安全运维体系通常由人员组织、安全策略制定、安全运维规章制度和相关技术手段等方面组成。如何建设健全的安全运维体系呢,以下列举了相关几个方面及措施。
信息系统安全运维是IT管理部门通过相关的技术、方法、工具、制度、流程和文档等对IT基础设施(软件、硬件、网络等)进行综合管理的过程,其目的是保障IT最终承载的业务安全。
安全运维体系通常由人员组织、安全策略制定、安全运维规章制度和相关技术手段(例如各类运维平台)等方面组成。如何建设健全的安全运维体系呢,以下列举了相关几个方面及措施。
一、人员组织管理
1)对岗位职责、权限进行明确划分,并且不存在兼岗情况。重要岗位、重要系统管理人员设有双人备份机制。
2)系统管理员严格按照相关制度进行用户管理,并定期检查系统用户账号,确保每个账号有唯一的、合规的使用人员。
3)在内部人员发生变动(如换岗、离职)后,及时对其相应权限进行变更、删除。
二、资产管理
1)编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
2)根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。
3)对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理。
三、介质管理
1)确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点。
2)对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。
3)介质的销毁措施,包含有保密信息的介质利用焚化或粉碎的方法,或者将数据擦除确保该设备上的敏感数据和授权软件无法被恢复重用。
四、日志管理
1)全面收集并管理信息系统及相关设备的运行日志,包括系统日志、操作日志、错误日志等。
2)对原始日志进行统一化处理,原始日志信息存储进行防篡改签名,以便可以作为司法证据。
3)形成的审计记录内容至少是否包括事件的日期、时间、发起者信息、类型、描述和结果等,并定期备份审计记录,涉及敏感数据的记录保存时间不少于半年。
五、漏洞和风险管理
1)采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
2)定期邀请第三方公司开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。
六、网络和系统安全管理
1)划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限。
2)指定专门的部门或人员进行账号管理,对申请账号、建立账号、删除账号等进行控制。
3)建立网络和系统安全管理制度,对安全策略、账号管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面做出规定。
4)制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等。
5)详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。
6)严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库。
7)严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据。
8)控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道。
9)保证所有与外部的连接均得到授权和批准,定期检查违反规定无线上网及其他违反网络安全策略的行为。
七、恶意代码防范管理
1)提高所有用户的防恶意代码意识,告知对外来计算机或存储设备接入系统前进行恶意代码检查等。
2)对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等。
3)定期验证防范恶意代码攻击的技术措施的有效性。
八、配置管理
1)记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。
2)将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库。
九、密码管理要求
使用符合国家密码管理规定的密码技术和产品。
十、变更管理要求
1)明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。
2)建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程。
3)建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
十一、备份与恢复管理
1)识别需要定期备份的重要业务信息、系统数据及软件系统等。
2)规定备份信息的备份方式、备份频度、存储介质、保存期等。
3)根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。
十二、安全事件处置
1)及时报告所发现的安全弱点和可疑事件。
2)制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等。
3)在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。
4)对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。
十三、应急预案管理
1)规定统一的应急预案框架,并在此框架下制定不同事件的应急预案,包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。
2)从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。
3)定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。
4)定期对原有的应急预案重新评估,修订完善。
十四、外包管理
1)确保外包运维服务商的选择符合国家的有关规定。
2)与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容。
3)确保选择的外包运维服务商在技术和管理方面均具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确。
4)在与外包运维服务商签订的协议中明确所有相关的安全要求。如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。
另外,可以通过建设用于支撑信息系统安全运维的工具和系统平台进行技术手段上的补充。比如:建立一个集中的信息系统运行状态收集、处理、显示及报警的网管系统;发现、管理所有与信息系统运行相关的软硬件,建立资产清单和资产配置清单的资产发现管理平台;定时扫描信息系统相关资产脆弱性,并对发现的漏洞进行及时加固的漏洞管理平台;通过防火墙、IPS、IDS、WAF等系统构建一个全方位入侵检测体系;收集各类日志与管理的日志审计系统;运维操作管理审计一体的堡垒机等。
参考文档
--------GBT 36626-2108《信息安全技术信息系统安全运维管理指南》
--------JR/T 0071—2012《金融行业信息系统安全等级保护实施指引》