编程那点事编程那点事

专注编程入门及提高
探究程序员职业规划之道!

信息安全等级保护之管理要求→系统运维管理→系统安全管理

一、要求内容 

a)应根据业务需求和系统安全分析确定系统的访问控制策略; 

b)应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补; 

c)应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装; 

d)应建立系统安全管理制度,对系统安全策略、安全配置、日志管理、日常操作流程等方面作出具体规定; 

e)应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则; 

f)应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作; 

g)应定期对运行日志和审计数据进行分析,以便及时发现异常行为; 

h)应对系统资源的使用进行预测,以确保充足的处理速度和存储容量,管理人员应随时注意系统资源的使用情况,包括处理器、存储设备和输出设备。 

二、实施建议 

参考以上等保要求的内容建立系统安全管理制度,并严格遵守执行,定期对安全管理的执行情况进行检查,并保留日常操作、管理和检查的记录。管理权限的严格限制和帐号分离可以有效控制管理人员的误操作。 

三、常见问题 

大多企业的Unix服务器系统在安装之后就很少会打补丁,并且缺少补丁测试的环境;系统管理员帐号也存在多个管理人员共用的情况;对于系统的审计日志通常也没有专人负责分析和审查。 

四、实施难点 

建立系统补丁测试环境需要部分资金的投入,小公司较难实现,需要采取其他措施进行弥补;日志的分析工作由于数据量非常大,且信息并不是直观易读的,人工分析的话困难较大。 

五、测评方法 

形式 访谈,检查。 对象 安全管理员,系统管理员,系统操作手册,系统安全管理制度,详细操作日志,系统审计分析记录,系统漏洞扫描报告。 

实施 

a) 应访谈安全主管,询问是否指定专人对系统进行管理,是否对系统安全管理工作制度化; 

b) 应访谈安全管理员,询问对系统管理员用户是否进行分类,明确各个角色的权限、责任和风险,权限设定是否遵循最小授权原则;是否定期分析运行日志和审计数据,能否及时发现异常行为,运行日志和审计记录是否有人员负责存放; 

c) 应访谈系统管理员,询问是否定期对系统安装安全补丁程序,在安装系统补丁前是否对重要文件(系统配置、系统用户数据等)进行备份,采取什么方式进行,是否先在测试环境中测试通过才能安装;是否定期对系统进行漏洞扫描,发现漏洞是否及时修补; 

d) 应访谈系统管理员,询问是否对系统资源的使用进行预测,是否监视系统资源的使用情况,包括处理器、存储设备和输出设备等; 

e) 应检查系统安全管理制度,查看其内容是否覆盖系统安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志、系统帐户等方面做出具体要求; 

f) 应检查是否有详细操作日志(包括重要的日常操作、运行维护记录、参数的设置和修改等内容); 

g) 应检查是否有定期对运行日志和审计结果进行分析的记录,是否能够记录帐户的连续多次登录失败、非工作时间的登录、访问受限系统或文件的失败尝试、系统错误等非正常事件;是否由专人管理运行日志和审计记录; 

h) 应检查系统漏洞扫描报告,查看其内容是否覆盖系统存在的漏洞、严重级别、原因分析和改进意见等方面。 

六、参考资料 

《信息安全等级保护信息系统安全管理要求》中对系统安全管理的要求: 

5.5.5.5 应用系统安全管理要求 对应用系统安全管理,不同安全等级应有选择地满足以下要求的一项: 

a)应用系统安全管理基本要求:应通过正式授权程序委派专人负责应用系统的安全管理,应明确管理范围、管理事务、管理规程,以及应用系统软件的安全配置、备份等安全工作;应制定有关规章制度;应保证按相应等级要求,对应用系统进行安全管理。 

b)基于操作规程的应用系统安全管理:在a)的基础上,应制定并落实应用系统的安全操作规程,

包括: 

——指定信息安全管理人员,依据信息安全操作规程,负责信息的分类管理和发布。 

——对任何可能超越系统或应用程序控制的实用程序和系统软件都应得到正式的授权和许可,并对使用情况进行登记。保证对应用系统信息或软件的访问不影响其他信息系统共享信息的安全性。

 ——应用系统的内部用户,包括支持人员,应按照规定的程序办理授权许可,并根据信息的敏感程度签署安全协议,保证应用系统数据的保密性、完整性和可用性。 

——应指定专人负责应用系统的审计工作,保证审计日志的准确性、完整性和可用性。 

——组织有关人员定期或不定期对应用系统的安全性进行审查,并根据应用系统的变更或风险变化提交正式的报告,提出安全建议。 

——对应用系统关键岗位的工作人员实施资质管理,保证人员的可靠性和可用性。 

——制定切实可用的应用系统及数据的备份计划和应急计划,并由专人负责落实和管理。

——制定应用软件安全管理规章制度,包括应用软件的开发和使用等管理(详见5.8) 

c)基于标记的应用系统安全管理:在b)的基础上,应对应用软件的使用采取授权、标记管理制度;未授权用户不得安装、调试、运行、卸载应用软件,并对应用软件的使用进行审计;应定期或不定期对应用系统的安全性进行评估,并根据应用系统的变更或风险变化提交正式的评估报告,提出安全建议,修订、完善有关安全管理制度和规程;应用系统的开发人员不得从事应用系统日常运行和安全审计工作;操作系统的管理人员不得参与应用系统的安全配置管理和应用管理。 

d)基于强制的应用系统安全管理:在c)的基础上,要求建立独立的应用安全审计,对应用系统的总体安全策略、应用系统安全措施的设计、部署、维护和运行管理进行检查;审计人员仅实施审计工作,不参与系统的其它任务,确保授权用户范围内的使用,防止信息的泄漏。 

e)基于专控的应用系统安全管理:在d)的基础上,应对应用系统的安全状态实施周期更短的审计、检查和操作过程监督,并保证对应用系统的安全措施能适应安全环境的变化;应与应用系统主管部门共同制定专项安全措施。

未经允许不得转载: 技术文章 » 信息安全 » 信息安全等级保护之管理要求→系统运维管理→系统安全管理