)水管不得安裝在屋頂和活動地板下;
(2)穿墻、穿樓板的水管應加必要的保護措施,如設置套管;
(3)應采取措施防止雨水透過屋頂和墻壁;
(4)應采取措施防止室內水汽凝結和地下水轉移滲透。
1.7防靜電
應采取必要的防靜電措施,如接地。
1.8溫濕度控制
應設置溫濕度自動調節設施,使機房內的溫濕度變化在設備運行允許的範圍內。
1.9電源
(1)計算機系統的電源應與其他電源分開;
(2)應提供電壓調節器和過電壓保護設備;
(3)應提供短期備用電源(如UPS設備)。
1.10電磁防護
(1)接地,防止外部電磁幹擾和設備寄生耦合幹擾;
(2)電源線和通信電纜應隔離,避免相互幹擾。
2.網絡安全性
2.1結構安全和網段劃分
(1)網絡設備的業務處理能力應有冗余空間,以滿足業務高峰的需要;
(2)設計並繪制與當前運行壹致的網絡拓撲圖;
(3)網絡帶寬應根據機構業務特點,在滿足業務高峰時段需求的基礎上合理設計;
(4)服務端和業務服務器之間要進行路由控制,建立安全的訪問路徑;
(5)應根據工作職能、各部門的重要性和所涉及信息的重要性劃分不同的子網或網段,並按照便於管理和控制的原則為每個子網和網段分配地址段;
(6)對於重要網段,應采取措施將網絡層地址與數據鏈路層地址綁定,防止地址欺詐。
2.2訪問控制
(1)應能根據會話狀態信息(包括源地址、目的地址、源端口號、目的端口號、協議、接入接口、會話序列號、出站信息的主機名等)為數據流提供明確的訪問許可/拒絕能力。);
(2)基於安全屬性允許遠程用戶訪問系統的規則,允許或拒絕用戶訪問系統的所有資源,控制粒度應為單個用戶;
(3)應限制具有撥號訪問權限的用戶數量。
2.3安全審核
(1)記錄網絡系統中的網絡設備運行、網絡流量、用戶行為等事件;
(2)對於每個事件,審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功以及其他與審計相關的信息。
2.4邊界完整性檢查
它應該能夠檢測內部用戶未經許可連接外部網絡的行為(即“非法外聯”行為)。
2.5入侵防禦
在網絡邊界應監控以下攻擊:端口掃描、暴力攻擊、特洛伊後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP分片攻擊、網絡蠕蟲攻擊和其他入侵事件。
2.6惡意代碼防範
(1)應在網絡邊界和核心業務段檢測並清除惡意代碼;
(2)升級惡意代碼庫,更新檢測系統;
(3)應支持惡意代碼防範的統壹管理。
2.7網絡設備保護
(1)登錄網絡設備的用戶應進行身份驗證;
(2)限制網絡設備管理員的登錄地址;
(3)網絡設備用戶的標識應當唯壹;
(4)身份認證信息應具有不易被冒用的特征,如密碼長度、復雜性、定期更新等;
(5)應具備登錄失敗處理功能,如結束會話、限制非法登錄次數、網絡登錄連接超時自動退出等。
3.主機安全性
3.1認證
(1)操作系統和數據庫管理系統用戶的身份應該是唯壹的;
(2)識別和標識登錄操作系統和數據庫管理系統的用戶;
(3)操作系統和數據庫管理系統的身份認證信息應具有不易被冒用的特征,如密碼長度、復雜性、定期更新等。
(4)應具備登錄失敗處理功能,如結束會話、限制非法登錄次數、登錄連接超時自動退出等。
3.2訪問控制
(1)應根據安全策略控制主體對客體的訪問;
(2)自主訪問控制的覆蓋範圍應包括與信息安全及其操作直接相關的主體和客體;
(3)自主訪問控制的粒度應達到用戶級為主體,文件和數據庫表級為客體;
(4)授權主體應設定對客體的訪問權和操作權;
(5)應嚴格限制默認用戶的訪問權限。
3.3安全審核
(1)安全審計應該覆蓋服務器上的每壹個操作系統用戶和數據庫用戶;
(2)安全審計應記錄系統中重要的安全相關事件,包括重要的用戶行為和重要系統命令的使用;
(3)安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件結果等。
(4)審核記錄應受到保護,以防意外刪除、修改或覆蓋。
3.4剩余信息的保護
(1)確保操作系統和數據庫管理系統的用戶的認證信息所在的存儲空間在被釋放或重新分配給其他用戶之前被完全清空,無論這些信息是存儲在硬盤上還是內存中;
(2)確保系統中的文件、目錄、數據庫記錄等資源的存儲空間在被釋放或重新分配給其他用戶之前被完全清空。
3.5系統保護
系統應提供在管理和維護狀態下運行的能力,只能由系統管理員使用。
3.6防止惡意代碼
(1)服務器和重要終端設備(包括移動設備)應安裝實時檢測和查殺惡意代碼的軟件產品;
(2)主機系統的反惡意代碼產品應具有不同於網絡反惡意代碼產品的惡意代碼庫;
3.7資源控制
(1)應該限制單個用戶的會話數量;
(2)終端登錄應通過設置終端訪問方式、網絡地址範圍等條件進行限制。
4.應用程序安全性
4.1認證
(1)應用系統用戶的身份應該是唯壹的;
(2)識別和識別登錄用戶;
(3)系統的用戶認證信息應具有不易被冒用的特征,如密碼長度、復雜性、定期更新等。
4.2訪問控制
(1)應根據安全策略控制用戶對對象的訪問;
(4)授權主體應設定用戶操作系統功能和訪問數據的權限;
(5)應用系統特權用戶的特權應該分離,例如管理和審計的特權應該分配給應用系統的不同用戶;
(6)權限分離應采用最小授權原則,賦予不同用戶完成各自任務所需的最小權限,相互之間形成相互制約的關系;
(7)應嚴格限制默認用戶的訪問權限。
4.3安全審核
(1)安全審計要覆蓋應用系統的每壹個用戶;
(2)安全審計應記錄應用系統的重要安全相關事件,包括重要的用戶行為和重要系統功能的執行;
(4)審核記錄應受到保護,以防意外刪除、修改或覆蓋。
4.4剩余信息的保護
確保用戶的身份驗證信息所在的存儲空間在被釋放或重新分配給其他用戶之前被完全清空,無論該信息是存儲在硬盤上還是存儲在內存中。
4.5通信完整性
通信雙方應約定壹種單向校驗碼算法計算通信數據報文的校驗碼,通信雙方應根據校驗碼判斷對方報文的有效性。
4.6通信保密
(1)當通信雙方中的壹方在壹段時間內沒有響應時,另壹方應能自動結束對話;
(2)在通信雙方建立連接之前,使用密碼技術進行會話初始化驗證;
(3)在通信過程中,敏感信息字段應加密。
4.7軟件容錯
(1)檢查通過人機界面或通信接口輸入的數據的有效性;
(2)對於通過人機界面進行的操作,應提供“回滾”功能,即允許按照操作的先後順序進行回滾;
(3)在出現故障的情況下,應連續提供壹些功能,以確保能夠實施必要的措施。
4.8資源控制
(1)應限制單個用戶的多個並發會話;
(2)應限制應用系統的最大並發會話連接數;
(3)應該限制壹段時間內可能的並發會話連接的數量。
4.9代碼安全性
(1)應該對應用程序代碼進行惡意靜態代碼分析;
(2)分析應用程序代碼的安全漏洞。
5、數據安全和備份恢復
5.1數據完整性
(1)應能檢測出系統管理數據、認證信息和用戶數據的完整性在傳輸過程中被破壞;
(2)應能檢測到系統管理數據、認證信息和用戶數據的完整性在存儲過程中被破壞。
5.2數據保密性
(1)網絡設備、操作系統、數據庫管理系統和應用系統的認證信息、敏感系統管理數據和敏感用戶數據應加密或采取其他有效措施實現傳輸保密;
(2)使用便攜式和移動設備時,敏感信息應加密或存儲在可移動磁盤上。
5.3備份和恢復
(1)應提供自動機制,對重要信息進行選擇性數據備份;
(2)應提供恢復重要信息的功能;
(3)應提供重要網絡設備、通信線路和服務器的硬件冗余。
二、管理要求
1,安全管理機構
1.1崗位設置
(1)應設立信息安全管理職能部門,設置安全主管和負責安全管理各環節的人員崗位,明確各負責人的職責;
(2)設置系統管理員、網絡管理員、安全管理員崗位,明確各崗位職責;
(3)應制定文件,明確安全管理機構各部門、各崗位的職責、分工和技能要求。
1.2人員編制
(1)配備壹定數量的系統管理員、網絡管理員和安全管理員;
(2)安全管理員不能是網絡管理員、系統管理員、數據庫管理員等。
1.3授權和批準
(1)授權審批部門和審批人對關鍵活動進行審批;
(2)應列出審批事項、審批部門和批準人。
1.4溝通與合作
(1)應加強各類管理人員與內部組織的合作與溝通,定期或不定期召開協調會,協助處理信息安全問題;
(2)信息安全職能部門應定期或不定期召集相關部門和人員召開安全工作會議,協調安全工作的落實;
(3)加強與兄弟單位、公安機關和電信公司的合作和溝通,以便在發生安全事件時獲得及時支持。
1.5審計和檢查
安全管理人員要定期進行安全檢查,包括用戶賬號、系統漏洞、系統審計等。
2.安全管理系統
2.1管理系統
(1)應制定信息安全工作的總方針、政策文件和安全策略,說明組織安全工作的總體目標、範圍、方針、原則和職責;
(2)針對安全管理活動中的重要管理內容,建立安全管理制度,以規範安全管理活動,約束人員行為;
(3)對需要管理人員或操作人員執行的重要管理操作建立操作規則,以規範操作行為,防止操作失誤。
2.2制定和發布
(1)由信息安全職能部門負總責,組織相關人員制定;
(2)確保安全管理體系具有統壹的格式和風格,並進行版本控制;
(3)組織相關人員對制定的安全管理進行論證和審查;
(4)安全管理制度應由管理層發布,並按壹定程序以文件形式發布。
2.3審查和修訂
應定期對安全管理體系進行評審和修訂,對不足或需要改進的安全管理體系進行修訂。
3、人員安全管理
3.1人員招聘
(1)保證被錄用人員具備基本的專業技術水平和安全管理知識;
(2)審核被聘用人員的身份、背景、專業資格和任職資格;
(3)評估被雇用人員的技術技能;
(4)解釋被雇傭者的角色和職責;
(5)簽署保密協議。
3.2離職人員
(1)因各種原因即將離職的員工的所有訪問權限應立即終止;
(2)各種身份證件、鑰匙、徽章等。,以及組織提供的軟件和硬件設備應進行檢索;
(3)事業單位人事部門在離職前應辦理嚴格的調動手續,並承諾調動後的保密義務。
3.3人員評估
(1)定期對各崗位人員的安全技能和安全意識進行考核;
(2)對關鍵崗位人員進行全面嚴格的安全審查;
(3)懲罰違反安全政策和法規的人。
3.4安全意識教育和培訓
(1)對各類人員進行安全意識教育;
(2)告知員工相關的安全責任和紀律措施;
(3)應制定安全教育培訓計劃,培訓信息安全基礎知識和崗位操作規程;
(4)安全教育和培訓的情況和結果應有記錄並存檔。
3.5第三方人員的訪問管理
(1)第三方人員在參觀前應與機構簽訂安全責任合同或保密協議;
(2)訪問重要區域必須經相關負責人批準,專人陪同或監督,並記錄備案。
4、系統建設管理
4.1系統分級
(1)信息系統劃分方法要明確;
(2)確定信息系統的安全等級;
(3)已定義安全級別的信息系統的屬性應以書面形式定義,包括任務、業務、網絡、硬件、軟件、數據、邊界、人員等。
(4)確保信息系統的分級結果得到相關部門的批準。
4.2安全方案設計
(1)應根據系統的安全級別選擇基本安全措施,並根據風險分析的結果補充和調整安全措施;
(2)應以書面形式描述系統的安全防護要求、策略和安全措施,形成系統的安全方案;
(3)細化安全方案,形成詳細的設計方案,指導安全體系建設和安全產品采購;
(4)組織有關部門和相關安全技術專家對安全設計方案的合理性和正確性進行論證和審查;
(5)確保安全設計方案必須得到批準後才能正式實施。
4.3產品采購
(1)確保安全產品的使用符合國家相關規定;
(二)確保密碼產品的使用符合國家密碼主管部門的要求;
(3)應指定或授權專門部門負責產品的采購。
4.4自行開發的軟件
(1)確保開發環境與實際運行環境物理分離;
(2)確保提供軟件設計的相關文件和說明;
(3)確保系統開發文檔由專人保管,系統開發文檔的使用受到控制。
4.5外包軟件開發
(1)應與軟件開發單位簽訂協議,明確知識產權歸屬和安全要求;
(2)軟件質量應按協議要求進行測試;
(3)應在軟件安裝前檢測軟件包中可能存在的惡意代碼;
(4)確保提供軟件設計的相關文件和說明。
4.6項目實施
(1)與項目實施單位簽訂安全相關協議,約束項目實施單位的行為;
(2)指定或授權專門人員或部門負責項目實施過程的管理;
(3)應制定詳細的項目實施計劃,以控制實施過程。
4.7測試驗收
(1)對系統進行安全測試和驗收;
(2)試驗驗收前,應根據設計方案或合同要求制定試驗驗收方案,並在試驗驗收過程中詳細記錄試驗驗收結果,形成試驗驗收報告;
(3)組織相關部門和人員對系統測試驗收報告進行審批,雙方確認無誤後簽字。
4.8系統交付
(1)應明確系統的交接程序,並根據交接程序完成交接工作;
(2)系統建設方完成開發商委托的運維技術人員的培訓;
(3)系統建設方應提交系統建設過程中的文件和指導用戶進行系統運行和維護的文件;
(4)系統建設方應做出服務承諾並提交服務承諾書,以確保對系統運維的支持。
4.9安全服務提供商的選擇
要確保保安服務提供商的選擇符合國家有關規定。
5.系統運行和維護管理
5.1環境管理
(1)機房的供配電、空調、溫濕度控制等設施應由指定人員或專門部門定期維護管理;
(2)應配備機房安全管理人員,對機房的訪問、服務器的啟動或關閉等進行管理。;
(3)應建立機房安全管理制度,規範機房物理出入、物品進出和機房環境安全的管理;
(4)對機房訪客實行登記建檔管理,限制訪客活動;
(5)加強辦公環境的保密管理,包括工作人員調離辦公室應立即歸還辦公室鑰匙,辦公區域不得接待來訪人員。
5.2資產管理
(1)建立資產安全管理制度,明確信息系統資產管理的責任人員或部門;
(2)應編制並保存包含信息系統相關信息的資產清單,如資產所有權、安全級別和位置;
(3)根據資產的重要性進行定性分配和管理,並根據其價值選擇相應的管理措施。
5.3媒體管理
(1)確保介質存儲在安全的環境中,對各類介質進行控制和保護,防止信息被盜、破壞、未經授權修改和非法泄露;
(2)應有介質的存放、歸檔、登記和查詢記錄,並根據備份和歸檔介質的目錄清單定期盤點;
(3)對於需要送修或銷毀的介質,應先清除介質中的敏感數據,防止非法信息泄露;
(4)應根據數據和軟件的重要性對介質進行分類和標識,存儲環境應由專人管理。
5.4設備管理
(1)指定專人或專門部門定期維護和管理與信息系統相關的各種設施、設備和線路;
(2)建立基於申報、審批的管理制度,專人負責信息系統各類軟硬件設備的選擇、采購、分配或征用;
(3)規範終端計算機、工作站、筆記本電腦、系統和網絡的操作和使用;
(4)控制從機房或辦公室帶走的信息處理設備;
(5)啟動/停止、通電/斷電等。應按照操作規程執行服務器的日誌文件管理,並加強對服務器運行的監控管理。網絡和設備應根據安全策略的要求進行配置,並定期檢查。
5.5監測和管理
妳應該知道服務器的CPU、內存、進程和磁盤使用情況。
5.6網絡安全管理
(1)指定專人管理網絡,負責運行日誌和網絡監控記錄的日常維護,以及告警信息的分析處理;
(2)建立網絡安全管理制度,規定網絡安全配置和日誌;
(3)網絡設備應根據廠商提供的軟件升級版本進行更新,更新前應對現有的重要文件進行備份;
(4)應對網絡系統漏洞進行掃描,及時修復發現的網絡系統安全漏洞;
(5)確保與外部系統的所有連接都得到授權和批準;
(6)應對網絡設備的安全策略、授權訪問、最低服務、升級和補丁、維護記錄和日誌做出具體要求;
(7)應規定網絡審計日誌的存儲時間,以支持對可能發生的安全事件的調查。
5.7系統安全管理
(1)指定專人管理系統,刪除或禁用不使用的系統默認賬號;
(2)應建立系統安全管理制度,規定系統安全配置、系統賬戶和審計日誌;
(3)應定期安裝系統最新補丁,及時修復廠商提供的可能危害計算機的漏洞,並在安裝系統補丁前備份已有的重要文件;
(4)應根據業務需求和系統安全性分析確定系統的訪問控制策略,系統訪問控制策略用於控制分布式信息系統、文件和服務的訪問權限;
(5)系統賬戶應分類管理,權限設置應遵循最低授權要求;
(6)應對系統的安全策略、授權訪問、最低服務、升級和補丁、維護記錄和日誌等做出具體要求;
(7)應規定系統審計日誌的存儲時間,以支持對可能發生的安全事件的調查;
(8)掃描系統漏洞,及時修復發現的系統安全漏洞。
5.8惡意代碼防範管理
(1)應提高用戶的殺毒意識,及時告知升級殺毒軟件;
(2)在讀取移動存儲設備(如軟盤、移動硬盤、光盤)上的數據和在網絡上接收文件或郵件前,應先進行病毒檢查,在外來計算機或存儲設備接入網絡系統前也應進行病毒檢查;
(3)指定專人對網絡和主機上的惡意代碼進行檢測,並保存檢測記錄;
(4)明確規定反惡意代碼軟件的授權使用、惡意代碼庫的升級和定期報告。
5.9密碼管理
密碼算法和密鑰的使用應符合國家密碼管理規定。
5.10變更管理
(1)確認系統需要進行的變更,制定變更計劃;
(2)建立變革管理體系。重大系統變更前,應向主管領導提出申請,經批準後方可實施;
(3)系統變更應通知所有相關人員。
5.11備份和恢復管理
(1)識別需要定期備份的重要業務信息、系統數據和軟件系統;
(2)備份方式(如增量備份或完全備份等。)、備份頻率(如每天或每周等。)、存儲介質、存儲期限等。應指定備份信息的數量;
(3)應根據數據的重要性及其對系統運行的影響,制定數據的備份策略和恢復策略,備份策略應註明備份數據的位置、文件命名規則、介質更換頻率和異地傳輸數據的方法;
(4)應指定相應的負責人,定期維護和檢查備份和冗余設備的狀態,以確保在需要訪問系統時正常運行;
(5)根據備份方式,指定相應設備的安裝、配置和啟動過程。
5.12安全事件處理
(1)所有用戶有責任報告他們發現的安全漏洞和可疑事件,但在任何情況下用戶都不應試圖驗證漏洞;
(2)制定安全事件報告和處置管理制度,明確安全事件現場處理、事件報告和事後恢復的管理職責;
(3)應分析信息系統的類型、網絡連接的特點和信息系統用戶的特點,了解本系統和類似系統已經發生的安全事件,識別本系統需要防範的安全事件,這些安全事件可能來自攻擊、錯誤、故障、事故或災難;
(4)本系統中的計算機安全事件應按照國家有關管理部門的計算機安全事件分類方法和安全事件對本系統的影響程度進行分類;
(5)應記錄並保存所有報告的安全弱點和可疑事件,分析事件發生的原因,監控事態的發展,並采取措施避免安全事件的發生。
5.13應急計劃管理
(1)不同事件的應急預案應在統壹的應急預案框架下制定,應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事後教育培訓等;
(2)對系統相關人員進行培訓,使其知道如何以及何時使用應急預案中的控制手段和恢復策略,應急預案的培訓每年至少舉行壹次。
如需保險公估服務,可後臺私信。陸陸信息科技整合雲安全產品技術優勢,結合優質的等安咨詢、等安評估合作資源,為等安項目提供壹站式服務,全面覆蓋等安等級、備案、施工整改、評估階段,高效通過等安評估,落實網絡安全等級保護工作。