安全運維體系通常由人員組織、安全策略制定、安全運維規章制度和相關技術手段等方面組成。如何建設健全的安全運維體系呢,以下列舉了相關幾個方面及措施。
信息系統安全運維是IT管理部門通過相關的技術、方法、工具、制度、流程和文檔等對IT基礎設施(軟件、硬件、網絡等)進行綜合管理的過程,其目的是保障IT最終承載的業務安全。
安全運維體系通常由人員組織、安全策略制定、安全運維規章制度和相關技術手段(例如各類運維平臺)等方面組成。如何建設健全的安全運維體系呢,以下列舉了相關幾個方面及措施。
一、人員組織管理
1)對崗位職責、權限進行明確劃分,并且不存在兼崗情況。重要崗位、重要系統管理人員設有雙人備份機制。
2)系統管理員嚴格按照相關制度進行用戶管理,并定期檢查系統用戶賬號,確保每個賬號有唯一的、合規的使用人員。
3)在內部人員發生變動(如換崗、離職)后,及時對其相應權限進行變更、刪除。
二、資產管理
1)編制并保存與保護對象相關的資產清單,包括資產責任部門、重要程度和所處位置等內容。
2)根據資產的重要程度對資產進行標識管理,根據資產的價值選擇相應的管理措施。
3)對信息分類與標識方法做出規定,并對信息的使用、傳輸和存儲等進行規范化管理。
三、介質管理
1)確保介質存放在安全的環境中,對各類介質進行控制和保護,實行存儲環境專人管理,并根據存檔介質的目錄清單定期盤點。
2)對介質在物理傳輸過程中的人員選擇、打包、交付等情況進行控制,并對介質的歸檔和查詢等進行登記記錄。
3)介質的銷毀措施,包含有保密信息的介質利用焚化或粉碎的方法,或者將數據擦除確保該設備上的敏感數據和授權軟件無法被恢復重用。
四、日志管理
1)全面收集并管理信息系統及相關設備的運行日志,包括系統日志、操作日志、錯誤日志等。
2)對原始日志進行統一化處理,原始日志信息存儲進行防篡改簽名,以便可以作為司法證據。
3)形成的審計記錄內容至少是否包括事件的日期、時間、發起者信息、類型、描述和結果等,并定期備份審計記錄,涉及敏感數據的記錄保存時間不少于半年。
五、漏洞和風險管理
1)采取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補。
2)定期邀請第三方公司開展安全測評,形成安全測評報告,采取措施應對發現的安全問題。
六、網絡和系統安全管理
1)劃分不同的管理員角色進行網絡和系統的運維管理,明確各個角色的責任和權限。
2)指定專門的部門或人員進行賬號管理,對申請賬號、建立賬號、刪除賬號等進行控制。
3)建立網絡和系統安全管理制度,對安全策略、賬號管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面做出規定。
4)制定重要設備的配置和操作手冊,依據手冊對設備進行安全配置和優化配置等。
5)詳細記錄運維操作日志,包括日常巡檢工作、運行維護記錄、參數的設置和修改等內容。
6)嚴格控制變更性運維,經過審批后才可改變連接、安裝系統組件或調整配置參數,操作過程中應保留不可更改的審計日志,操作結束后應同步更新配置信息庫。
7)嚴格控制運維工具的使用,經過審批后才可接入進行操作,操作過程中應保留不可更改的審計日志,操作結束后應刪除工具中的敏感數據。
8)控制遠程運維的開通,經過審批后才可開通遠程運維接口或通道,操作過程中應保留不可更改的審計日志,操作結束后立即關閉接口或通道。
9)保證所有與外部的連接均得到授權和批準,定期檢查違反規定無線上網及其他違反網絡安全策略的行為。
七、惡意代碼防范管理
1)提高所有用戶的防惡意代碼意識,告知對外來計算機或存儲設備接入系統前進行惡意代碼檢查等。
2)對惡意代碼防范要求做出規定,包括防惡意代碼軟件的授權使用、惡意代碼庫升級、惡意代碼的定期查殺等。
3)定期驗證防范惡意代碼攻擊的技術措施的有效性。
八、配置管理
1)記錄和保存基本配置信息,包括網絡拓撲結構、各個設備安裝的軟件組件、軟件組件的版本和補丁信息、各個設備或軟件組件的配置參數等。
2)將基本配置信息改變納入變更范疇,實施對配置信息改變的控制,并及時更新基本配置信息庫。
九、密碼管理要求
使用符合國家密碼管理規定的密碼技術和產品。
十、變更管理要求
1)明確變更需求,變更前根據變更需求制定變更方案,變更方案經過評審、審批后方可實施。
2)建立變更的申報和審批控制程序,依據程序控制所有的變更,記錄變更實施過程。
3)建立中止變更并從失敗變更中恢復的程序,明確過程控制方法和人員職責,必要時對恢復過程進行演練。
十一、備份與恢復管理
1)識別需要定期備份的重要業務信息、系統數據及軟件系統等。
2)規定備份信息的備份方式、備份頻度、存儲介質、保存期等。
3)根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略、備份程序和恢復程序等。
十二、安全事件處置
1)及時報告所發現的安全弱點和可疑事件。
2)制定安全事件報告和處置管理制度,明確不同安全事件的報告、處置和響應流程,規定安全事件的現場處理、事件報告和后期恢復的管理職責等。
3)在安全事件報告和響應處理過程中,分析和鑒定事件產生的原因,收集證據,記錄處理過程,總結經驗教訓。
4)對造成系統中斷和造成信息泄漏的重大安全事件應采用不同的處理程序和報告程序。
十三、應急預案管理
1)規定統一的應急預案框架,并在此框架下制定不同事件的應急預案,包括啟動預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等內容。
2)從人力、設備、技術和財務等方面確保應急預案的執行有足夠的資源保障。
3)定期對系統相關的人員進行應急預案培訓,并進行應急預案的演練。
4)定期對原有的應急預案重新評估,修訂完善。
十四、外包管理
1)確保外包運維服務商的選擇符合國家的有關規定。
2)與選定的外包運維服務商簽訂相關的協議,明確約定外包運維的范圍、工作內容。
3)確保選擇的外包運維服務商在技術和管理方面均具有按照等級保護要求開展安全運維工作的能力,并將能力要求在簽訂的協議中明確。
4)在與外包運維服務商簽訂的協議中明確所有相關的安全要求。如可能涉及對敏感信息的訪問、處理、存儲要求,對IT基礎設施中斷服務的應急保障要求等。
另外,可以通過建設用于支撐信息系統安全運維的工具和系統平臺進行技術手段上的補充。比如:建立一個集中的信息系統運行狀態收集、處理、顯示及報警的網管系統;發現、管理所有與信息系統運行相關的軟硬件,建立資產清單和資產配置清單的資產發現管理平臺;定時掃描信息系統相關資產脆弱性,并對發現的漏洞進行及時加固的漏洞管理平臺;通過防火墻、IPS、IDS、WAF等系統構建一個全方位入侵檢測體系;收集各類日志與管理的日志審計系統;運維操作管理審計一體的堡壘機等。
參考文檔
--------GBT36626-2108《信息安全技術信息系統安全運維管理指南》
--------JR/T0071—2012《金融行業信息系統安全等級保護實施指引》
