序号 | 控制点 | 测评项 | 测评要求 |
1 | 环境管理 | 机房是存放等级保护对象基础设施的重要场所,要落实机房环境的管理责任人,因此要确保机房的运行环境良好、安全,应对机房环境进行严格管理和控制 | 饱和攻击|
2 | b)应建立机房安全管理制度,对有关物理访问、物品带进出和环境安全等方面的管理作出规定; | 为保证系统有个良好安会的运行环境,应针对机房建立管理规定或要求 | |
3 | c)应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。 | 加强内部办公环境的管理是控制网络安全风险的措施之一,为保证内部办公环境的独立性、敏感性,应降低外部人员无意或有意访问内部区域的可能性,同时杜绝都员工因无意行为而泄露敏感文档而导致网络安全事件的发生 | |
4 | 资产管理 | a)应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; | 等级保护对象资产种类较多, 如保护对象的资产管理比较混乱,容易导致等级保护对象发生安全问题或不利于发生安全问题时有效应急 |
5 | b)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施; | 信息资产的重要程度不同,在系统中所起的作用也不尽相同,应综合考虑资产的价值、在系统件的地位,作用等因素,按照重要程度高低对资产进行分类、分级管理,分类的原则应在相关文档中选行明确,且需明确重要资产和非重要资产在资产管理环节(如入库、维修、出库)的不同要求 | |
6 | c)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。 | 信息作为资产的一种,可根据其所属的类别不同,重要程度不同进行信息的整理分类(一般可分为:敏感、内部公开、对外公开等不同类别),不同类别的信息在使用、传输和存储等方面管理要求也应不同 | |
7 | 介质管理 | a)应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点; | 介质类型可包括纸介质、磁介质、光介质等,由于存储介质是用来存放系统相关数据的,因此,介质管理工作非常重要,如果管理不善,可能会造成数据的丢失或损坏,应为存储介质提供安全的存放环境并进行妥善的管控 |
8 | b)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。 | 需系统存在离线的存储备份介质应对其进行管控,如对介质进行两地传输时,应遵循一定的管理要求,应选择可靠的传送人员,并对打包交付过程签字确认等 | |
9 | 耳光室设备维护管理 | a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理; | 对设备进行有效的维护管理,在一定程度上可降低系统发生安全问题的概率,应明确设备管理的责任部门或人员 |
10 | b)应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等; | 系统的正常运行依赖于对设备的正确使用和维护。为了保证对设备的正确使用和维护,应建立相应的管理规定或要求,相关人员必须严格按照规定要求对设备进行使用和维护,并认真做好使用和维护记录 | |
11 | 激光模组c)信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据应加密; | 信息处理设备的流转容易引起信息泄露的风险,必须严加管控,因此信息处理设备带离机房或办公等常规使用的地点时必须经过审批或采取加密的管控措施 | |
12 | d)含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被恢复重用。 | 存储介质在报废或重用时,容易引起敏感信息的泄露,应采取相应的处理的措施施 | |
13 | 漏洞和风险管理 偏振子 | a)应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补; | 安全漏洞和隐患是引起安全问题的主要根源,采取有效的措施来及时识别系统漏洞和隐患,并对识别出的漏洞和隐患根据评估的情况进行修补 |
14 | b)应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。 | 定期开展安全测评有利于及时发现系统潜在的安全问题,安全测评局限于风险评估、等级测评,只要是通过对系统的全面测试评估方法 | |
15 | 网络和系统安全管理 | a)应划分不同的管理员角进行网络和系统的运维管理,明确各个角的责任和权限; | 没有明确的责任和权限要求,容易发生泄职事件,因此要对管理员进行明确的划分并进行岗位职责的定义 |
16 | b)应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制; | 账户管理应由专门的部门或人员来负责,并对账户的生命周期进行管控 | |
17 | c)应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定; | 对系统和网络安全管理缺乏规范性指导或规范性指导规定不一致,容易造成人员读职或无作为,因此对网络和系统安全应建立相应的管理策略和规程类的管理要求 | |
18 | d)应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等; | 配置规范和配置基线是保障等级保护对象安全运行的基本前提,应对设备的配置和操作建立操作规范和配置基线 | |
19 | e)应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容; | 运维操作日志缺失,不利于安全事件的回溯或追踪,因此要对日常的记录运维操作日志进行详细的记录 | |
20 | f)应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为; | 没有明确的职责要求,密易引起人员读职或无作为,应对日志、 监测、报警数据等指定专人负责和统计 | |
21 | g)应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库; | 变更管理不当, 极易引起安全问题,对运维过程中的变更操作需严格控制,变更的审批过程中保留痕迹,事后能够更新变更内容 | |
22 | h)应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据; | IT运维工具包括商业的专用运维工具,也有自行开发运维工具,无论采取哪种工具,都需进行严格的管控 | |
23 | i)应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道; | 远程运维是系统安全的隐患之一,如远程控制不当容易通成安全事件,应对远程运维的开通进行严格的控制,如确实需要开通,需要对操作过程日志进行留存并保证不可更改,运维结束后即刻关闭 | |
24 | j)应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。 | 对所有外部链接进行管控,并且定期对违规外联进行检查 | |
本文发布于:2024-09-22 05:24:47,感谢您对本站的认可!
本文链接:https://www.17tex.com/tex/1/224170.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
留言与评论(共有 0 条评论) |