1、GGGG信息安全管理制度实施指南V1.01策略管理61.1安全策略和管理制度61.1.1信息安全策略61.1.2信息安全管理制度61.1.3行为规范71.2安全规划71.2.1系统安全规划71.2.2系统安全规划的更新81.2.3阶段性行动计划82组织管理82.1组织机构82.1.1信息安全管理机构82.1.2信息安全管理人员92.2人员安全92.2.1工作岗位风险分级92.2.2人员审查92.2.3人员工作合同终止102.2.4人员调动102.2.5工作协议和条款102.2.6第三方人员安全112.2.7人员处罚112.3安全意识和培训112.3.1安全意识112.3.2安全培训122.3.
2、3安全培训记录123运行管理133.1风险评估和认证认可133.1.1安全分类133.1.2风险评估133.1.3风险评估更新143.1.4安全认证143.1.5安全认可143.1.6持续监控153.2系统与服务采购153.2.1资源分配153.2.2生命周期支持163.2.3采购163.2.4信息系统文件163.2.5软件使用限制163.2.6用户安装的软件173.2.7安全设计原则173.2.8外包信息系统服务173.2.9开发配置管理183.2.10开发安全测试评估183.3配置管理183.3.1基线配置193.3.2配置变更控制193.3.3监督配置变更203.3.4变更访问限制203
3、.3.5配置策略设置203.3.6功能最小化203.4应急计划和事件响应213.4.1应急计划213.4.2应急响应培训213.4.3应急和事件响应计划测试213.4.4应急和事件响应计划更新223.4.5事件处理223.4.6事件监控223.4.7事件报告233.4.8事件响应支持233.5系统管理与维护233.5.1安全管理技术243.5.2常规维护243.5.3维护工具管理243.5.4远程维护243.5.5维护人员253.5.6维护及时性254技术管理254.1标识鉴别254.1.1身份标识和鉴别254.1.2设备标识和鉴别264.1.3标识管理264.1.4鉴别管理274.1.5登录
4、和鉴别反馈274.2访问控制284.2.1账户管理284.2.2强制访问294.2.3信息流控制294.2.4职责分离304.2.5最小权限304.2.6不成功登录尝试304.2.7系统使用情况314.2.8最近登录情况314.2.9并发会话控制324.2.10会话锁定324.2.11会话终止324.2.12对访问控制的监督和审查334.2.13不需鉴别或认证的行为334.2.14自动化标记334.2.15远程访问控制344.2.16无线接入访问控制344.2.17便携式移动设备的访问控制344.2.18个人信息系统354.3系统与信息完整性354.3.1漏洞修补354.3.2防恶意代码攻击3
5、64.3.3输入信息的限制364.3.4错误处理364.3.5输出信息的处理和保存374.4系统与通信保护374.4.1应用系统分区374.4.2安全域划分384.4.3拒绝服务保护384.4.4边界保护384.4.5网络连接终止384.4.6公共访问保护384.4.7移动代码394.5介质保护394.5.1介质访问394.5.2介质保存394.5.3信息彻底清除404.5.4介质的废弃404.6物理和环境保护404.6.1物理访问授权414.6.2物理访问控制414.6.3显示介质访问控制414.6.4物理访问监视414.6.5来访人员控制424.6.6来访记录424.6.7环境安全424.
6、7检测和响应424.7.1事件审计434.7.2审计记录的内容444.7.3审计处理444.7.4审计的监控、分析和报告444.7.5审计信息保护454.7.6审计保留454.7.7入侵检测454.7.8漏洞扫描454.7.9安全告警和响应464.8备份与恢复464.8.1信息系统备份464.8.2备份存储地点474.8.3备份处理地点474.8.4信息系统恢复与重建471 策略管理安全策略是高层管理层决定的一个全面的声明,它规定在组织中安全问题扮演什么样的角色。组织安全策略为机构内部未来的所有安全活动提供了范围和方向。1.1 安全策略和管理制度对各级部门制定总体的信息安全策略、信息安全管理制
7、度和相应的行为规范,指导信息安全保障工作更好的开展。1.1.1 信息安全策略信息安全策略是高级管理层决定的一个全面的声明,它规定在组织中安全问题扮演什么样的角色。它能够为信息安全提供符合业务要求和相关法律法规的管理指导和支持。要求对各级部门制定总体信息安全策略,详细阐述目标、范围、角色、责任以及合规性等;制定高层信息安全策略,部门级安全策略,系统级安全策略;开发、发布、并定期更新信息安全策略;内容信息安全策略的内容要覆盖安全规划、组织机构、人员安全、安全意识和培训、风险评估、认证认可、系统与服务采购、配置管理、应急计划、事件响应、系统维护、标识鉴别、访问控制、系统与信息完整性、系统与通信保护、
8、抗抵赖、介质保护、物理和环境保护、检测响应恢复等各方面;信息安全策略定义了明确所要保护的总体安全目标与范围;信息安全策略经过本级主管信息工作的领导批准,正式颁布,并定期根据实施效果进行修订。1.1.2 信息安全管理制度信息安全管理制度是为了更好地保证系统的信息安全,是信息安全策略的进一步实施的具体化。要求制定严格的规范化的信息安全管理制度,以促进信息安全策略的实施;内容对信息的生成、存储、查看、传输、复制、备份、归档、销毁等制定严格的管理制度;对信息系统中设备与系统的接入、运行、维护、管理的规定;有安全管理值班制度与事故报告处理制度,应急响应预案以及各种应用系统用户授权管理与系统运行管理规定等
9、;根据管理制度的执行情况定期审核,修订。1.1.3 行为规范行为规范规定了系统的各类使用和管理人员的岗位职责,规定了各类人员的责任和所允许信息系统的权利。要求对信息系统的各类使用和管理人员的岗位职责、行为规范制定管理规定,并描述其责任和所允许的访问信息和信息系统的正当行为;所有用户在被授权访问信息系统之前,应以书面签认方式确认其已经知悉、理解并愿意遵守相关的规范。内容管理制度印发给有关管理和应用人员,并抽查,以验证其是否了解应遵守的行为规范。1.2 安全规划制定较为完整的信息安全规划,以指导信息安全保障工作的开展。安全规划包括系统安全规划、系统安全规划的更新、阶段性行动计划。1.2.1 系统安
10、全规划系统安全规划是对信息系统安全一个全面的规划,用来描述系统的安全要求和满足安全规划采用的安全控制措施。要求为信息系统制定并实施安全规划,对系统的安全要求以及满足这些安全需求的在用的或计划采用的安全控制措施进行描述;高层领导应审核、批准安全规划,并采用统一规划、分步实施的原则贯彻执行。内容结合GGGG的信息系统安全的总体目标和安全需求,制定针对性的信息安全规划;1.2.2 系统安全规划的更新系统安全是一个动态的过程,系统安全规划要定期审核并修订,当发生重大变更时,要用时对系统安全规划进行更新。要求定期审核并修订信息系统安全规划,以解决在计划实施中或安全控制评估中发现的问题,以及应对信息系统或
11、组织的变更。内容定期或发生重大变更时,对信息安全规划进行审核和修订;信息安全规划的修改要严格遵守相关的策略和流程,并得到主管领导的批准。1.2.3 阶段性行动计划信息系统的生命周期有不同的阶段,在每一个阶段信息系统的安全需求是不同的,要对每个阶段编制、开发或更新信息系统的行动计划。要求编制开发和更新信息系统的活动和里程碑计划,并将已计划的、已实施的、和经过评估的行为文件化,以减少或消除系统中已知的脆弱性。内容有相应的活动和里程碑计划;活动和里程碑计划是在安全控制措施评估结果、安全影响分析和持续性监控活动的基础上进行更新的。2 组织管理2.1 组织机构2.1.1 信息安全管理机构要求组建本单位的
12、信息安全管理机构,该机构应由主管本单位信息安全工作的领导、负责具体工作的网络、安全管理人员组成,责任到人,具有领导信息安全工作、制定安全策略、监督管理等职能。内容组建信息安全管理机构及其机构组成,人员设置,并文件化;组建的信息安全管理机构有明确的信息安全管理职能(包括物理安全管理、身份鉴别管理、访问控制管理、安全审计管理、安全教育与培训等);组建的信息安全管理机构是自上而下,分级负责的。2.1.2 信息安全管理人员要求信息安全管理机构中的安全管理人员应分权负责,以限制具有超级权限的人员存在。内容信息安全管理机构中的管理人员分权负责,系统管理员、安全管理员、安全审计员等分别都是由不同的人员担任;
13、各种设备与系统由相关的管理责任人,具有信息资产清单,并明文规定责任人的职责,责任人对其管理的设备及责任清楚。2.2 人员安全人员安全主要包括工作岗位风险分级、人员审查、人员工作合同终止、人员调动、工作协议和条款、第三方人员安全以及人员处罚等几个方面。2.2.1 工作岗位风险分级要求对工作岗位进行风险分级,并制定针对在各级岗位工作的人员审查机制;定期复核和修订不同工作岗位的风险分级。内容制定并实施工作岗位风险分级的制度;定期复核、修订工作岗位的风险分级。2.2.2 人员审查要求结合自身的业务需求、相关的法律法规、被访问信息的分类及面临风险等因素,对工作人员、合作者、第三方人员进行人员背景审查;在
14、授权之前对需要访问信息和信息系统的人员进行审查;制定人员审查流程,流程应描述进行人员审查的方式和限制条件,如规定谁有资格进行审查,在何时,通过什么方式,因为什么原因来进行审查等等。内容制定有关人员背景审查的制度和流程,并依此进行人员审查、核实工作。2.2.3 人员工作合同终止要求当人员工作合同终止时,应终止人员对信息系统的访问,并确保其归还所拥有与组织相关的资产;制定员工注册和注销流程,来授予和撤销员工对信息系统和服务的访问权限。内容明确规定和指派职责,以处理人员工作合同终止事宜;及时移除或封堵工作合同终止的人员对信息和信息处理系统的访问权限,包括物理和逻辑访问;及时更改工作合同终止人员所知晓
15、的账户密码。2.2.4 人员调动要求当工作人员被重新分配或调动到单位其它工作岗位时,应复查信息系统和设施的访问授权,并采取适当的措施(如重新发放身份卡,关闭原有账户的同时创建新账户,更改系统的访问授权等)。内容对人员调动采取适当的安全措施。2.2.5 工作协议和条款要求在对需要访问信息和信息系统的人员进行访问授权之前,签署适当的工作协议和条款(如,保密协议、按规定进行使用的协议、行为规范等)。内容制定和签署相关的工作协议和条款。2.2.6 第三方人员安全要求建立针对第三方人员(如服务机构、合作方、信息系统开发商、信息技术服务、应用系统外包、网络和安全管理等)的安全要求,并不断监督其遵从安全要求
16、的情况以确保足够安全。内容明确第三方参与的业务过程对信息和信息处理设施带来的风险,并采取适当的控制措施;同第三方签订的安全协议中,覆盖第三方在访问、处理、通信、管理组织信息或信息处理设施、增加产品或服务等活动中所有相关的安全要求,并清晰定义了其安全角色和责任。2.2.7 人员处罚要求建立正规的程序,处罚或制裁未遵守信息安全策略和流程的员工。内容在信息安全策略和程序文档中制定了关于人员处罚的相关程序。2.3 安全意识和培训安全意识和培训的目标是确保用户清楚信息安全威胁和利害关系。在安全程序、设备和信息系统的使用过程中培训工作人员,使工作人员有良好的安全意识,以降低可能的安全风险。安全意识和培训涉
17、及以下内容:安全意识、安全培训、安全培训记录。2.3.1 安全意识要求根据信息系统的特定安全要求,制定具有针对性的安全意识培训内容,确保所有人员(包括领导和普通工作人员)在被授权访问信息系统之前进行了基本的信息安全意识培训,并且定期进行培训。内容相关人员具备基本的信息安全意识。2.3.2 安全培训要求制定安全培训计划,并且定期按照计划进行培训;确定每个工作人员在信息系统中的安全角色和职责,将这些角色和职责文档化,在工作人员被授权访问系统之前提供适合的信息系统安全培训;依据自身的特定要求和工作人员授权访问的信息系统的不同,制定针对性较强的安全培训内容;确保系统管理员,管理者和其他有权访问系统层软
18、件的人员在从事本职工作之前进行了必要的技术培训。内容根据安全培训计划和安全培训教材以及工作人员的安全角色和职责制定针对性较强的信息安全培训;根据安全培训记录并结合安全培训计划,在适当的时间,对相关各类人员进行了必要的信息安全培训。2.3.3 安全培训记录要求记录并监督工作人员的信息系统安全培训过程,包括一些基本安全意识和安全技能培训,并应形成相关的培训记录。内容有相应的安全培训记录。3 运行管理3.1 风险评估和认证认可风险评估是对信息和信息处理设施所面临的威胁及其影响以及信息系统脆弱性及其发生可能性的评估。3.1.1 安全分类在于对不同类别的信息和信息系统提供出不同等级的安全保护。要求对信息
19、系统及其处理、加工和存储的信息进行分类,并对不同类别的信息和信息系统应达到的提出安全保护要求;将安全分类作为涉及整个单位的一项工作,并将安全分类的依据和结果记录形成文件,由主管领导审核并批准。内容根据法律要求,对敏感性和关键性等因素对信息及信息系统进行分类。3.1.2 风险评估风险评估应包括评价风险程度的系统化的方法(风险分析)以及将估计的风险与风险准则进行比较从而确定风险重要程度的过程(风险评估)。要求标识信息系统的资产价值,识别信息系统面临的自然和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性,并定量或定性的描述可能造成的损失、评估系统的风险级别;定期进行风险评估,以定期审核系
20、统的安全风险和已实施的安全控制的效果。内容对系统的资产价值进行了分级,信息系统面临的自然和人为的威胁有所定义,信息系统的脆弱性所在,对威胁发生的可能性有相对准确的分级,定量或定性描述结果符合系统的现状;在进行风险评估时,选择的服务商有相关的资质证明,其所依据的评估流程、评估方法是有效的和规范的;对安全控制的措施以及现有控制措施正确实施的程度是按照计划实施、产生的,其输出的结果满足系统的安全需求。3.1.3 风险评估更新信息系统的风险评估处于一个动态平衡状态,当系统内部有所变化,相对应的风险级别发生新的更新以符合新的风险状态。要求当信息系统发生重大变更时,应重新进行风险评估;制定相关规定,说明哪
21、些是信息系统的重大变动。内容当信息系统发生重大变更时,如设备改变或其它影响系统安全状态时,进行了风险评估更新,并对以前的风险评估有更新记录;有针对风险评估更新而制定的具体标准。3.1.4 安全认证保障信息系统安全技术产品具有可靠的安全保障能力。要求当前投入使用的信息系统安全技术产品应该按照有关法律法规得到国家权威机构的测评和认证,以确定信息安全技术产品的功能和性能可以满足系统的安全需求;邀请国家权威机构对本单位信息系统进行测评和认证,以确定信息系统的技术控制措施,安全管理规章和工程建设过程可以为系统的安全提供充分的保障;安全认证应结合到系统开发的生命周期(SDLC)中,并贯穿在生命周期的各个阶
22、段。内容当前使用的信息安全产品得到中国信息安全产品测评认证中心、公安部、国家保密局等国家权威部门的相关认证;通过国家权威机构对信息系统的安全保障能力的测评认证;认证结果对于当前系统是有效的(认证结果距检查时间不超过两年,得到认证后没有对系统进行较大的改动)。3.1.5 安全认可保障信息系统的安全运行。要求信息系统运行之前,以及信息安全产品投入正式使用之前需得到国家权威机构和上级主管部门的认可。内容信息系统的技术控制措施,安全管理规章和工程建设过程符合有关规定,并通过了有关的评估和认证;当前使用的信息安全产品符合相关规定,并通过了有关的评估和认证。3.1.6 持续监控保障信息系统安全的持续性、稳
23、定性。要求监控信息系统现有的安全控制措施,有计划地持续进行配置管理、信息系统组件控制、系统变更后的安全影响分析、现有安全控制措施评估和状态汇报等工作。内容制定并实施有关的规定,取得相应的认证认可,对系统的安全控制措施和安全保障能力进行持续的监控。3.2 系统与服务采购系统和服务采购涉及到资源分配、生命周期支持、信息系统文件、软件使用限制、用户安装的软件、安全设计原则、外包信息系统服务、开发人员配置管理、开发人员安全测试十个项目内容。3.2.1 资源分配要求定义投资控制过程所需的保护信息系统资源的范围;在信息系统规划中要确定安全要求;规划和预算文件中,要建立信息系统安全项目,将主要的规划和投资控
24、制过程整合到一起。内容定义投资控制的范围;信息系统规划中定义了相应的安全要求。3.2.2 生命周期支持要求管理信息系统要有其相应的生命周期;为系统开发生命周期安全考虑提供相应的实施指南。内容在相关的信息管理系统中明确关于系统生命周期的说明;有对应系统开发周期的相应的实施指南。3.2.3 采购要求采购合同中要明确定义相关的安全要求、安全规范和基于风险评估的信息系统要求;在信息系统所要求的文档中要包括安全配置说明和安全实施指南。内容采购合同满足该行业相关的安全需求;在信息系统所要求的文档中包括了相应的安全配置说明和安全实施指南。3.2.4 信息系统文件要求确保信息系统拥有完整齐全的文档,包括系统的
25、详细设计方案和实施方案,配置、安装和运行信息系统且能正确配置系统安全特性的指南;保证全部文档可用,并受到保护;提供描述信息系统中安全控制的功能属性文件。内容信息系统文件(如安全设计方案、建设方案、管理员和用户指南、系统安全配置参考文件等)完整,清晰地定义了文档的授权级别。3.2.5 软件使用限制要求对软件的使用进行限制;软件和所用相关文档与合同协商和法律版本一致;对软件和相关的文档的数量进行相应的许可保护,并对软件的复制和分发进行控制。内容制定软件使用政策,遵守软件许可协议,禁止使用盗版软件;控制用户可访问的范围,监控异常情况。例如:进行URL限制,关注异常流量等,对可疑问题是否及时上报;工作
26、人员接收权威发布部门发布的软件的相关信息,不接收和传播未经确认的信息。3.2.6 用户安装的软件要求对软件的下载和安装要有明确的规定;对软件的类型进行识别和分类,确认哪些是可以下载和安装的,哪些是被禁止的。内容有软件下载和安装的规定;安全软件的升级过程有相应的变更控制流程进行控制。3.2.7 安全设计原则要求使用安全工程原则设计和实施信息系统。内容组织机构采用信息系统安全工程原则来设计、开发和实施信息系统。3.2.8 外包信息系统服务要求执行和维护在服务协议中规定的信息安全服务提供级别;对第三方的服务提供进行管理;对第三方的服务的监控和审核进行管理;对第三方服务变更进行管理。(由于所涉及的业务
27、系统,业务过程和风险再评估的重要性,要对服务的变更过程进行管理,包括为改进现有的信息安全策略,流程和控制措施所实施的变更)。内容验证协议的执行情况,监控实际操作与协议的符合程度,对与协议不符的地方进行相应的管理,来确保第三方所提供的服务达到了协议中的要求;第三方实施了在第三方服务提供中所规定的安全控制措施,服务定义和提供服务的级别。3.2.9 开发配置管理要求对信息系统的开发要建立和实施配置管理计划,控制在开发过程中的变更,跟踪安全错误,要进行变更授权,提供计划和实施文档。内容为信息系统开发建立和实施了相应的配置管理计划;在控制可发过程之中的变更有记录。3.2.10 开发安全测试评估要求对信息
28、系统开发要建立安全测试和评估计划,并实施相应的计划,将相应的计划文档化。开发安全测试和评估结果应提交用于信息系统交付的安全认证和认可过程。内容开发的、在行业网上使用并涉及行业关键信息和数据的软件系统进行了安全评估,并通过了安全审核;对测试应用系统实施了访问控制;系统真实运行的信息复制到测试应用系统前先经过了正式授权;对系统真实运行的信息和使用情况进行了记录,以便审核追踪。3.3 配置管理配置管理是信息系统运行管理的一个重要组成部分。对网络设备、安全设备、操作系统、应用系统和数据库系统的配置进行正确有效的管理,是保证信息系统正常运行和消除系统安全风险最基本,最必要的手段。信息系统的管理和维护人员
29、要在明确安全需求的基础上,熟悉各个软硬件设备的当前配置情况,并在信息系统出现变更时按照配置管理策略和配置管理流程对配置进行及时的修改和记录。信息系统的管理和维护人员应该编制系统资产清单和当前系统的基线配置来记载系统中所有软硬件设备的基本信息(包括系统中各软硬件的生产厂商,产品类别,序列号,版本号以及该资产在系统中的物理位置和逻辑位置)和当前的配置情况。要将对资产清单和基线配置的更新作为系统更新或扩展的一项必要工作,保证资产清单和基线配置能反映系统当前的真实情况。并逐步使用自动化的工具(网管系统、安全集中管理平台等)自动生成和维护资产清单和基线配置。3.3.1 基线配置要求编制系统资产清单和当前
30、系统的基线配置;对资产清单和基线配置的更新作为系统更新或扩展的一项必要工作;使用自动化工具自动生成和维护资产清单和基线配置。内容通过资产调查,确定系统中所有资产的基本信息;基线配置文档的完整性和准确性;实现网络设备和安全设备的集中管理,具备自动生成网络设备和安全设备的基线配置的能力。3.3.2 配置变更控制要求对配置的变更进行记录和控制;使用自动化的工具来记录和控制配置变更。内容对配置变更进行记录;配置变更遵循科学规范的流程;使用了对配置变更进行控制和记录的自动化工具。3.3.3 监督配置变更要求对配置变更的全过程进行跟踪,避免配置变更对系统原有的安全功能造成不可接受的负面影响;建立配置变更审
31、计系统。内容指定专门的人员对配置变更的过程进行监督,并在配置变更之后检验配置变更对系统原有的安全性产生的影响;建立了实用的审计系统。3.3.4 变更访问限制要求确保只有被授权和批准的人员才能对信息系统配置进行变更,升级和修改;采取管理和技术的手段对配置变更行为的发生进行限制。内容制定对系统配置的访问控制策略;采用物理和逻辑的访问控制手段,对配置变更进行访问限制。3.3.5 配置策略设置要求对信息系统中使用的各种信息技术产品制定统一要求的配置策略文件,并强制执行;根据系统的安全需求,以合理的方式对系统中的设施进行安全配置。内容对系统中的网络设备、安全设备和重要服务器依据配置策略进行了合理的配置。
32、3.3.6 功能最小化要求通过配置,使系统中的设施只实现需要实现的功能。内容目前系统的配置已经禁用了不必要的软件,功能,端口,协议和服务。3.4 应急计划和事件响应应急计划是在信息系统发生紧急安全事件(包括入侵事件,软硬件故障,网络病毒,自然灾害等)之后,为尽快恢复系统正常运行,降低安全事件的负面影响而制定的策略和流程。应急计划工作应该包括应急计划的编写,针对应急计划的培训,应急计划的测试以及应急计划的更新。3.4.1 应急计划要求为信息系统制定并实施应急计划;应急计划中应描述人员角色、职责、联络人、联络信息以及如何将中断或失效的系统进行恢复;主管领导应审核并批准应急计划,并下发关键的应急责任
33、人员。内容信息系统是否针对各种紧急事件制定应急计划和处理程序,检查其完整性,合理性和可执行性。3.4.2 应急响应培训要求根据应急响应计划中人员角色和职责制定详细的培训计划,并定期进行更新和培训,并作记录;定期考察工作人员应对紧急事件的意识和技能;对事件响应的内容、处理方式和预防措施进行相关的培训。内容按照应急响应计划的总体要求制定应急响应培训计划;有对事件响应的内容、处理方式和预防措施进行相关的培训;有应急培训记录。3.4.3 应急和事件响应计划测试要求通过测试来检验信息系统应急计划的有效性,以及检验本单位是否已就绪并能够应对紧急事件。内容有测试记录和报告。3.4.4 应急和事件响应计划更新
34、要求测试后,应及时记录测试结果并总结测试中发现的问题,以对应急计划进行必要更新和修正,使其得到持续的完善。内容安全策略中有关于应急计划更新的策略和流程;不同的应急计划以及更新记录。3.4.5 事件处理要求具备安全事故的处理能力,包括准备、检测、分析、遏制、根除和恢复能力;积极总结以往安全事故处理中的经验和教训,整合到事件处理流程中来,并正确地依照流程进行实施。内容具备处理安全事故的能力;采用自动化的机制来支持事故处理过程。3.4.6 事件监控要求对所发生的安全事件进行跟踪并记录;使用相应机制(如防火墙、IDS等相关日志信息),来帮助追踪安全事故,搜集和分析事件信息。内容对所发生的安全事件进行追
35、踪并记录;使用相应机制(如防火墙、IDS等相关日志信息),来帮助追踪安全事故,搜集和分析事件信息。3.4.7 事件报告要求对发生的事故,有正式的报告程序和事件反应程序,描述接到事故报告后要采取的措施;对汇报事件的类型、内容、及时性以及汇报对象的要求,符合法律法规、行业的信息安全策略及相关规定。内容对发生的事故,有正式的报告程序和事件的反应程序;对汇报事件的类型、内容、及时性以及汇报对象的要求,符合法律法规、行业的信息安全策略及相关规定。3.4.8 事件响应支持要求建立事故响应的支持力量(如故障电话、专家队伍等),为信息系统用户关于如何处理和汇报安全事故提供建议和帮助(该资源是事故响应综合能力的
36、重要组成部分);保证并促进与事故响应相关的信息和支持资源的可用性。内容提供事故响应支持力量。3.5 系统管理与维护系统维护是指在信息系统投入正式运行后,定期或不定期的检查系统的脆弱性,并采取技术措施弥补这些脆弱性的活动(防御性维护);以及在系统出现故障或错误时,检查故障或错误原因,并通过技术手段消除故障或错误的活动(响应性维护)。系统维护是保证系统正常高效运行的重要手段。信息系统的管理和维护人员应制定系统维护的策略和流程,并按照策略和流程对系统进行维护。维护的执行者必须是得到正式授权的人员,维护的执行过程必须遵守系统维护的策略和流程。3.5.1 安全管理技术要求利用先进的管理技术和平台对整个网
37、络和信息系统进行统一、有效管理。内容建立网络管理与监控系统,对网络和网上运行的业务系统进行有效的管理;采用适当的安全管理技术将信息系统中的各种安全产品进行集成;安全技术措施与设备进入常规运行,并发挥其在安全策略与安全建设方案中所设定的作用。3.5.2 常规维护要求根据技术规范和相关要求定期对信息系统的各个部件进行预防性的或常规性的维护;编制系统维护记录,对维护日期、维护人员、维护项目以及移除或替代的设备清单等进行记录。内容制定系统运行维护规程,描述维护的方法和内容;有系统维护记录;3.5.3 维护工具管理要求对系统维护工具的使用进行严格的监督和控制。内容有对系统维护工具进行管理的制度;规定申请
38、和授权使用可能具有危害性的系统维护工具的流程。3.5.4 远程维护要求维护人员在进行远程维护前得到系统管理者正式的批准;通过管理和技术手段对远程维护进行严格的监督和控制。内容信息安全策略中有关于对于远程维护进行管理的内容,对远程维护的授权、监督与控制进行了详细的规定。3.5.5 维护人员要求保证只有具备足够的技术能力并得到授权的人员可以对系统进行维护。内容编制获得授权可以对信息系统进行维护的人员名单;对本单位维护人员进行定期的培训和考核的计划和记录;有对外单位人员进行系统维护的控制和监督措施。3.5.6 维护及时性要求对于信息系统中的重要软硬件设施,规定在发生故障后及时维护响应及有关备件支持的
39、要求,保证系统不间断运行或尽量缩短中断时间。内容信息安全策略中规定发生系统故障后及时维护响应和备品备件要求;当维护工作由外单位或公司负责时,是在合同售后服务条款或安全服务合同中明确了的有关日常维护和紧急事件响应的内容。4 技术管理4.1 标识鉴别信息系统必须事先定义用户的标识和鉴别,所有用户(包括技术支持的人员、操作员、网络管理员、系统程序员和数据库管理员等)要有唯一用户ID,以确保其活动或者事件的发生可以最终追溯到相关的责任人,用户的标识和鉴别要经过相关部门的批准,并形成相关的文件;4.1.1 身份标识和鉴别身份识别和鉴别是验证某些事物的过程,是用户进入系统的第一道防线。通过标识和鉴别确保用
40、户联接上了正确的安全属性(如,身份,组,角色,安全级,或是完整性类)。要求信息系统应对用户身份进行唯一地标识和鉴别;身份标识和鉴别应通过静态口令、一次性口令、令牌、生物特征,或多种方式相结合的方法来实现;采用组成复杂、不易猜测的口令,一般应是大小写英文字母、数字和特殊字符中的两者以上组合;保证口令文件安全及口令存放载体的物理安全,口令应加密存储,在网络中必须加密传输。内容信息系统形成身份标识和鉴别文件,并经过相关部门的批准;客户机、服务器、数据库、网络设备和应用系统的鉴别口令符合要求;口令文件是加密存储;通过数据监听等方式检查口令加密传输;服务器、客户机口令文件的访问、修改、删除、拷贝由专门授
41、权人员执行;日志文件记录了对口令文件的任何操作;存储和记录口令的介质存放安全。4.1.2 设备标识和鉴别要求信息系统的特定设备在建立连接前,应对其进行标识和鉴别;信息系统通常使用已知的共享信息(如MAC地址、IP地址)或采取鉴别方案(如IEEE802.1G,EAP,Radius)对局域网、广域网设备进行标识和鉴别。内容信息系统事先定义了设备标识,形成设备标识和鉴别文件,并经过相关部门的批准;信息系统采取了技术措施(如网管系统、数字证书签名认证等)对设备进行鉴别。4.1.3 标识管理要求对每个用户进行唯一的标识,并核实用户真实身份;用户标识的发布得到适当人员的授权,并确保用户标识确实发放到当事人
42、手中;用户标识如经过一段时间(如一个月,三个月)未被使用,应将其中止;用户标识应进行存档。内容对信息系统制定标识管理制度,并采取技术措施实现标识管理功能。4.1.4 鉴别管理按照用户授权给予其访问信息系统或服务的权力前验证用户身份的常用手段。要求制定管理规章制度对信息系统的认证鉴别方式(包括令牌、PKI证书,生物特征,口令等)进行管理,包括认证方式的初始分发、丢失、泄露、损害,以及撤销等方面的管理;在安装信息系统时,更改缺省的认证内容设置,对认证内容进行初始化定义;对基于口令的认证方式,应保护口令在存储和传输过程中免于泄露或被修改,防止口令在输入时显示,制定口令最大和最小生命周期限制,并禁止口
43、令生成若干次后的重用;对基于PKI的认证方式,应建立可信路径以核实证书的真实性,加强用户对其私钥的管理,并实现被鉴别的身份同用户账户的一一映射;用户在规定的时间段内没有做任何操作和访问,系统应提供重鉴别机制。内容操作系统、应用系统等的身份鉴别机制采用了静态口令、令牌、一次性口令、生理特征等身份鉴别措施;重要信息系统的口令长度不少于8个字符,更换周期小于60天;服务器和客户端系统设置了重鉴别机制,切断了超时会话,设置了屏幕保护等。4.1.5 登录和鉴别反馈确保授权用户的访问,预防信息系统的非授权访问。要求采用安全的登陆规程以控制对信息系统的访问;当用户试图进行登录鉴别时,提供有关的反馈信息给用户
44、,反馈信息不能暴露鉴别机制;在用户进行鉴别的过程中,信息系统将反馈的鉴别信息进行模糊处理(如进行系统登录时,将输入密码显示为星号)内容用户鉴别尝试失败次数连续达到5次后,系统锁定该用户帐号,只有适当的安全管理人员有权恢复或重建该帐号,将有关信息生成审计事件;输入口令是回显。4.2 访问控制访问控制是信息系统技术类的重要部分,它的目的是对系统中信息的访问进行控制。在对系统进行访问控制时,应按照业务及安全要求控制信息及业务程序的访问,并把信息发布及授权的策略内容加入到考虑范围之内。访问策略文件应清楚写明每个用户或每组用户应有的访问控制规定及权限,用户及服务提供商都应有一份这样的文件,明白访问控制要
45、达到什么业务需求。访问控制涉及以下内容:账户管理、强制访问、信息流控制、职责分离、最小特权、不成功登录、系统使用情况、最近登录情况、当前会话控制、会话锁定、会话终止、对访问控制的监督和审查、不需鉴别或认证的行为、自动化标记、自动化标签、远程访问控制、无线接入访问控制、可携便式移动设备的访问、私人信息系统。4.2.1 账户管理对信息系统的所有用户设立账户管理文档,账户管理应包括用户访问生命周期的所有阶段。它的目的是确保授权用户的访问,并预防信息系统的非授权访问。要求制定正式的账户管理文档,管理信息系统的账号,包括建立账户、激活账户、修改账户、检查账户、中止账户和删除账户;覆盖用户帐号生命周期的所有阶段,从注册新用户到最后注销那些不再需要访问信