10 安全运维管理 10.6网络和系统安全管理
网络和系统的安全状况直接关系到等级保护对象能否正常运行。对于网络和系统安全的管理涉及到安全策略管理、操作账户管理、角色权限管理、配置参数管理、升级变更管理、日常操作管理、设备接入管理、运维日志管理等多个方面。
10.6.1 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限。 |
没有明确的责任和权限要求,容易发生渎职事件,因此要对管理员进行明确的划分并进行岗位职责的定义。 【测评方法】 1)核查管理员职责文档,确认是否划分了不同的管理员角色。 2)核查管理员职责文档,确认是否明确了各个角色的责任和权限。 【预期结果或主要证据】 1)管理员职责划分了不同的管理员角色。 2)管理员职责明确了各个角色的责任和权限。 【权重】0.7 |
10.6.2 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制。 |
账户管理应由专门的部门或人员来负责,并对账户的全生命周期进行管控。 【测评方法】 1)访谈运维负责人指派哪个部门或人员进行账户管理,含网络层面、系统层面、数据库层面、业务应用层面。 2)核查账户管理记录,记录内容是否包括了账户申请、建立、停用、删除、重置等相关的审批情况。 【预期结果或主要证据】 1)指定了某部门(某岗)负责账户的管理工作。 2)有相关审批记录或流程,如对申请账户、建立账户、删除账户等进行了记有效控制。 【权重】0.7 |
10.6.3 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定。 |
对系统和网络安全管理缺乏规范性指导或规范性指导规定不一致,容易造成人员渎职或无作为,因此对网络和系统安全应建立相应的管理策略和规程类的管理要求。 【测评方法】 1)核查网络和系统安全管理制度。 2)制度内容是否包括了安全策略、账户管理(用户责任、义务、风险、权限审批、权限分配、账户注销等)、配置文件的生成及备份、变更审批、授权访问、最小服务、升级与打补丁、审计日志管理、登录设备和系统的口令更新周期等。 【预期结果】 1)具有网络和系统安全管理制度。 2)制度内容至少包括了网络和系统的安全策略,账户管理(用户责任、义务、风险、权限审批、权限分配、账户注销等),配置文件的生成、备份,变更审批、符合性检查等,授权访问,最小服务,升级与打补丁,审计日志,登录设备和系统的口令更新周期等。 【权重】1 |
10.6.4 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等。 |
配置规范和配置基线是保障等级保护对象安全运行的基本前提,应对设备的配置和操作建立操作规范和配置基线。 【测评方法】 1)核查重要设备的配置和操作手册,重要设备如操作系统、数据库、网络设备、安全设备,应用和组件等。 2)手册内容是否包括了操作步骤、维护记录、参数配置等。 【预期结果】 1)具有重要设备的配置和操作手册,如操作系统、数据库、网络设备、安全设备、应用和组件等的配置和操作手册。 2)手册内容至少包括了操作步骤、维护记录、参数配置等。 【权重】1 |
10.6.5 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。 |
运维操作日志缺失,不利于安全事件的回溯或追踪,因此要对日常的记录运维操作日志进行详细的记录。 【测评方法】 1)核查运维操作日志。 2)日志内容是否包括了网络和系统的日常巡检、运行维护记录、参数的设置和修改等内容。 【预期结果】 1)具有运维操作日志。 2)日志内容至少包括了网络和系统的日常巡检、运行维护记录、参数的设置和修改等内容。 【权重】0.7 |
10.6.6 应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为 |
没有明确的职责要求,容易引起人员读职或无作为,应对日志、监测、报警数据等指定专人负责和统计。 【测评方法】 1)访谈网络和系统相关人员是否指派部门或人员对日志、监测和报警数据等进行统计、分析。 2)核查日志监测和报警数据的统计、分析的报告。 【预期结果或要证据】 1)指派了部门或人员对日志、监测和报警数据等进行统计、分析。 2)具有日志、监测和报警数据的统计、分析的报告。 【权重】1 |
10.6.7 应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库。 |
变更管理不当,极易引起安全问题,且与变更管理有密切的联系,对运维过程中的变更操作需严格控制,变更前审批,过程中保留痕迹,事后能够更新变更内容。 【测评方法】 1)核查配置变更审批程序,如对改变连接、安装系统组件或调整配置参数的审批流程。 2)核查配置变更审计日志。 3)核查配置变更记录。 4)核查配置信息库更新记录。 【预期结果】 1)具有配置变更审批程序,如对改变连接、安装系统组件或调整配置参数的审批流程。 2)核查配置变更审计日志。 3)核查配置变更记录。 4)核查配置信息更新记录。 【权重】1 【风险等级】高 判例内容:未对运维过程中改变连接、安装系统组件或调整配置参数进行变更审批,且未进行变更性测试,一旦安装系统组件或调整配置参数对系统造成影响,有可能导致系统无法正常访问,出现异常,可判定为高风险。 适用范围:3级及以上系统。
满足条件(同时): 1、3级及以上系统; 2、未建立变更管理制度,对于重大变更性运维过程无审批流程; 3、变更过程未保留相关操作日志及备份措施,出现问题不发进行恢复还原。 |
10.6.8 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除其中的敏感数据。 |
IT运维工具包括商业的专用的运维工具,也有自行开发运维工具,无论采取哪种工具,都需进行严格的管控。 【测评方法】 1)核查运维工具的使用审批程序。 2)核查运维工具的使用审批记录。 3)核查通过运维工具执行操作的审计日志。 【预期结果】 1)具有运维工具的使用审批程序。 2)具有运维工具的使用审批记录。 3)具有通过运维工具执行操作的审计日志。 【权重】1 【风险等级】高 运维工具的管控 判例内容:未对各类运维工具(特别是未商业化的运维工具)进行有效性检查,未对运维工具的接入进行严格的控制和审批,运维工具中可能存在漏洞或后门,一旦被黑客利用有可能造成数据泄漏,可判定为高风险。 适用范围:3级及以上系统。 满足条件(同时): 1、3级及以上系统; 2、未对各类运维工具(特别是未商业化的运维工具)进行有效性检查,如病毒、漏洞扫描等;对运维工具的接入也未进行严格的控制和审批;操作结束后也未要求删除可能临时存放的敏感数据。 补偿措施: 1、如使用官方正版商用化工具,或自行开发的,安全可控的运维工具,可根据实际情况,酌情降低风险等级。 2、如对于运维工具的接入有严格的控制措施,且有审计系统对相关运维操作进行审计,可根据实际情况,酌情降低风险等级。 |
10.6.9 应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道。 |
远程运维是系统安全的隐患之一,如远程控制不当容易造成安全事件,应对远程运维的开通进行严格的控制,如确实需要开通,需要对操作过程日志进行留存并保证不可更改,运维结束后即刻关闭。 【测评方法】 1)核查远程运维的方式,使用的端口或通道。 2)核查开通远程运维的审批程序。 3)核查开通远程运维的审批记录。 4)核查通过远程运维执行操作的审计日志。 【预期结果】 1)具有远程运维的方式,使用了规定的端口或通道。 2)具有开通远程运维的审批程序。 3)具有开通远程运维的审批记录。 4)具有通过远程运维执行操作的审计日志。 【权重】1 |
可酌情降低风险等级
10.6.10 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。 |
对所有外部链接进行管控,并且定期对违规外联进行检查。 【测评方法】 1)核查开通对外连接的审批程序。 2)核查开通对外连接的审批记录。 3)核查开展违反规定无线上网及其他违反网络安全策略行为的检查记录。 【预期结果】 1)具有开通对外连接的审批程序。 2)具有开通对外连接的审批记录。 3)具有开展违反规定无线上网及其他违反网络安全策略行为的检查记录。 【风险等级】 高 运维外联的管控
判例内容:制度上服务器及终端与外部连接的授权和批准制度,也未定期对相关违反网络安全策略的行为进行检查,存在违规外联的安全隐患,一旦内网服务器或终端违规外联,可能造成涉密信息(商密信息)的泄露,同时增加了感染病毒的可能性,可判定为高风险。 适用范围:3级及以上系统。 满足条件(同时): 1、3级及以上系统; 2、管理制度上无关于外部连接的授权和审批流程,也未定期进行相关的巡检; 3、无技术手段检查违规上网及其他网络安全策略的行为。 补偿措施: 在网络部署了相关的准入控制设备,可有效控制、检查、阻断违规无线上网及其他违反网络安全策略行为的情况下,如未建立相关制度,未定期进行巡检。 【权重】1 |