声明
本文是学习信息系统安全运维管理指南.而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
范围
本标准描述了信息系统安全运维管理体系,给出了安全运维策略、安全运维组织、安全运维规程和安全运维支撑系统等方面相关活动的目的、要求和实施指南。
本标准可用于指导政府部门和企事业单位信息系统安全运维管理体系的建立和运行。
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22081---2016 信息技术 安全技术 信息安全控制实践指南(ISO/IEC
27002:2016,IDT)
GB/T 28827.3---2012 信息技术服务 运行维护 第3部分:应急响应规范
GB/T
29246---XXXX 信息技术 安全技术 信息安全管理体系 概述和词汇(ISO/IEC
27000:2016,IDT)
GB/T 31722---2015 信息技术 安全技术 信息安全风险管理(ISO/IEC
27005:2008,IDT)
术语和定义
GB/T 29246-XXXX界定的以及下列的术语和定义适用于本文件。
信息系统安全威胁 information system security threat
信息系统可能遭受到的内外部攻击。
信息系统安全运维 secure operation and maintenance of information systems
在信息系统经过授权投入运行之后,确保信息系统免受各种安全威胁所采取的一系列运维活动。
信息系统安全运维策略 secure operation strategy of information systems
信息系统安全运维的目标、实现方法。
信息系统安全运维规程 secure operation procedureof information systems
明确信息系统安全运维管理人员对系统安全运维的操作步骤和对安全事件的处置方法。
信息系统安全运维支撑系统 support system for secure operation and maintenance of information systems
用于支撑信息系统安全运维的辅助性系统工具(SIEM系统)。包括但不限于资产自动发现系统、配置管理系统、脆弱性扫描系统、补丁管理系统、入侵检测系统、异常行为监测系统、日志管理系统及大数据安全系统等。
缩略语
下列缩略语适用于本文件。
ITIL:信息技术基础架构库(Information Technology Infrastructure
Library)
SIEM:安全信息和事件管理(Security Information and Event Management)
信息系统安全运维体系
安全运维模型
信息系统安全运维体系是一个以业务安全为目的的信息系统安全运行保障体系。通过该体系,能够及时发现并处置信息资产及其运行环境存在的脆弱性、入侵行为和异常行为。
信息系统安全运维模型如图1所示。
图1 信息系统安全运维模型
安全运维活动分类
安全运维体系涉及安全运维策略确定、安全运维组织、安全运维规程制定和安全运维支撑系统建设等四类活动。
安全运维策略明确了安全运维的目的和方法,主要包括策略制定和策略评审两个活动。
安全运维组织明确了安全运维团队的管理,包括运维的角色和责任、聘用前审查、工作履责、聘用终止和变更。
安全运维规程明确了安全运维的实施活动,包括资产管理、日志管理、访问控制、密码管理、漏洞管理、安全事件管理、安全事件应急响应及安全审计等。
安全运维支撑系统给出了主要的安全运维辅助性系统的工具。
安全运维活动要素
本标准从目的、要求和实施指南三个方面对每个安全运维活动进行了描述。
目的部分描述了安全运维活动的意义。
要求部分描述了安全运维活动的指标要求。
实施指南描述了达成安全运维活动目标、实现安全运维要求的方法和手段。
安全运维管理原则
为了保证运维体系的可靠性和有效性,安全运维体系建设应遵循以下内容:
a) 应基于策划、实施、检查和改进的过程进行持续完善。可以根据信息系统的安全保护等级要求,对控制实施情况进行定期评估;
b) 安全运维体系建设应兼顾成本与安全。应根据业务安全需要,制定相应的安全运维策略、建立相应的安全运维组织、制订相应的安全运维规程及建设相应的安全运维支撑系统。
安全运维策略
安全运维策略制定
目的
依据业务要求和相关法律法规,为信息系统安全运维提供原则与指导。
要求
信息系统安全运维策略制定完成后,宜由管理者批准,并发布、传达给安全运维团队和其他相关人员。
实施指南
在最高层面应定义"信息系统安全运维策略",用以明确信息系统安全运维的目标和方法。该策略由管理层批准,并指定机构管理其信息系统安全运维的目标和方法。
信息系统安全运维策略主要关注来自业务安全战略、安全运维目标、法律法规和合同、当前和预期的信息系统安全威胁环境等方面产生的要求。
信息系统安全运维策略主要涉及以下内容:
-
信息系统安全运维目标和原则的定义。先确定利益相关者的安全需求,再确定企业的安全目标,然后进一步确定信息系统的安全目标,最终确定信息系统安全运维目标。根据已确定的信息系统安全运维目标,制定相应的安全运维原则,包括分层防护、失效安全、最小特权、分区隔离、保护隐私和日志记录等;
-
把信息系统安全运维管理方面的一般和特定责任分配给已定义的角色;
-
处理偏差和意外的过程。
在较低层面,信息系统安全运维策略由特定主题策略予以支持,这些主题策略进一步强制性地规定了信息系统及其运行环境的安全运维控制。特定主题策略包括:
-
资产管理;
-
信息系统安全分级;
-
访问控制;
-
物理和环境安全;
-
备份;
-
信息传输;
-
恶意软件防范;
-
脆弱性管理;
-
入侵管理;
-
异常行为管理;
-
密码控制;
-
通信安全。
这些策略宜采用适合的、可访问和可理解的形式传达给安全运维团队、员工和外部相关方。
安全运维策略评审
目的
确保安全运维策略的适宜性、充分性和有效性。
要求
基于一定的时间间隔或当信息系统、信息系统环境或业务安全需求发生重大改变时,宜对信息系统安全运维策略进行评审。
实施指南
指定专人负责策略的制定、评审和评价。
评估安全策略和信息系统安全运维方法的持续改进,以适应组织环境、业务状况、法律法规或技术环境发生的变化。
策略的修订由管理层批准。
安全运维组织
安全运维的角色和责任
目的
明确运维团队中的角色和责任。
要求
定义和分配信息系统安全运维的所有责任。
实施指南
信息系统安全运维责任的分配与信息系统安全运维策略相一致。定义信息系统运行安全风险管理活动的责任,特别是接受残余风险的责任。定义信息系统保护和执行特定安全过程的责任。
指明运维人员个体负责的领域,特别是下列工作:
a) 识别和定义信息系统面临的风险;
b) 指定信息系统安全责任主体,并且该主体的责任细节要形成文件;
c) 被指定人员要具备信息系统安全运维的能力,且能持续跟进相关领域的发展,使其能够履行信息系统安全运维责任;
d) 参照ITIL提出的运维团队组织模式,建立三线安全运维组织体系。一线负责安全事件处理,快速恢复系统正常运行;二线负责安全问题查找,彻底解决存在的安全问题;三线负责修复设备存在的深层漏洞。
聘用前审查
目的
确保聘用人员具有符合其角色的要求和技能。
要求
按照岗位职责要求,宜对被任用者进行审查。
实施指南
审查应考虑以下内容:
a) 有效的可接受的推荐材料(例如,企业出具和个人出具的文字材料等);
b) 申请人履历的验证(针对该履历的完备性和准确性);
c) 声称的学历、专业资质的证实;
d) 独立的个人身份验证(护照或类似文件);
e) 更多细节的验证,例如信用核查或犯罪记录核查等。
工作履责
目的
确保信息系统安全运维人员理解并履行信息系统安全运维责任。
要求
安全运维人员宜按照已建立的策略、规程和工具进行安全运维工作。
实施指南
宜建立岗位手册作为安全运维指南。岗位手册内容宜包括:
-
岗位职责;
-
工作模板;
-
工作流程;
-
支撑工具。
宜进行信息安全意识教育和培训。信息安全意识教育和培训宜包括:
-
信息安全意识培训旨在使安全运维人员,适当时,包括合同方,了解他们的信息系统安全运维责任法;
-
信息安全意识教育和技能培训方案应按照组织的信息安全策略和相关规程建立。岗位技能培训旨在使安全运维人员和团队具备相应的岗位技能。
宜有正式的违规处理过程对违规的安全运维人员进行处罚。内容包括:
{=html}
-
在没有最终确定违规之前,不能开始违规处理过程;
-
正式的违规处理过程宜确保对运维工程师给予了正确和公平的对待。无论违规是第一次或是已发生过,无论违规者是否经过适当地培训;
-
违规处理过程对运维工程师也是一种威慑,防止他们违反组织的信息系统安全运维策略和规程。
聘用终止和变更
目的
在聘用变更或终止过程中保护组织的利益。
要求
确定聘用终止或变更后不会导致出现信息系统安全事件。
实施指南
聘用终止或变更意味着相应人员岗位职责和法律责任的终止。为了保护双方的权益,聘用终止或变更后应及时终止或变更相关人员的相应职责、权限和内容。
终止或变更的职责、权限和内容包括但不限于以下事项:
a. 岗位合同;
b. 信息系统访问权限;
c. 安全运维支撑系统访问权限。
安全运维规程
资产管理
目的
识别与信息系统相关的所有资产,构建以资产为核心的安全运维机制。
要求
及时识别资产及资产之间的关系。
实施指南
将信息系统相关软硬件资产进行登记,形成资产清单文件并持续维护。资产清单要准确,实时更新并与其他清单一致。
为每项已识别的资产指定所属关系并分级。
明确资产(包括软硬件、数据等)之间的关系,包括部署关系、支撑关系、依赖关系。
确保实现及时分配资产所属关系的过程。资产在创立或转移到组织时分配其所有权并指定责任者。资产责任者宜对资产的整个生命周期负有适当的管理责任。
基于资产对业务的重要性,按照GB/T 31722-2015中的"附录B
资产识别和估价以及影响评估"的方法计算资产的价值。
基于已发现的安全漏洞或已发生的安全事件,总结并形成每一个设备或系统的安全检查清单。安全检查清单需要动态维护。
建立介质安全处置的正式规程,减小保密信息泄露给未授权人员的风险。包含保密信息介质的安全处置规程要与信息的敏感性相一致。宜考虑下列条款:
a) 包含有保密信息的介质被安全地存储和处置,例如,利用焚化或粉碎的方法,或者将数据擦除,供组织内其他应用使用;
b) 有规程识别可能需要安全处置的项目;
c) 将所有介质部件收集起来并进行安全处置,可能比试图分离出敏感部件更容易;
d) 许多组织提供介质收集和处置服务;注意选择具有足够控制和经验的合适的外部方;
e) 对处置的敏感项作记录,以便维护审核踪迹。
当大量处置介质时,考虑可导致大量不敏感信息成为敏感信息的集聚效应。
可能需要对包含敏感数据的已损坏设备进行风险评估以确定其部件是否宜进行物理销毁,而不是被送修或废弃。
日志管理
目的
发现攻击线索,用作内部纪律处罚依据或司法证据。
要求
全面收集并管理信息系统及相关设备的运行日志,包括系统日志、操作日志、错误日志等。
实施指南
全面收集信息系统的运行日志,并进行归一化预处理,以便后续存储和处理。
原始日志信息和归一化处理后的日志信息分别进行存储。原始日志信息存储应进行防篡改签名,以便可以作为司法证据;已归一化的日志进行结构化存储,以便检索和深度处理。
对日志信息进行多种分析:一是攻击线索查找分析。在系统受到攻击后,需要通过日志分析找到攻击源和攻击路径,以便清除木马和病毒,并恢复系统正常运行;二是日志交叉深度分析。通过定期的交叉分析,以发现并阻断潜在攻击;三是对攻击日志进行历史分析,发现攻击趋势,以实现早期防御。
访问控制
目的
按照业务要求限制对信息和信息系统的访问。
要求
基于业务和信息系统安全要求,建立物理环境、设备、信息系统的访问控制策略,形成文件并进行评审。
实施指南
信息系统安全责任者需要为特定用户角色确定适当的访问控制规则、访问权及限制,其详细程度和控制的严格程度反映相关的信息安全风险。
访问控制包括逻辑和物理的。应为用户和服务提供商提供一份清晰的说明书,其中陈述了访问控制所要满足的业务要求。
访问控制应考虑到下列内容:
-
业务应用的安全要求;
-
信息传播和授权的策略,例如:"需要知道"的原则和信息安全级别以及信息分级的需要;
-
系统和网络的访问权限和信息分级策略之间的一致性;
-
关于限制访问数据或服务的相关法律和合同业务;
-
在了解各种可用的连接类型的分布式和网络化环境中,访问权的管理;
-
访问控制角色的分离,例如访问请求、访问授权、访问管理;
-
访问请求的正式授权要求。
制定一个有关网络和网络服务使用的策略。该策略包括:
-
允许被访问的网络和网络服务;
-
确定允许哪些人访问哪些网络和网络服务的授权规程;
-
保护访问网络连接和网络服务的管理控制和规程;
-
访问网络和网络服务使用的手段;
-
访问各种网络服务的用户鉴别要求;
-
监视网络服务的使用。
实现正式的用户注册及注销过程,以便分配访问权。
管理用户ID过程包括:
-
使用唯一用户ID,使得用户与其行为链接起来,并对其行为负责,在对于业务或操作而言,必要时,才允许使用共享ID,并经过批准和形成文件;
-
立即禁用已离开组织的用户ID,并在禁用一段时间后视情况进行删除;
-
定期识别并删除或禁用冗余的用户ID;
-
确保冗余的用户ID不会分发给其他用户。
用于对用户ID访问权进行分配或撤销的配置过程包括:
-
针对信息系统或服务的使用,从系统或服务的责任者那里获得授权;
-
验证所授予的访问程度是否与访问策略相适宜,是否与职责分离等要求相一致;
-
确保授权过程完成之前,访问权未被激活;
-
维护一份集中式的访问权记录,记载所授予的用户ID要访问的信息系统和服务。
对访问的限制基于各个业务应用要求,并符合已制定的组织访问控制策略。
密码管理
目的
使用适当的和有效的密码技术,以保护信息的保密性、真实性和完整性。
要求
基于信息资产的重要性,选用不同复杂度密码。
实施指南
在密码算法方面,支持国家密码管理主管部门批准使用的密码算法,使用国家密码管理主管部门认证核准的密码产品,遵循相关密码国家标准和行业标准。
符合GB/T 22081---2016中的"10.1.1密码控制的使用策略"要求。
漏洞管理
目的
防止信息系统及其支撑软硬件系统的脆弱性被利用。
要求
全面了解信息系统及其支撑软硬件系统存在的脆弱性或漏洞,获取相关信息,评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险。
实施指南
可通过两种方式获取信息系统及其支撑软硬件系统存在的脆弱性或漏洞:一是借助漏洞扫描工具对信息系统及其软硬件系统存在的漏洞进行扫描,以发现存在的脆弱性;二是通过官方渠道及时了解信息系统及其支撑软硬件系统存在的脆弱性。
及时更新信息系统和相应的支撑软硬件设备,以保持系统处于安全状态。
先对更新进行测试,以避免更新出现问题导致业务中断;测试成功后,再正式部署系统更新包。
备份
目的
防止信息丢失。
要求
基于信息安全策略,制定备份策略,并保证备份的有效性和可靠性。
实施指南
可根据业务数据的重要程度设定相应的备份策略。可选择的备份方式有完全备份、差异备份或增量备份;可选择的备份地点有同城备份或异地备份等。
对已备份的数据每月进行一次恢复演练,以保证备份的可用性和灾难恢复系统的可靠性。
安全事件管理
目的
确保快速、有效和有序地响应信息系统安全事件。
要求
采用一致和有效的方法对信息系统安全事件进行管理,包括对安全事态和弱点的通告。
实施指南
信息系统安全事件管理责任和规程考虑下列指南:
a) 建立管理责任以确保以下规程被制定并在组织内得到充分的交流:
{=html}
-
规划和准备事件响应的规程;
-
监视、发现、分析和报告信息安全事态和事件的规程;
-
记录事件管理活动的规程;
-
处理司法证据的规程;
-
评估和决断信息系统安全事态以及评估安全弱点的规程;
-
包括升级、事件的受控恢复、与内外部人员或组织沟通在内的响应的规程。
{=html}
b) 所建立的规程确保:
{=html}
-
胜任的人员处理组织内的信息系统安全事件相关问题;
-
建立安全事件发现和报告的联络点。
{=html}
c) 报告规程包含:
{=html}
-
准备信息系统安全事态报告表格,以便在信息系统安全事态发生时支持报告行动和帮助人员在报告时记住所有必要的行动;
-
在信息安全事态发生时所采取的规程,例如立刻注意到所有细节(诸如不合规或违规的类型、发生的故障、屏幕上的消息),并立刻向联络点报告和仅采取协调行动;
-
参考已建立的正式纪律处罚过程来处理安全违规的员工;
-
适宜的反馈过程,以确保信息系统安全事态报告人员在问题被处理并关闭后得到结果的通知。
运维团队知道他们有责任尽可能快地报告信息系统安全事态。他们还知道报告信息系统安全事态的规程和联络点。可进行信息系统安全事态报告的情况如下:
-
无效的安全控制;
-
违背信息完整性、保密性或可用性的预期;
-
人为差错;
-
不符合策略或指南;
-
物理安全安排的违规;
-
不受控的系统变更;
-
软件或硬件的故障;
-
非法访问。
服务台使用已商定文件化的信息系统安全事态和事件分级尺度评估每个信息系统安全事态,并决定该事态是否该归于信息系统安全事件。事件的分级和优先级有助于标识事件的影响和程度。
详细记录评估和决策的结果,供日后参考和验证。
对信息系统安全事件的严重程度予以不同的响应,甚至启动应急响应。响应包括:
-
事件发生后尽快收集证据;
-
按要求进行信息安全取证分析;
-
按要求升级;
-
确保所有涉及的响应活动被适当记录,便于日后分析;
-
处理发现的导致或促使事件发生的信息系统安全弱点;
-
一旦事件被成功处理,正式将其关闭并记录。
制定内部规程,并在收集与处理用于纪律和法律目的的证据时遵守。这些规程考虑:
-
监管链;
-
证据的安全;
-
人员的安全;
-
所涉及人员的角色和责任;
-
人员的能力;
-
文件化,并有数字签名;
-
简报。
应急响应
目的
正确、高效、快速响应重大或灾难性安全事件。
要求
快速恢复业务运行。
实施指南
依据GB/T 28827.3-2012实施。
延伸阅读
更多内容 可以信息系统安全运维管理指南.进一步学习