網絡和系統的安全狀況直接關系到等級保護對象能否正常運行。對於網絡和系統安全的管理涉及到安全策略管理、操作賬戶管理、角色權限管理、配置參數管理、升級變更管理、日常操作管理、設備接入管理、運維日志管理等多個方面。
| 10.6.1 應划分不同的管理員角色進行網絡和系統的運維管理,明確各個角色的責任和權限。 |
| 沒有明確的責任和權限要求,容易發生瀆職事件,因此要對管理員進行明確的划分並進行崗位職責的定義。 【測評方法】 1)核查管理員職責文檔,確認是否划分了不同的管理員角色。 2)核查管理員職責文檔,確認是否明確了各個角色的責任和權限。 【預期結果或主要證據】 1)管理員職責划分了不同的管理員角色。 2)管理員職責明確了各個角色的責任和權限。 【權重】0.7 |
| 10.6.2 應指定專門的部門或人員進行賬戶管理,對申請賬戶、建立賬戶、刪除賬戶等進行控制。 |
| 賬戶管理應由專門的部門或人員來負責,並對賬戶的全生命周期進行管控。 【測評方法】 1)訪談運維負責人指派哪個部門或人員進行賬戶管理,含網絡層面、系統層面、數據庫層面、業務應用層面。 2)核查賬戶管理記錄,記錄內容是否包括了賬戶申請、建立、停用、刪除、重置等相關的審批情況。 【預期結果或主要證據】 1)指定了某部門(某崗)負責賬戶的管理工作。 2)有相關審批記錄或流程,如對申請賬戶、建立賬戶、刪除賬戶等進行了記有效控制。 【權重】0.7 |
| 10.6.3 應建立網絡和系統安全管理制度,對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規定。 |
| 對系統和網絡安全管理缺乏規范性指導或規范性指導規定不一致,容易造成人員瀆職或無作為,因此對網絡和系統安全應建立相應的管理策略和規程類的管理要求。 【測評方法】 1)核查網絡和系統安全管理制度。 2)制度內容是否包括了安全策略、賬戶管理(用戶責任、義務、風險、權限審批、權限分配、賬戶注銷等)、配置文件的生成及備份、變更審批、授權訪問、最小服務、升級與打補丁、審計日志管理、登錄設備和系統的口令更新周期等。 【預期結果】 1)具有網絡和系統安全管理制度。 2)制度內容至少包括了網絡和系統的安全策略,賬戶管理(用戶責任、義務、風險、權限審批、權限分配、賬戶注銷等),配置文件的生成、備份,變更審批、符合性檢查等,授權訪問,最小服務,升級與打補丁,審計日志,登錄設備和系統的口令更新周期等。 【權重】1 |
| 10.6.4 應制定重要設備的配置和操作手冊,依據手冊對設備進行安全配置和優化配置等。 |
| 配置規范和配置基線是保障等級保護對象安全運行的基本前提,應對設備的配置和操作建立操作規范和配置基線。 【測評方法】 1)核查重要設備的配置和操作手冊,重要設備如操作系統、數據庫、網絡設備、安全設備,應用和組件等。 2)手冊內容是否包括了操作步驟、維護記錄、參數配置等。 【預期結果】 1)具有重要設備的配置和操作手冊,如操作系統、數據庫、網絡設備、安全設備、應用和組件等的配置和操作手冊。 2)手冊內容至少包括了操作步驟、維護記錄、參數配置等。 【權重】1 |
| 10.6.5 應詳細記錄運維操作日志,包括日常巡檢工作、運行維護記錄、參數的設置和修改等內容。 |
| 運維操作日志缺失,不利於安全事件的回溯或追蹤,因此要對日常的記錄運維操作日志進行詳細的記錄。 【測評方法】 1)核查運維操作日志。 2)日志內容是否包括了網絡和系統的日常巡檢、運行維護記錄、參數的設置和修改等內容。 【預期結果】 1)具有運維操作日志。 2)日志內容至少包括了網絡和系統的日常巡檢、運行維護記錄、參數的設置和修改等內容。 【權重】0.7 |
| 10.6.6 應指定專門的部門或人員對日志、監測和報警數據等進行分析、統計,及時發現可疑行為 |
| 沒有明確的職責要求,容易引起人員讀職或無作為,應對日志、監測、報警數據等指定專人負責和統計。 【測評方法】 1)訪談網絡和系統相關人員是否指派部門或人員對日志、監測和報警數據等進行統計、分析。 2)核查日志監測和報警數據的統計、分析的報告。 【預期結果或要證據】 1)指派了部門或人員對日志、監測和報警數據等進行統計、分析。 2)具有日志、監測和報警數據的統計、分析的報告。 【權重】1 |
| 10.6.7 應嚴格控制變更性運維,經過審批后才可改變連接、安裝系統組件或調整配置參數,操作過程中應保留不可更改的審計日志,操作結束后應同步更新配置信息庫。 |
| 變更管理不當,極易引起安全問題,且與變更管理有密切的聯系,對運維過程中的變更操作需嚴格控制,變更前審批,過程中保留痕跡,事后能夠更新變更內容。 【測評方法】 1)核查配置變更審批程序,如對改變連接、安裝系統組件或調整配置參數的審批流程。 2)核查配置變更審計日志。 3)核查配置變更記錄。 4)核查配置信息庫更新記錄。 【預期結果】 1)具有配置變更審批程序,如對改變連接、安裝系統組件或調整配置參數的審批流程。 2)核查配置變更審計日志。 3)核查配置變更記錄。 4)核查配置信息更新記錄。 【權重】1 【風險等級】高 判例內容:未對運維過程中改變連接、安裝系統組件或調整配置參數進行變更審批,且未進行變更性測試,一旦安裝系統組件或調整配置參數對系統造成影響,有可能導致系統無法正常訪問,出現異常,可判定為高風險。 適用范圍:3級及以上系統。
滿足條件(同時): 1、3級及以上系統; 2、未建立變更管理制度,對於重大變更性運維過程無審批流程; 3、變更過程未保留相關操作日志及備份措施,出現問題不發進行恢復還原。 |
| 10.6.8 應嚴格控制運維工具的使用,經過審批后才可接入進行操作,操作過程中應保留不可更改的審計日志,操作結束后應刪除其中的敏感數據。 |
| IT運維工具包括商業的專用的運維工具,也有自行開發運維工具,無論采取哪種工具,都需進行嚴格的管控。 【測評方法】 1)核查運維工具的使用審批程序。 2)核查運維工具的使用審批記錄。 3)核查通過運維工具執行操作的審計日志。 【預期結果】 1)具有運維工具的使用審批程序。 2)具有運維工具的使用審批記錄。 3)具有通過運維工具執行操作的審計日志。 【權重】1 【風險等級】高 運維工具的管控 判例內容:未對各類運維工具(特別是未商業化的運維工具)進行有效性檢查,未對運維工具的接入進行嚴格的控制和審批,運維工具中可能存在漏洞或后門,一旦被黑客利用有可能造成數據泄漏,可判定為高風險。 適用范圍:3級及以上系統。 滿足條件(同時): 1、3級及以上系統; 2、未對各類運維工具(特別是未商業化的運維工具)進行有效性檢查,如病毒、漏洞掃描等;對運維工具的接入也未進行嚴格的控制和審批;操作結束后也未要求刪除可能臨時存放的敏感數據。 補償措施: 1、如使用官方正版商用化工具,或自行開發的,安全可控的運維工具,可根據實際情況,酌情降低風險等級。 2、如對於運維工具的接入有嚴格的控制措施,且有審計系統對相關運維操作進行審計,可根據實際情況,酌情降低風險等級。 |
| 10.6.9 應嚴格控制遠程運維的開通,經過審批后才可開通遠程運維接口或通道,操作過程中應保留不可更改的審計日志,操作結束后立即關閉接口或通道。 |
| 遠程運維是系統安全的隱患之一,如遠程控制不當容易造成安全事件,應對遠程運維的開通進行嚴格的控制,如確實需要開通,需要對操作過程日志進行留存並保證不可更改,運維結束后即刻關閉。 【測評方法】 1)核查遠程運維的方式,使用的端口或通道。 2)核查開通遠程運維的審批程序。 3)核查開通遠程運維的審批記錄。 4)核查通過遠程運維執行操作的審計日志。 【預期結果】 1)具有遠程運維的方式,使用了規定的端口或通道。 2)具有開通遠程運維的審批程序。 3)具有開通遠程運維的審批記錄。 4)具有通過遠程運維執行操作的審計日志。 【權重】1 |
可酌情降低風險等級
| 10.6.10 應保證所有與外部的連接均得到授權和批准,應定期檢查違反規定無線上網及其他違反網絡安全策略的行為。 |
| 對所有外部鏈接進行管控,並且定期對違規外聯進行檢查。 【測評方法】 1)核查開通對外連接的審批程序。 2)核查開通對外連接的審批記錄。 3)核查開展違反規定無線上網及其他違反網絡安全策略行為的檢查記錄。 【預期結果】 1)具有開通對外連接的審批程序。 2)具有開通對外連接的審批記錄。 3)具有開展違反規定無線上網及其他違反網絡安全策略行為的檢查記錄。 【風險等級】 高 運維外聯的管控
判例內容:制度上服務器及終端與外部連接的授權和批准制度,也未定期對相關違反網絡安全策略的行為進行檢查,存在違規外聯的安全隱患,一旦內網服務器或終端違規外聯,可能造成涉密信息(商密信息)的泄露,同時增加了感染病毒的可能性,可判定為高風險。 適用范圍:3級及以上系統。 滿足條件(同時): 1、3級及以上系統; 2、管理制度上無關於外部連接的授權和審批流程,也未定期進行相關的巡檢; 3、無技術手段檢查違規上網及其他網絡安全策略的行為。 補償措施: 在網絡部署了相關的准入控制設備,可有效控制、檢查、阻斷違規無線上網及其他違反網絡安全策略行為的情況下,如未建立相關制度,未定期進行巡檢。 【權重】1 |