随笔分类 - 等级保护
摘要:范围 控制点 检查项 三级要求 二级要求 安全管理制度 安全策略 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略。 应核查网络安全工作的总体方针和安全策略
阅读全文
摘要:标记注释: 是否适用:Y-适用,N-不适用 权重标识:一般,重要,关键 注意:三级几乎包含了所有二级测评内容(除安全运维管理->恶意代码防范管理中,有两项为二级特有测评项) 安全管理制度 控制点测评指标二级三级 安全策略 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则
阅读全文
摘要:云迁移需要考虑的事项见云迁移。企业应用上云,涉及的等级保护测评内容包括通用要求和云扩展要求。具体测评项的选取需根据具体的安全方案来确定。 以下我们将重温云相关的基本概念,并对云安全等级测评对象及安全责任,以及云测评相关内容进行介绍。 NIST对云计算的定义 云计算是一种模式,是一种无处不在的、便捷的
阅读全文
摘要:安全运维管理 控制点 14.包运维管理 运维工作在等级保护对象生命周期中的持续时间最长,直接关系到系统能否安全、稳定运行。委托外部服务商执行运维工作的单位,要严格管控外包运维服务商的选择工作,在服务协议中明确外包运维服务商的能力、工作范围和工作内容等。 a) 安全要求(关键):应确保外包运维服务商的
阅读全文
摘要:安全运维管理 控制点 13.应急预案管理 为了有效处理等级保护对象运行过程中可能发生的重大安全事件,需要在统一的框架下制定针对不同安全事件的应急预案,根据应急预案的内容对涉及的人员进行培训、演练,并根据等级保护对象的变化情况和安全策略的调整结果进行应急预案的评估、修订与完善。 a) 安全要求(关键)
阅读全文
摘要:安全运维管理 控制点 12.安全事件处置 在等级保护对象的运行过程中会出现很多安全事件。需要对所有安全事件进行分类、分级,并为不同类型、不同级别的安全事件制定相应的响应流程,使安全事件能够得到及时、有效的处置,确保等级保护对象安全、稳定运行。 a) 安全要求(一般):应及时向安全管理部门报告所发现的
阅读全文
摘要:安全运维管理 控制点 11.备份与恢复管理 数据备份是保障等级保护对象在发生数据丢失或数据破坏时恢复业务正常运行的重要措施。对于等级保护对象的重要业务信息、系统数据、配置信息、软件程序等,需要制定明确的数据备份策略,定期开展备份操作,并针对备份文件的有效性进行恢复性测试和验证。 a) 安全要求(一般
阅读全文
摘要:安全运维管理 控制点 10.变更管理 等级保护对象在运行过程中会面临各种各样的变更操作。如果没有对变更过程进行有效的管理和控制,就会给等级保护对象带来重大的安全风险。因此,需要对变更操作实施全程管控,做到各项变更内容有章可循、有案可查,遇到问题有路可退,确保变更操作不给系统带来安全风险。 a) 安全
阅读全文
摘要:安全运维管理 控制点 9.密码管理 密码技术是保证信息保密性和完整性的重要技术。为保证密码技术使用过程的安全,在遵循相关国家标准和行业标准的基础上,应对涉及的产品、设备和密码加强管理。 a) 安全要求(关键):应遵循密码相关的国家标准和行业标准。 要求解读:密码生产需要授权许可,密码产品需要符合国家
阅读全文
摘要:安全运维管理 控制点 8.配置管理 等级保护对象配置数据的准确性关系到系统能否正常、稳定、安全地运行。对于系统配置信息,需要进行记录和保存;对于配置信息的变更,需要进行严格的管控。 a) 安全要求(重要):应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、
阅读全文
摘要:安全运维管理 控制点 7.恶意代码防范管理 恶意代码对等级保护对象的危害极大,传播途径和方式众多,防范比较困难。因此,不仅需要通过安装专用工具进行恶意代码防范,还需要加强宣贯,提高用户的恶意代码防范意识,建立完善的恶意代码防范管理制度并进行有效的落实。 a) 安全要求(重要):应提高所有用户的防恶意
阅读全文
摘要:安全运维管理 控制点 6.网络和系统安全管理 网络和系统的安全状况直接关系到等级保护对象能否正常运行。网络和系统安全管理涉及安全策略管理、操作账户管理、角色权限管理、配置参数管理、升级变更管理、日常操作管理、设备接入管理、运维日志管理等方面。 a) 安全要求(重要):应划分不同的管理员角色进行网络和
阅读全文
摘要:安全运维管理 控制点 5.漏洞和风险管理 漏洞和隐患会给等级保护对象造成安全风险,因此,需要采取必要的措施进行识别和评估,及时修补发现的漏洞和隐患,确保等级保护对象安全、稳定运行。 a) 安全要求(重要):应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补,或评估可能的影响后进行
阅读全文
摘要:安全运维管理 控制点 4.设备维护管理 等级保护对象使用的硬件设备包括网络设备、安全设备、服务器设备、存储设备和存储介质、供电和通信线缆等。系统的正常运行依赖于对这些设备的正确使用和维护。为保证这些设备的正常运行,操作人员必须严格按照操作规程进行使用和维护,并认真做好使用和维护记录。 a) 安全要求
阅读全文
摘要:安全运维管理 控制点 3.介质管理 数据存储介质主要包括磁带、磁盘、光盘、(从设备内拆卸下来的)硬盘、移动硬盘、U盘、纸介质等。存储介质是用来存放与系统相关的数据的,如果不能妥善保存和管理,就可能造成数据的丢失与损坏。因此,要加强介质管理,对于介质的存放、使用、传输、维护、销毁等操作进行严格的控制。
阅读全文
摘要:安全运维管理 控制点 2.资产管理 等级保护对象的资产包括各种硬件设备(例如网络设备、安全设备、服务器设备、操作终端、存储设备和存储介质、供电和通信用线缆等)、各种软件(例如操作系统、数据库管理系统、应用系统等)、各种数据(例如配置数据、业务数据、备份数据等)和各种文件等。由于等级保护对象的资产种类
阅读全文
摘要:安全运维管理 安全运维管理是在等级保护对象建设完成投入运行之后,对系统实施的有效、完善的维护管理,是保证系统运行阶段安全的基础。 安全运维管理对安全运维过程提出了安全控制要求,涉及的控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、
阅读全文
摘要:安全建设管理 控制点 10.服务供应商选择 服务供应商可能包括产品提供商、系统集成商、系统咨询商、安全监理商、安全评估测评方等提供各类系统服务的第三方机构。 a) 安全要求(重要):应确保服务供应商的选择符合国家的有关规定。 要求解读:对各类供应商的选择均应符合国家对其的管理要求,例如相关资质管理要
阅读全文
摘要:安全建设管理 控制点 9.等级测评 测评机构应依据国家网络安全等级保护制度,按照有关管理规范和技术规范,对未涉及国家秘密的等级保护对象的安全等级保护状况进行检测和评估。等级测评属于符合性评判活动,即依据网络安全等级保护的国家标准或者行业标准,按照特定的方法对等级保护对象的安全防护能力进行科学、公正的
阅读全文
摘要:安全建设管理 控制点 8.系统交付 系统交付管理是指对机房建设、系统集成、网络改造中的外包工程项目的系统交付的管理,明确了交付工作的各个环节(各类工程、系统相关文档交接及设备清点等),使交付工作人员能够规范地完成交付工作。 a) 安全要求(一般):应制定交付清单,并根据交付清单对所交接的设备、软件和
阅读全文