信系統 安運維理規(guī)第1部：通系統11122目??次信息系統安全運維管理規(guī)范 1范圍 1規(guī)范性引用文件 1術語和定義 2縮略語 3安全運維體系 3安全運維原則 3安全運維目標 3安全運維框架 3安全運維策略 4安全運維策略制定 4安全運維策略評審 5安全運維組織 5崗位設置 5人員配備 5授權與審批 5溝通和合作 6教育和培訓 6人員錄用 7人員離崗 7外包運維安全管理 7外部人員訪問管理 7績效評估 8安全運維規(guī)程 8安全運維管理 88.2檢查 148.3外部協同 17安全運維支撐系統 19檢測識別類系統 19防護管理類系統 19監(jiān)測審計類系統 19響應協同類系統 20系統自身安全要求 20附 錄 A （資料性）網絡安全運維人員資質建議 21附 錄 B （資料性）安全運維規(guī)程涉及表單 22資產清單主要記錄元素 22信息系統訪問控制與操作 22監(jiān)測體系內容 23監(jiān)測產品類別 24備份作業(yè)記錄元素 24變更控制規(guī)程 25應急響應工作審核 25安全配置檢查內容 26服務類項目驗收準備文件 26附 錄 C （資料性）安全運維支撐系統功能要求 27檢測識別類系統 27資產測繪系統 27安全配置核查系統 27漏洞掃描系統 28網站安全監(jiān)測系統 28違規(guī)外聯檢測系統 28防護管理類系統 29攻擊面管理系統 29資產管理系統 29漏洞管理系統 30安全合規(guī)管理系統 30安全運維流程管理系統 31安全運維管理系統 31監(jiān)測審計類系統 32日志審計系統 32主機審計系統 32網絡審計系統 33數據庫審計系統 33應用審計系統 33防火墻策略審計系統 33監(jiān)控系統 34威脅信息監(jiān)測系統 34態(tài)勢感知系統 35響應協同類系統 35安全服務工作臺 35信息通報系統 35安全編排與自動化響應 36安全中臺 36信息系統安全運維管理規(guī)范范圍本文件針對運營單位的業(yè)務信息系統網絡安全運維的體系、規(guī)程、技術、團隊、溝通協作、應急響應及應急演練做出了規(guī)定。本文件適用于企事業(yè)單位信息系統的網絡安全運維，也可作為組織開展網絡安全運維的依據。規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T1.1—2020標準化工作導則第1部分：標準化文件的結構和起草規(guī)則GB/T36626信息安全技術信息系統安全運維管理指南GB/T25069信息安全技術術語GB/T4244632914GB/T31722-2015信息安全技術 信息安全風險管GB/T51314-2018數據中心基礎設施運行維護標準GB/T22081-2016信息技術安全技術信息安全控制實踐指南GB/T17901.1-2020信息安全技術 密鑰管理第1部分：框GB/43207-2023信息安全技術信息系統密碼應用設計指南GB/T39786-2021信息安全技術信息系統密碼應用基本要求GB/T20986-2023信息安全技術網絡安全事件分類分級指南GB/T20984-2022信息安全技術信息安全風險評估方法GB/T28453-2012信息安全技術 信息系統安全管理評估要求GB/T30276-2020信息安全技術網絡安全漏洞管理規(guī)范GB/T22080信息技術安全技術信息安全管理體系要求GB/T20984信息安全技術 信息安全風險評估規(guī)范GB/T30283信息安全技術信息安全服務分類與代碼GB/Z20985信息技術安全技術信息安全事件管理指南（所有部分）GB/Z20986信息安全技術 信息安全事件分類分級指南GB/T22239信息安全技術網絡安全等級保護基本要求GB/T22240信息安全技術網絡安全等級保護定級指南GB/T25058信息安全技術網絡安全等級保護實施指南GB/T25070信息安全技術網絡安全等級保護安全設計技術要求GB/T39786信息安全技術信息系統密碼應用基本要求GB/T31495信息安全技術信息安全保障指標體系及評價方法GB/T42250信息安全技術網絡安全專用產品安全技術要求GB/T42453信息安全技術網絡安全態(tài)勢感知通用技術要求GA/T1545信息安全技術網絡及安全設備配置檢查產品安全技術要求GA/T1359信息安全技術信息資產安全管理產品安全技術要求GB/T28458911信息安全技術日志分析產品安全技術要求GA/T1550209453664343557術語和定義GB/T25069-2022、GB/T30283-2022、GB/T32914-2023界定的術語和定義適用于本文件。GB/T25069中界定的以及下列術語和定義適用于本文件。密鑰key控制密碼變換操作的符號序列。病毒virus一種程序，即通過修改其他程序，使其他程序包含一個自身可能已發(fā)生變化的原程序副本，從而完成傳播自身程序，當調用受傳染的程序，該程序即被執(zhí)行。APTadvancedpersistentthreat；高級持續(xù)性威脅精通復雜技術的攻擊者利用多種攻擊方式對特定目標進行長期持續(xù)性網絡攻擊。安全漏洞cybersecurityvulnerability網絡產品和服務在需求分析、設計、實現、配置、測試、運行、維護等過程中，無意或有意產生的、有可能被利用的缺陷或薄弱點。安全配置cybersecurityconfiguration能滿足網絡安全基本要求的一組或多組核心配置項。拒絕服務denialofservice;DoS阻止對系統資源的經授權訪問或延遲系統的運行和功能，并導致經授權用戶可用性受損。應急響應emergencyresponse組織為應對突發(fā)／重大信息安全事件發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施。應急演練emergencydrill為訓練有關人員和提高應急響應能力而根據應急預案和應急響應計劃所開展的活動。泄露disclosure違反信息安全策略，導致數據被未經授權的實體使用的行為。入侵檢測系統intrusiondetectionsystem;IDS用于識別已嘗試、正在發(fā)生或已經發(fā)生的入侵的信息系統。入侵防御系統intrusionpreventionsystem;IPS特別設計用來提供主動響應能力的入侵檢測系統的變體。身份identity與某一實體相關的一組屬性。滲透測試penetrationtesting以未經授權的動作繞過某一系統的安全機制來檢查信息系統的安全功能，以發(fā)現信息系統安全問題的手段。PAGEPAGE13PAGEPAGE10風險評估riskassessment風險識別、風險分析和風險評價的整個過程。安全審計securityaudit對信息系統記錄與活動的獨立評審和考察，以測試系統控制的充分程度，確保對于既定安全策略和運行規(guī)程的符合性，發(fā)現安全違規(guī)，并在控制、安全策略和過程三方面提出改進建議。供應鏈supplychain將多個資源和過程聯系在一起，并根據服務協議或其他采購協議建立起連續(xù)供應關系的組織系流量分析trafficanalysis通過觀察通信流量來推斷所關注信息的過程?？s略語APT高級持續(xù)性威脅（advancedpersistentthreat）Modem調制解調器（Modulator-Demodulator）SD安全數字（securedigital）USB通用串行總線（universalserialbus）VPN虛擬專用網（virtualprivatenetwork）安全運維體系安全運維原則信息系統運營方應根據信息系統的保護等級，建立網絡安全運維管理體系，并符合等級保護、密碼應用、數據安全保護、關鍵信息基礎設施保護等要求。安全運維管理體系的建立可參考GB/T36626的要求開展。安全運維目標安全運維目標應以利益相關者的安全需求為導向，基本目標應包括：——保障信息系統安全性、穩(wěn)定性、可靠性；——防止信息系統遭到攻擊和破壞；——保障信息系統數據的安全性。安全運維框架安全運維框架（如圖1所示）中，安全運維原則和目標是核心，安全運維策略、安全運維組織、安全運維規(guī)程、安全運維支撐系統是安全運維工作開展的基礎保障。在安全運維開展過程中，需要對所有安全運維要素進行持續(xù)的監(jiān)測和改進。圖1 安全運維框架圖安全運維策略安全運維策略制定安全運維策略制定要求包括：應對當前網絡安全形勢、國家網絡安全法律法規(guī)、組織所屬行業(yè)政策要求、組織面臨的網絡安全威脅等進行調研和分析，為安全策略制定提供必要的支撐。應制定信息系統安全運維工作的總體方針和安全策略，明確組織安全運維工作的總體目標、范圍、原則和框架等，為信息系統安全運維提供原則與指導。信息系統安全運維策略的制定應關注來自業(yè)務安全戰(zhàn)略、安全運維目標、法律法規(guī)和合同、當前和預期的信息系統安全威脅環(huán)境等方面產生的要求。信息系統安全運維策略主要包括以下內容：1）信息系統安全運維目標和原則的定義；分層防護、最小特權、分區(qū)隔離、隱私保護和日志記錄等技術內容；信息系統安全運維管理相關的角色責任和權限分配情況；處理信息系統安全運維策略的落實出現偏差和意外的過程。信息系統運維策略應由以下相關層面的運維策略組成，包括但不限于：1）資產管理；物理環(huán)境管理；密鑰與密碼設備管理；介質管理；終端管理；訪問與操作管理；監(jiān)測管理；日志管理；備份管理；變更管理；事件及響應管理；安全評估管理；安全漏洞管理；安全配置管理；第三方人員管理；供應鏈管理；安全驗收管理。應根據信息系統安全運維策略及管理制度制定相應的安全運維流程，并對安全運維的管理人員和實施人員執(zhí)行的各項操作建立操作規(guī)程。信息系統安全運維策略應由管理者批準，并采用合適的、可訪問和可理解的形式傳達給安全運維團隊、組織內部人員和外部相關方。安全運維策略評審安全運維策略評審要求包括：應指定或授權專門的部門或人員負責信息系統安全運維策略的制定、評審和評價。應持續(xù)識別、記錄和更新與信息系統安全運維相關的法律法規(guī)或技術環(huán)境、組織環(huán)境及業(yè)務狀況發(fā)生的變化情況，作為信息系統安全運維策略及方法持續(xù)改進的依據。應定期或當信息系統環(huán)境或業(yè)務安全需求發(fā)生重大改變時，對信息系統安全策略的適宜性、充分性、有效性進行評審，對安全策略進行持續(xù)改進。信息系統安全運維策略的修訂應由管理層批準。安全運維組織崗位設置崗位設置要求包括：運營單位應設置網絡安全管理、審計、運維等崗位，崗位可參照GB/T42446-20234.2、4.3規(guī)定的工作類別以及工作任務進行設置；若網絡安全運維組織包括外包組織的，應設置現場項目負責人，負責項目的整體溝通協調；各崗位應權責分離，相互間不得兼任。人員配備人員配備要求包括：應配備熟悉網絡安全政策法規(guī)、具有扎實網絡安全技能的人員開展網絡安全運維，技能要求GB/T42446-20235、6的規(guī)定；AB角；A。授權與審批授權與審批要求包括：應建立安全運維的授權機制，并對安全運維人員的權限進行統一管理和控制；授權應遵循最小權限原則，只授予安全運維人員完成工作所需的最小權限；安全運維人員崗位發(fā)生變化時，應及時收回或調整相應權限；應建立安全運維活動的審批機制，安全運維活動主要包括運維任務下達及執(zhí)行、重要區(qū)域訪問、系統接入，以及對安全運維對象及資源的變更管理等，變更包括：——安全運維組織、人員及權限的調整；——安全運維策略或規(guī)程的更改；——軟硬件設備更換或參數調整；——軟硬件設備版本升級或新功能開發(fā)；——新技術運用等。應建立突發(fā)、緊急事件的快速授權機制及審批流程，明確啟動觸發(fā)條件，避免該機制被濫用；應定期對授權和審批進行審計，評估授權及審批管理的有效性和合規(guī)性。審計內容包括權限的授予、使用、變更和撤銷，以及運維活動對應的審批流程等。溝通和合作授權與審批要求包括：應建立安全運維組織的內外部溝通合作機制，方式包括：——信息共享，如建立共享的信息平臺、知識庫等；——定期總結和匯報；——開展協同工作和應急處置；——組織或參加會議；——組織或參加技術交流和競賽等。應建立與上級主管部門、內外部網絡安全相關單位的溝通合作，并建立聯系列表。外部聯系單位包括：——網絡安全主管部門；——行業(yè)主管部門、行業(yè)協會、同行業(yè)單位；——業(yè)務系統涉及的相關機構，如軟硬件廠商、外包服務商、網絡或云服務運營商等；——網絡安全服務機構等。教育和培訓教育和培訓要求包括：應建立安全運維培訓體系，保證必要的培訓經費，并根據安全運維目標、策略或崗位設計相應的培訓課程（GB/T42446-20235、6的規(guī)定、制定培訓計劃；應確保培訓內容具備針對性和實用性，內容宜包括網絡安全基礎、專業(yè)技能、安全管理、實踐案例等，并通過訓后考試、隨機抽測、問卷調查等方式評估培訓質量；應采取多樣化培訓方式，如線上下課程、研討分享、實操演練、攻防實戰(zhàn)等；應定期組織開展安全運維培訓，培訓周期如下：——日常安全培訓列入工作計劃，每季度宜開展1次；——專項安全培訓應列入培訓計劃，每年宜開展1次；——重要風險預警及處置、上級主管部門組織的專題培訓實時開展；——外部機構組織的能力提升、資格認證類培訓列入培訓計劃，每年宜開展1次。人員錄用人員錄用的要求包括：應確保招聘錄用的安全運維人員與崗位需求和職責相匹配；安全運維管理、審計崗位應由內部人員擔任；應對安全運維人員的身份、背景、資質進行審查。當人員的身份、安全背景等發(fā)生變化時，應重新進行安全背景審查；安全運維人員應在上崗前簽署網絡安全相關責任書和保密協議。人員離崗人員離崗的要求包括：重要安全運維崗位人員離崗前，應及時對離崗可能產生的風險進行評估，并制定相應措施；安全運維人員離崗時，應在完成工作交接后及時進行敏感信息處理，如敏感資料、權限證書、密鑰等，并收回權限，刪除或停用系統賬號；應對安全運維人員進行離崗前安全審查，簽署書面保密協議。如果有脫密要求的，應在規(guī)定的脫密期限后方可離崗；應留存安全運維人員離崗的相關記錄。外包運維安全管理外包運維安全管理的要求包括：GB/T32914應與選定的外包運維服務商簽訂相關的協議，約定的內容包括：——外包運維的范圍；——工作內容；——安全要求；——保密要求；——考核機制等。d)應保證所選擇的外包運維服務商，在安全技術和管理方面的能力均符合系統相應等級的安全要求，并將能力要求在簽訂的協議中明確，運維外包服務商宜具備相應的網絡安全服務資質，服務資質可參見附錄表A.2。c)應對外包運維過程進行實時監(jiān)控，并定期對服務質量進行評價，評價內容包括：——項目管理，評價項目的執(zhí)行情況；——組織和人員，評價崗位設置是否合理，運維人員的能力素質等；——服務質量，評價運維目標的實現、運維策略的執(zhí)行情況等；——技術和設備，評價在安全運維過程中采用的技術和設備使用情況和運用效果；——事件響應，評價安全事件的響應和處置能力；——成本效益，評價項目的成本支出以及所取得效益。外部人員訪問管理外部人員訪問管理的要求包括：外部人員訪問安全運維相關的重要場所或系統應通過審批；應對外部人員明確安全及保密要求，有必要的應簽訂安全或保密協議；應對外部人員訪問做好記錄，并對訪問的全過程進行監(jiān)督控制；因工作需要為外部人員臨時開放的權限，應在工作結束后立即收回?？冃гu估績效評估的要求包括：應建立運維組織績效評估指標，包括：——業(yè)務指標，如運維目標達成、流程控制等；——財務指標，如費用支出、效益及風險控制等；——人力資源指標，如團隊協作、學習成長、人員激勵考核等。KPI（關鍵績效指標、OKR（目標與關鍵成果、BSC（平衡記分卡）等方法；應定期開展績效評估，可采用自評估與外評估相結合的形式，并及時向運維團隊反饋評估結果。安全運維規(guī)程安全運維管理資產管理本項要求包括：需要首先識別其資產，資產可分為以下兩個主要類別：主要資產，主要資產包含業(yè)務過程、信息和數據資產。其中數據資產是組織擁有或者控制的，能進行計量，為組織帶來價值的數據資源。支撐性資產，支撐性資產包含硬件、軟件、網絡、人員、場所及組織結構?？赏ㄟ^主動探測、被動分析，以及信息調研的方式對資產進行測繪，發(fā)現網絡中的資產。GB/T31722—2015B的方法計算資產的價值。應對資產進行分類分級，根據資產類型分別建立詳細的資產清單并采用統一的資產編碼對資產進行標識。資產清單應明確資產的類型、資產所屬關系、資產間依賴關系、資產維護關系、部署關系、服務功能、基礎軟件版本、存放數據情況、與攻擊目標相連情況、開放端口/服務、可訪問位BB.1。對于資產的變更應根據組織安全策略及時對資產清單進行更新。應通過技術手段實現對資產屬性變更的監(jiān)控、感知和預警。應根據組織安全策略定期對資產清單進行更新和維護，保證資產與目標保持一致，確保資產記錄的真實性、一致性、正確性。應通過安全評估確認資產全生命周期中的安全風險并采取相應的安全措施保障資產完整性、機密性和可用性。本項要求包括：GB/T5131420183.1要求應包括電氣系統、通風空調系統、消防系統和智能化系統。GB/T5131420184.15.1的要求。物理環(huán)境電氣系統包括供配電系統、不間斷電源和后備電源系統以及照明系統，該系統的運GB/T51314-20184.25.2的要求。GB/T51314-2018中4.3和5.3的要求。物理環(huán)境消防系統包括各類滅火系統、支撐消防機制運行的其它相關附屬設施，該系統的運GB/T51314-20184.45.4的要求。GB/T5131420184.55.5的要求。辦公環(huán)境宜建立和具備防盜竊、防破壞、防火以及安全監(jiān)控的物理安全機制與措施。消防安全重點單位應當按照滅火和應急疏散預案，至少每半年進行一次演練，并結合實際，不斷完善預案。其他單位應當結合本單位實際，參照制定相應的應急方案，至少每年組織一次演練。本項要求包括：應指派經受保密上崗培訓的專人負責密鑰和密碼設備的管理。密鑰的管理按GB/T22081—201610.1.2GB/T17901.1-2020的要求。GB/43207-2023C的要求。GB/T39786-2021B。密碼設備應放置在安全、保密的網絡環(huán)境中。網絡環(huán)境須采取有效隔離措施，避免無關人員接觸。密碼設備的操作和參數設置，應在有專人監(jiān)督情況下由專業(yè)技術人專職進行操作并作記錄。密碼設備的維修、定期維護應由專業(yè)技術人專職負責。密碼設備的銷毀應遵照相關法規(guī)及內外部監(jiān)管要求。介質管理本項要求包括：基本要求：對脫機存放的各類介質（包括信息資產和軟件資產的介質）根據存儲信息的類別和重要級別進行分類分級與控制和保護，以防止被盜、被毀、被修改以及信息的非法泄漏。介質的歸檔和查詢應有記錄，對存檔介質的目錄清單應定期盤點；介質應儲放在安全的環(huán)境中防止損壞；查詢應有審批，明確使用人和傳播范圍的限定。應采取安全措施對介質的運輸和傳遞過程進行保護。對于需要送出維修或銷毀的介質，應防止信息的非法泄漏。移動介質應要求專用。每次使用移動介質（含軟盤、U盤、移動硬盤、存儲卡等）時，應先進行病毒安全查殺后才可以進行使用。異地存放要求：對介質進行標識和分類，存放在由專人管理的介質庫中，防止被盜、被毀以及信息的非法泄漏。對存儲保密性要求較高的信息的介質，其借閱、拷貝、傳輸須經相應級別的領導批準后方可執(zhí)行，并登記在冊。存儲介質的銷毀必須經批準并按指定方式進行，不得自行銷毀。2個以上的副本，而且要求介質異地存儲，存儲地的環(huán)境要求和管理方法應與本地相同。完整性要求：對重要介質的數據和軟件必要時可加密存儲。對重要的信息介質的借閱、拷貝、分發(fā)傳遞須經相應級別領導的書面審批后方可執(zhí)行，各種處理過程應登記在冊，介質的分發(fā)傳遞采取保護措施。對于需要送出維修或銷毀的介質，應首先刪除信息，再重復寫操作進行覆蓋，防止數據恢復和信息泄漏；對于存儲過重要信息的介質宜進行不低于310和隨機數據的數據寫入覆蓋。需要帶出工作環(huán)境的介質，其信息應受到保護；宜采用小型密碼箱存儲、信息加密、介質本身加密等保護措施。 對存放在介質庫中的介質應定期進行完整性和可用性檢查，確認其數據或軟件沒有受到損壞或丟失。加密存儲的要求對介質中的重要數據必須使用符合加密強度要求的加密技術或數據隱藏技術進行存儲。介質的保存和分發(fā)傳遞應有嚴格的規(guī)定并進行登記。介質受損但無法執(zhí)行刪除操作的，必須銷毀。介質銷毀在經主管領導審批后應由兩人完成，一人執(zhí)行銷毀一人負責監(jiān)銷，銷毀過程應做記錄。終端管理本項要求包括：用戶在使用自己的終端計算機時，應設置開機、屏幕保護、目錄共享口令。非組織機構配備的終端計算機未獲批準，不能在辦公、生產場所使用。因工作需要的情況，應在接入本地網絡進行必要的安全檢查，確認該終端計算機符合組織安全策略要求。原則上組織機構配備的終端計算機不可以接入非辦公生產用網絡環(huán)境。因工作需要的情況，應確認終端計算機已滿足組織安全策略要求，具備相應安全防護機制并得到批準許可。及時安裝經過許可的軟件和補丁程序，不得自行安裝及使用其它軟件和自由下載軟件。Modem撥號、無線網卡等方式或另辟通路接入其它網絡。應根據組織管理要求，合理合規(guī)使用終端自帶攝像頭、拾音硬件、集成無線網卡、藍牙通信組件、紅外通訊組件、設備硬件擴展塢、USB接口、SD讀卡器等嵌入式硬件及接口。8.1.6訪問與操作管理章節(jié)內容。重要部門的終端計算機應要求對磁盤存儲采取加密措施保護存儲數據的機密性。重要部門的終端計算機應有措施對硬件本身實現物理保護，防止發(fā)生終端丟失、機箱違規(guī)開啟、內部組件的違規(guī)拆卸和添置安裝。應安裝統一的防病毒軟件使終端具備對惡意程序、代碼的檢測和清除機制。應及時和定期升級反病毒軟件。應定期對終端和相關軟件進行安全漏洞掃描，并根據掃描結果及時安裝補丁程序。應定期對終端和相關軟件進行安全配置基線檢查，并根據檢查結果及時進行配置加固。終端的使用、借用、維修和報廢應遵循組織管理要求并做記錄。終端的維修和報廢過程中應對存儲的敏感信息進行備份、刪除等操作，避免發(fā)生數據泄露的風險。本項要求包括：應為組織自有資源的所有訪問者確定適當的訪問及操作控制規(guī)則、訪問與操作權及限制，其詳細程度和控制的嚴格程度應反映監(jiān)管及組織的安全要求，并能應對相關的信息安全風險。ID管理，網絡及系統訪問控制以及數據訪問控制，具體要求詳見本規(guī)范附錄B中B.2。監(jiān)測管理本項要求包括：應根據資產情況，確定監(jiān)控管理的對象和級別，以發(fā)現異常行為實施有效預警，并采取適當措施評價潛在的信息安全事件。監(jiān)控對象可包括：應用系統。支撐應用系統運行的系統軟件、工具軟件。網絡及網絡設備。安全設備。主機、存儲、外設、終端等設備。電力、空調、消防等基礎環(huán)境。業(yè)務數據。BB.3：應具備和使用安全產品監(jiān)控工具作為監(jiān)控管理的技術支撐，主要的安全監(jiān)控產品分類和參考BB.4。監(jiān)控工具應具備預定義閾值功能，具備數據統計分析能力，根據預定義閾值生成告警信息，可將告警信息通過管理控制臺、電子郵件或即時通信系統等方式發(fā)送給指定人員，工具宜包括處理大量數據、適應不斷變化的威脅形勢及允許實時通知的能力。宜配置專人，開展實時或定期監(jiān)控，接收告警信息并做出響應。宜建立識別和處理誤報的規(guī)程，包括調整監(jiān)視軟件以減少未來誤報的數量。宜建立含監(jiān)控、告警、處置、信息上報的工作機制。日志管理本項要求包括：設備、系統應具備日志記錄功能，可記錄驗證、修改、控制、傳輸等日志信息，信息應至少包括時間、事件類型、操作主體、事件內容、操作結果（成功或失?。┑葍热荨σ延涗浀娜罩拘畔龊帽Ｗo，用戶不宜有修改、刪除等權限，防止發(fā)生日志信息未經授權變更和銷毀等情況。NTP服務器，以保證各種數據的管理和分析在時間上的一致性。日志收集需保障及時性，避免過渡采集導致系統運行異常，信息傳輸過程中要確保日志信息的完整性和準確性。對分散在各個設備上的日志數據宜進行收集匯總和集中分析。設備、系統應配置足夠的日志存儲空間，保證信息存儲的安全性、完整性，日志記錄應至少6個月。包含敏感數據和個人可識別信息，宜采取適當的隱私保護措施。應啟用日志審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計，應保證審計措施的有效性和時效性。審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。應對審計記錄進行保護，定期備份，避免受到未預6個月。日志審計宜跟進業(yè)務重要程度定期開展：1次審計。1次審計。日志審計宜重點關注以下信息：實時監(jiān)控和告警，關鍵業(yè)務系統和設備宜通過監(jiān)控和告警機制，及時發(fā)現安全事件并觸發(fā)響應。異常行為分析，發(fā)現異常行為或可疑事件，如未經授權的訪問、數據泄露等。安全事件調查，當發(fā)現安全事件時，進行深入的調查和分析，以確定事件的原因、范圍和影響。修復和加固，對發(fā)現的安全問題進行修復和加固，以消除安全隱患。審計報告和記錄，對發(fā)生的安全事件進行報告和記錄，以便對安全問題進行跟蹤和管理。日志分析宜覆蓋對事態(tài)的分析和解釋，以幫助識別異常活動或異常行為。宜通過日志審計系/軟件、網絡安全管理平臺等工具輔助人工開展日志檢索、內容關聯分析、圖表呈現、報告生成與導出等功能提升日志分析工作效率。日志的銷毀應符合監(jiān)管要求及組織的安全策略要求。備份管理本項要求包括：制定備份計劃和時間表；運維備份的作業(yè)對象主要包括如下：業(yè)務系統運行產生的信息數據。支撐業(yè)務系統運行的外部信息數據。支撐業(yè)務系統運行的業(yè)務軟件本身及其它支撐應用軟件（如操作系統、數據庫軟件、中間件等。支撐業(yè)務系統運行的其它支撐性設施的（如網絡設備、安全設備等）運行配置信息。應根據備份對象、備份時間、備份頻率、備份方式、備份介質、備份模式等制定備份策略。應根據數據大小、保留時間和恢復速度等因素進行選擇合適的備份媒介。應制定數據備份、恢復規(guī)范和操作流程及管理指導文檔，保障不同數據存儲過程的保密性，完整性、可用性和可追溯性。B中表B.5。應啟用數據備份產品存儲空間使用監(jiān)控功能，當存儲空間已滿或達到閾值時，告警提示。180天。應考慮和提供足夠數量的備份拷貝，以確保在災難和備份介質本身故障之后仍可以恢復業(yè)務信息和軟件。備份拷貝應分別存儲在主要場地和備份場地。備份拷貝要存儲在有足夠距離的遠程地點，避免主要場地災難時受到一并損壞。對于重要的業(yè)務應用至少要保留三代或若干周期的備份信息。對重要的業(yè)務信息數據可采取存儲至少三份備份拷貝，使用兩種類型的存儲介質，并將一份備份拷貝存放到遠程地點的備份方式。應對備份介質提供包括防盜、防火、防潮、防電磁輻射等在內的物理環(huán)境保護。應對備份拷貝進行安全管理并宜采用加密機制防止未經授權的訪問和篡改、避免由于管理不善造成數據損壞、信息泄露等安全風險。應根據備份信息的重要性定期檢查和測試恢復規(guī)程，確保備份拷貝的有效性。建立備份策略的監(jiān)控機制，及時發(fā)現備份故障和異常，生成備份報告，以供分析和改進備份策略。安全應急演練中應包含數據安全演練內容，檢驗和保障備份與恢復機制和策略的有效性。備份介質的使用、利舊及報廢應遵從組織的安全管理策略。對于超出組織明確保存期的備份拷貝，應根據組織的安全管理策略在進行安全評估后及時恰當的銷毀這些備份拷貝。變更管理宜將變更控制規(guī)程文件化，并強制實施，以確保從早期設計到后續(xù)維護中整個系統開發(fā)生存周期內，信息處理設施和信息系統中信息的保密性、完整性和可用性。可納入變更管理的安全運維工作主要包括：IT基礎設施的擴容或縮減。軟件或硬件的升級或降級。網絡拓撲結構的調整。安全策略的調整。軟件或硬件系統的配置更改。應用程序的代碼更改。系統補丁更新。外部接口的變更等。應建立變更控制規(guī)程，且嚴格按照規(guī)程執(zhí)行變更并對變更情況進行記錄。建立變更控制的規(guī)BB.6。變更應加強風險評估，評估應考慮以下內容：數據泄露風險。服務中斷風險。安全漏洞風險。配置錯誤風險。兼容性問題風險。4個級別：初級變更，針對一些較低風險或影響較小的變更，可以由業(yè)務部分負責人審批以及運維團隊中的初級成員或系統管理員進行變更授權和執(zhí)行；中級變更，針對一些中等風險或有一定影響的變更，需要由運維團隊中的中級成員或高級系統管理員進行變更授權和執(zhí)行；高級變更，針對一些高風險或影響較大的變更，需要由運維團隊負責人或資深技術專家進行變更授權和執(zhí)行；特別授權，針對一些特殊情況或緊急情況下的變更，可以由公司高層領導或跨部門協作小組進行特別授權和執(zhí)行。本項要求包括：網絡安全事件是由于人為原因、網絡遭受攻擊、網絡存在漏洞隱患、軟硬件缺陷或故障、不可抗力等因素，對網絡和信息系統或者其中的數據和業(yè)務應用造成危害，對國家、社會、經濟造成負面影響的事件。GB/T20986-20235的規(guī)定。GB/T20986-20236.2的規(guī)定。應建立網絡安全事件預警、處置、上報的安全管理策略、制度、機制和流程。應建立事件響應小組。事件響應小組團隊成員應由組織領導、相關部門負責人、以及外部響應支撐機構相關人員組成。可聘請相關專業(yè)的技術專家和技術骨干組成專家組。應根據應急事件的級別和應急響應的場景制定應急響應預案。應急響應預案可以分為總體預案和針對某個核心系統、某個響應場景的專項預案。應急響應預案應包含以下主要內容：1）應急響應具體的組織體系結構及人員職責。應急響應的監(jiān)測和預警機制。應急響應預案的啟動。應急事件級別及對應的處置流程、方法。應急響應的保障措施。應急預案的附則。應制定應急響應培訓計劃，并組織相關人員參與。培訓應使參訓人員明確其在應急響應過程中的責任范圍、接口關系，明確應急處置的操作規(guī)范和操作流程。培訓應至少每年舉辦一次。為驗證應急響應預案的有效性，使相關人員了解預案的目標和內容，熟悉應急響應的操作規(guī)演練開始前應確認演練活動的開展和保障條件。演練的整個過程應進行全程監(jiān)控，應有詳細記錄，并形成報告。演練應不影響業(yè)務的正常運行。對于確有可能影響業(yè)務正常運行的情況，應提前進行風險評估，并向相關利益方進行預警或通告。演練結束后應進行活動總結，并將演練情況納入應急響應工作評審。應定期針對應急響應工作進行評審，評審至少每年舉行一次。審核的內容及審核時應考慮的BB.7。檢查本項要求包括：運行維護階段安全評估是掌握和控制信息系統及其支撐軟硬件系統運行過程中的安全風險。評估內容包括在線運行信息系統及其支撐軟硬件系統資產、面臨威脅、自身脆弱性以及已有安全措施等各方面。安全評估的評估形式包括自評估、第三方評估和檢查評估。自評估：由信息系統所有者自身發(fā)起，組成組織機構內部的評估機構，依據國家有關法規(guī)與標準，對信息系統安全管理進行的評估活動。第三方評估：由信息系統所有者委托商業(yè)評估機構或其它評估機構，依據國家有關法規(guī)與標準，對信息系統安全管理進行的評估活動。檢查評估：由被評估信息系統所有者的上級主管部門、業(yè)務部門或國家相關監(jiān)管部門發(fā)起的，依據國家有關法規(guī)與標準，對信息系統安全管理進行的評估活動。安全評估的范圍應結合已確定的評估目標和組織的信息系統建設情況，合理定義評估對象和評估范圍邊界，可以參考以下依據作為評估范圍邊界的劃分原則：業(yè)務系統的業(yè)務邏輯邊界。網絡及設備載體邊界。物理環(huán)境邊界。組織管理權限邊界。其它。安全評估的具體場景除傳統IT外，應包括可能涉及的云計算、移動互聯，物聯網、工業(yè)控制、大數據應用、跨國業(yè)務運維等場景。安全評估的方法主要包括：文檔檢查：檢查被評估單位提交的有關文檔（如系統配置文檔、安全防護方案、自評估報告等）是否符合相關標準和要求；人工核查：根據評估方案和評估指導書，在合理的評估環(huán)境下，核查各項安全功能和防護能力是否與提交文檔一致，是否符合相關標準和要求等；工具檢查：根據評估方案，在被評估單位授權的前提下，選擇適用的評估工具實施評估，工具可包括網絡評估工具、主機評估工具、資產識別工具等。GB/T209842022C。運行維護的評估內容包含：運行維護階段的組織及人員，安全管理文件體系等保障措施。運行維護階段的環(huán)境與資源管理、運行操作管理、系統維護管理、安全狀態(tài)監(jiān)控、密碼與數據安全管理、業(yè)務連續(xù)性管理、變更控制與外包管理（包括供應鏈、安全檢查和持續(xù)改進等日常措施。運行維護階段的監(jiān)管合規(guī)性符合、風險管理、監(jiān)督與檢查等監(jiān)督措施。GB/T2098420225的要求。運行維護階段的安全評估應常態(tài)化開展。具體要求如下：運營單位對本單位安全保護等級為第三級和第四級的信息系統定期組織開展自評估，評估周期原則上不超過一年；安全保護等級為第二級的信息系統定期開展自評估，評估周期原則上不超過二年。運營單位自行組織或委托評估機構開展的評估工作，評估周期原則上不超過二年；委托評估機構定期開展的第三方安全評估工作可結合等級保護工作進行。當信息系統業(yè)務流程、系統狀況發(fā)生重大變更時，需及時進行安全評估。重大變更包括但不限于：增加新的應用或應用發(fā)生較大變更。網絡結構和連接狀況發(fā)生較大變更。技術平臺大規(guī)模更新。系統擴容或改造。系統運行維護管理機構或人員發(fā)生較大規(guī)模調整。本項要求包括：應建立漏洞發(fā)現和報告、漏洞接收、漏洞驗證、漏洞處置和漏洞跟蹤的漏洞管理流程和機制。應通過漏洞掃描工具根據組織安全策略要求定期開展網絡安全漏洞掃描，發(fā)現信息系統及其支撐軟硬件系統中的脆弱性或漏洞。涉及的信息系統和其支撐軟硬件系統具體包括：基礎架構（含操作系統、數據庫、中間件、通信協議。應用系統（含通用軟件、應用系統、虛擬化系統、大數據組件等。硬件設備（含網絡設備、安全設備、辦公自動化產品、云平臺及組件、物聯網設備等。網絡安全漏洞的發(fā)現活動應包含以下原則：實施漏洞發(fā)現活動應遵循國家相關的法律法規(guī)；實施漏洞發(fā)現活動時，應主動評估可能存在對業(yè)務系統及其支撐軟硬件運行的風險；實施漏洞發(fā)現活動時，活動覆蓋的范圍宜包括自有網絡中和部署于外部網絡中的信息系統及其支撐軟硬件系統；宜采用單獨、或者組合使用主動漏洞掃描、被動漏洞掃描，以及代理漏洞掃描等漏洞發(fā)現技術。應建立來自外部的網絡安全漏洞信息接收渠道，接收渠道包括：信息系統及其支撐軟硬件生產商；上級組織。監(jiān)管機構。國家互聯網應急中心。第三方安全運維機構。第三方威脅情報通告。在進行漏洞驗證活動時，應主動評估可能存在對業(yè)務系統及其支撐軟硬件運行的風險并建立可行的應急處置預案，漏洞驗證宜通過仿真環(huán)境或備份環(huán)境來進行安全驗證。GB/T30276-20205.4的要求進行。此外，網絡安全漏洞處置的優(yōu)先級別宜采取以下順序：外網可探查、可利用。內網可探查、可利用。監(jiān)管和輿情關注。尚不可探查、利用。應對網絡安全漏洞的處置情況和結果進行跟蹤以實現管理閉環(huán)。對于不能通過補丁加固方式消除的網絡安全漏洞威脅應采取其它補償措施/機制將該威脅降至組織可接受的網絡安全風險程度。應根據漏洞掃描工具生產商的建議定期/及時對漏洞掃描工具進行系統和漏洞規(guī)則庫的升級，以保持掃描工具處于最佳工作狀態(tài)。本項要求包括：應建立符合監(jiān)管要求和組織內部安全策略要求的安全配置要求。應建立安全配置檢查和報告、安全配置處置、安全配置跟蹤的運維管理流程和機制。通過技術手段定期對信息系統及其支撐軟硬件開展安全配置檢查工作。涉及的信息系統和其支撐軟硬件系統具體包括：基礎架構（含操作系統、數據庫、中間件、通信協議。應用系統（含通用軟件、應用系統、虛擬化系統、大數據組件等。硬件設備（含網絡設備、安全設備、辦公自動化產品、云平臺及組件、物聯網設備等。BB.8。在安全配置處置階段，要求如下：應與業(yè)務部門、系統開發(fā)部門、第三方運維機構協同開展安全配置處置工作。在安全配置處置過程中應與業(yè)務部門進行深入分析，判斷安全配置的修改是否影響業(yè)務系統的正常運行。對于已經確認的安全配置不合規(guī)項，在考慮了相關風險影響因素的基礎上，應立即進行安全配置加固。應對安全配置的處置情況和結果進行跟蹤以實現管理閉環(huán)。對于不能通過配置加固方式消除的安全威脅項應采取其它補償措施/機制將威脅降至組織可接受的網絡安全風險程度。應定期對組織內部制定的安全配置基線要求進行審核，以保持該安全配置要求符合最新的監(jiān)管要求及組織安全策略要求。外部協同本項要求包括：對第三方人員的管理可包含人員入場前，人員入場工作以及人員離場三個階段。在第三方人員入場前階段，應開展以下工作內容，但不限于這些內容：確認與供應商簽署的合同，檢查第三方人員是否符合約定的人員本身、人員數量、人員技術資格證明、人員能力以及人員背景要求；與供應商及第三方人員簽署工作保密協議；向第三方人員進行安全管理相關培訓，讓其了解組織安全制度、安全要求、法律責任和安全處理程序；與第三方人員開展工作涉及的其它內部部門共同確認其開展工作需具備的工作方式、工作時間、工作位置、工作流程、訪問資源、訪問操作權限。識別第三方人員安全管理風險來源，確定其影響區(qū)域、對象、事件及原因，并制定相關風險處置預案，建立第三方人員違規(guī)處置機制；如第三方人員使用自有計算機終端開展工作，應檢查其計算機終端，使其符合組織內部計算機終端的安全管理要求并滿足開展工作過程中的相關網絡安全要求。第三方供應商應提供己方相應的安全保障制度與措施說明。在第三方人員入場展開工作階段過程中，應開展以下工作內容，但不限于這些內容：宜要求第三方人員在工作環(huán)境中佩戴胸卡或胸牌，表明其身份。對于通過QQ、微信等網絡交流工具進行工作溝通交流的情況，應要求用戶ID名稱能被識別為第三方人員；通過管理和技術手段對第三方人員的工作過程進行安全監(jiān)測和安全審計；定期回顧和評估第三方人員的工作情況；如工作過程中發(fā)生第三方人員更迭的情況，應刪除/中止原有人員的賬戶和訪問權限，對更迭人員應重新開展入場前安全管理工作。重要信息系統的系統管理員賬戶原則上不應提供給第三方人員。在第三方人員離場階段，應開展以下工作內容，但不限于這些內容：在確認第三方工作已完成的情況下，需要與第三方人員開展工作涉及的其它內部部門共同確認刪除第三方人員的賬戶及密碼、訪問操作權限；檢查第三方人員的計算機工作終端，確定計算機終端存儲數據符合保密要求及組織數據安全管理的要求；檢查并按監(jiān)管要求和組織安全管理要求妥善保管第三方人員的工作記錄及相關電子/紙質工作文檔。對符合失效要求的記錄和文檔應及時采取脫敏/銷毀措施。供應鏈管理提供網絡安全產品和服務的供應商應滿足以下要求，包括但不限于，GB/T22080建立信息安全管理體系。設置與網絡安全服及和產品安裝維護規(guī)模相適應的專業(yè)部門或團隊。2年以上相應網絡安全服務項目經驗。GB/T42446規(guī)定的網絡安全服務相關知識與技能；熟練掌握《國家網絡安網絡安全產品應由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。應根據具體業(yè)務系統及其支撐軟硬件系統的生命周期向產品和服務供應商購買售后維保服務，使產品和服務在維護、返回等服務運維階段獲得連續(xù)性、及時性的服務支撐保障。應對供應商及售后人員的應急事件的響應能力提出符合組織業(yè)務連續(xù)性需求的管理要求。對于發(fā)生故障的硬件產品，在返回維護前應檢查產品內置存儲介質是否存儲了記錄組織敏感信息的數據，應根據組織的數據安全管理策略采取包括數據備份、數據擦除、存儲介質拆卸等安全措施避免發(fā)生數據泄露風險。對于維修后返回的硬件產品，宜檢查產品軟、硬件是否存在被替換、被植入、被篡改以及功能失效的情況。對用于升級更新的軟件程序應確認其來源于供應商官方渠道，在安裝前可通過計算哈希值并與官方公布哈希值進行比對，確認軟件程序未遭受被替換和被篡改。對升級后的軟件產品和返修后的硬件產品宜開展網絡安全漏洞掃描工作，確認軟硬件產品是否因升級和返修產生新的網絡安全漏洞。應建立和供應商的信息通告和溝通聯系方式，及時了解供應商發(fā)布的產品更新、產品缺陷及漏洞通告、應急處置措施等信息，在發(fā)生故障時能正確、及時聯系供應商。在供應商售后人員到場維護過程中，應確認沒有非合理改動硬件、改動系統軟件配置、盜竊數據及預裝程序等安全隱患發(fā)生。本項要求包括：安全驗收可分為安全驗收準備、安全驗收評估和安全驗收確認三個階段。安全驗收可采用自驗收和第三方驗收。自驗收是系統的擁有、運營或使用單位發(fā)起的對本得系統進行的驗收。第三方驗收是委托第三方負責實施的驗收。服務類項目是包括由第三方機構開展的咨詢、評估、培訓、現場運維等類型的項目。該類項目在安全驗收工作前，供應商應已完成所有的服務內容和內部評估、并提供可供復查的測試B中表B.9列出常見文件清單，清單內容可根據實際情況進行多方協商、取舍和增減。服務類項目在安全驗收評估中應評估以下內容，但不限于這些內容：1）3）評估服務內容及服務交付物，確認是否已滿足合同約定的服務交付質量。在安全驗收確認階段，驗收結論應包含以下方面：安全驗收評估階段的內容和結論。驗收不符合項。不符合內容對系統信息安全能力的影響分析。是否通過驗收的建議。安全運維支撐系統檢測識別類系統識別類工具包括并不限于：應采用資產測繪系統主動探測和被動流量監(jiān)測獲取資產指紋、網站、蜜罐、地理信息、DNS等信息；可采用安全配置核查系統自動獲取網絡設備、安全設備、操作系統、數據庫、中間件、應用系統的配置，比對配置基線要求生成配置差距分析清單；應采用漏洞掃描系統對主機漏洞、網站漏洞、弱密碼等進行探測；可采用網站安全監(jiān)測系統對重要網站的可用性、安全性和性能進行監(jiān)測和告警；應采用違規(guī)外聯檢測系統識別違規(guī)外聯、違規(guī)內聯、內外網交替使用等違規(guī)行為。防護管理類系統防護管理類系統包括并不限于：應采用攻擊面管理系統對潛在攻擊者開展網絡安全攻擊時可能利用的所有數字資產、外部信息、脆弱性風險等數據集合進行攻擊暴露面發(fā)現、判別、確認、管理，并協調內、外第三方對攻擊面進行持續(xù)收斂；應采用資產管理系統同步資產測繪系統自動發(fā)現的資產指紋信息，結合人工補全信息，維護用途清晰、分類清晰、價值清晰、責任清晰的資產清單；可采用漏洞管理系統，對漏洞掃描、威脅情報及外部通報發(fā)現的漏洞信息，關聯資產進行漏洞研判、處置、工單下發(fā)、復查、歸檔的全生命周期管理過程，形成持續(xù)管理的漏洞臺賬；應采用安全合規(guī)管理系統，對國家網絡安全法律法規(guī)、政策、標準規(guī)范，以及區(qū)域、行業(yè)、企業(yè)的安全管理制度進行解讀后生成合規(guī)控制點、檢查點知識庫，提供合規(guī)自評差距分析和整改跟蹤功能，支撐風險評估、入網安評、等保差距分析、綜合安全檢查等場景；可采用安全運維流程管理系統，對網絡數據安全管理制度中人員管理、安全建設管理、安全運維管理等環(huán)節(jié)要求的規(guī)范流程提供支撐表單和審批流程；應采用安全運維管理系統，為運維用戶提供統一資源訪問入口，借助身份認證接口實現對運維用戶的身份鑒別，對資產及其賬戶等進行集中管理和授權，監(jiān)控和審計運維操作過程，并對違規(guī)操作行為進行報警、阻斷。監(jiān)測審計類系統監(jiān)測審計類系統包括并不限于：應采用日志審計系統對信息系統中各類資產的關鍵日志進行集中采集、存儲、分析；應采用主機審計系統對主機操作系統的關鍵行為進行審計；應采用網絡審計系統對網絡邊界處網絡通信中的協議、應用訪問、網絡流量等進行審計；應采用數據庫審計系統對數據庫的用戶授權、數據操作系統進行審計；可采用應用審計系統對特定應用的用戶登錄、重要操作進行審計；可采用防火墻策略審計系統集中采集多臺防火墻的策略配置，審計策略用途和變化情況，并分析策略合理性提供策略優(yōu)化建議；應采用監(jiān)控系統對基礎設施、軟硬件、數據的可用性、性能指標進行監(jiān)測，支持對監(jiān)控數據分析告警；應采用威脅信息監(jiān)測系統采集大規(guī)模、多渠道的碎片式攻擊或異常數據,集中地進行深度融合、歸并和分析,形成與網絡安全防護有關的威脅信息線索，并在此基礎上進行主動、協同式的網絡安全威脅預警、檢測和響應；應采用態(tài)勢感知系統采集網絡流量、資產信息、日志、漏洞信息、告警信息、威脅信息等數據，分析和處理網絡行為及用戶行為等因素，掌握網絡資產狀況、流量變化、資產運行指標、脆弱性分布、攻擊、異常行為、安全事件等安全態(tài)勢，預測網絡安全趨勢，并進行展示和監(jiān)測預警。響應協同類系統響應處置類系統包括并不限于：可采用安全服務工作臺，建立一個集中的信息系統運行狀態(tài)收集、處理、顯示及報警的系統，并統一收集與處理信息系統用戶問題反饋。應采用信息通報系統，對安全事件的事前進行應急預案管理、事前預警、事中進行報送和跟蹤管理、事后進行總結管理，建立應急響應培訓計劃臺賬、應急響應培訓記錄臺賬、應急演練活動記錄臺賬；可采用安全編排與自動化響應系統將工作流程中涉及不同系統或一個系統內部的不同安全能力通過可編程接口（API）封裝后形成安全能力接口、人工處理節(jié)點、邏輯判斷等各類型流程節(jié)點，并按照一定的邏輯組合到一起形成劇本，完成某個特定安全事件響應操作；宜采用安全中臺為安全能力的實現統一標準，將用戶現在的網絡設備、安全能力、業(yè)務系統、管理平臺進行標準化整合，讓安全能力以約定形式進行封裝，并在此基礎上支持不同種類安全能力的協同、不同性質平臺系統的聯動與不同崗位工作人員的協同。系統自身安全要求各項安全運維支撐系統的自身安全保障要求包括：標識和鑒別、自身訪問控制、自身安全審計、通信安全、支撐系統安全、產品升級、用戶信息安全、密碼要求等，應滿足GB/T42250和及GB/T222397.1.4節(jié)安全計算環(huán)境中的規(guī)定。附 錄 A（資料性）網絡安全運維人員資質建議各崗位類別的網絡安全運維人員資質建議如表A.1所示：表A.1網絡安全運維人員資質建議表崗位類別資質建議網絡安全管理類CISSP（國際信息系統安全專業(yè)認證）CISA（國際信息系統審計師）CISP（注冊信息安全專業(yè)人員，管理、數據治理、應急響應領域）CNSE（注冊網絡安全防護專家）CNSP（注冊網絡安全防護高級工程師）CDSP（數據安全認證專家）信息安全工程師（計算機技術與軟件專業(yè)技術資格）CCSC（網絡安全能力認證II級）網絡安全運維工程師（昆明市網絡安全協會培訓認證）網絡安全運營維護類Security+（信息安全技術專家）CISP（注冊信息安全專業(yè)人員，滲透測試、電子取證、個人信息保護、密碼技術領域）CISM（注冊信息安全全員）CNSA（注冊網絡安全防護工程師CDSP（數據安全認證專家）信息安全工程師（計算機技術與軟件專業(yè)技術資格）CCSC（網絡安全能力認證I級）網絡安全運維工程師（昆明市網絡安全協會培訓認證）網絡安全審計評估類CISA（國際信息系統審計師）CISP（注冊信息安全專業(yè)人員，系統審計領域）CISM（注冊信息安全全員）CNSA（注冊網絡安全防護工程師）信息安全工程師（計算機技術與軟件專業(yè)技術資格）CCSC（網絡安全能力認證I級）各網絡安全運維單位資質建議如表A.2所示：A.2網絡安全運維服務公司資質建議表服務類型資質建議網絡安全運維服務類CCRC（信息安全服務資質認證）網絡安全測評類等級保護測評資質網絡安全密碼測評資質質量管理體系類ISO27001（信息安全管理體系）ISO20000（信息技術服務管理體系）附 錄 B（資料性）安全運維規(guī)程涉及表單資產清單主要記錄元素如表B.1所示：資產清單主要記錄元素編號主要記錄元素1資產編碼及名稱2資產類別/類型3資產的業(yè)務屬性4資產重要性/級別5資產擁有部門/人員6資產使用部門/人員7資產管理部門/人員8資產維護部門/人員9資產部署/存放位置10資產的TCP/IP信息（IP、MAC、端口、服務）11資產型號/硬件配置信息12資產軟件及版本信息13資產的維護/更新信息14資產對應的開放端口/服務用戶ID管理要求建議如表B.2所示：信息系統訪問控制與操作用戶ID管理編號要求1用戶賬戶可根據管理權限、訪問操作的重要性、被訪問系統及數據的重要性劃分為重要賬戶和普通賬戶2賬戶可根據其生存周期分為永久賬戶和臨時賬戶3用戶ID的建立和使用應與用戶身份進行唯一對應4應遵循最小授權和最小需知的原則對用戶ID的權限進行分配5應維護一份完整的用戶ID及授權文檔，并根據情況進行及時和定期的更新6賬戶分配時必須同時生成相應的密碼賬戶和密碼應采取安全的傳輸方式和途經移交給使用人員7應建立技術措施或啟用設備/系統本身的安全機制在用戶第一次登錄賬戶時修改密碼88用字母或數字的密碼登錄場景，應通過雙因子/多因子方式，保障登錄的安全性9宜通過技術機制要求在第一次登錄賬戶時修改密碼10密碼應根據賬戶的重要性設定強制更改的時間間隔，密碼的更新周期最低不應低于6個月11應通過技術措施實現對口令的重復使用檢測，密碼嘗試登錄次數限制及錯誤登錄達到上限后的賬戶/權限鎖定12應限制匿名用戶連接權限，禁用自動登錄、禁用共享賬戶13應定期對賬戶的登錄情況、賬戶和權限的變更以及賬戶的生命周期進行審計和檢查14應通過管理制度和安全培訓使賬戶使用人知曉組織對賬戶使用的要求網絡及系統訪問控制編號要求1組織內部的網絡可根據組織的部門架構、物理位置、業(yè)務系統的分類及重要性劃分為不同的網絡區(qū)域應在網絡設備及安全設備上設置不同的網絡區(qū)域間的訪問控制策略，策略的設定應遵循最小授權的原則2應通過安全通信協議、VPN安全網關、堡壘機等實現對網絡、網絡設備、安全設備、操作系統、應用系統的安全的登錄訪問3應根據業(yè)務的需求進行安全評估后確定向包含互聯網在內的外部網絡開放對外服務訪問的IP地址、TCP/IP端口以及開放的時間周期4應限制網絡中特定端口的訪問權限，應關閉高危、不必要的端口，防止未經授權的用戶或惡意軟件利用開放端口進行攻擊或非法訪問5應通過網絡審計、行為審計等技術措施實現對網絡訪問活動的監(jiān)測和審計6應對接入網絡的運維工具進行安全評估和安全控制7應定期對網絡設備、安全設備的訪問控制策略配置進行備份8宜維護一份對外提供開放服務的文檔，并根據情況進行定期的更新9宜針對每個業(yè)務系統維護一份訪問控制及授權的文檔，并根據情況進行定期的更新10應定期開展安全評估，檢測和發(fā)現網絡及系統訪問過程中可能存在的網絡安全風險數據訪問控制編號要求1應根據監(jiān)管要求及組織自身數據安全策略目標對組織內的數據進行分類分級,并根據業(yè)務需求及數據安全策略設置用戶權限2應通過數據防泄漏、數據脫敏、數據加密、隱私計算、加密通訊等技術措施實現對數據的安全訪共享和訪問3應使用數據庫審計系統實現對數據庫的訪問操作審計監(jiān)控體系內容建議表B.3所示：監(jiān)測體系內容編號監(jiān)測內容1系統運行狀態(tài)監(jiān)測2設備狀態(tài)監(jiān)測3設備與系統配置監(jiān)測4設備性能監(jiān)測5設備故障監(jiān)測6網絡流量監(jiān)測7通信鏈路監(jiān)測8脆弱性監(jiān)測9網絡行為監(jiān)測10認證與授權監(jiān)測11網絡攻擊監(jiān)測12病毒與木馬等惡意程序監(jiān)測13拒絕服務攻擊監(jiān)測14業(yè)務應用監(jiān)測15運維審計監(jiān)測16數據安全監(jiān)測監(jiān)測產品類別如表B.4所示：監(jiān)測產品類別編號監(jiān)測產品類別1系統運行狀態(tài)監(jiān)測類產品IT資源管理系統、網絡管理系統、系統日志軟件2設備狀態(tài)監(jiān)測產品網絡管理系統、安全管理系統、終端管理系統、資產管理系統3設備與系統配置監(jiān)測產品配置核查系統、安全基線系統、漏洞掃描系統、日志審計/分析系統4設備性能監(jiān)測產品網絡管理系統、安全管理系統、終端管理系統、資產管理系統5設備故障監(jiān)測產品網絡管理系統、安全管理系統、日志審計/分析系統6網絡流量監(jiān)測產品流量監(jiān)測系統、流量控制系統、網絡管理系統、APT檢測系統7通信鏈路監(jiān)測產品流量監(jiān)測系統、協議分析系統、網絡管理系統、設備日志軟件、負載均衡設備8脆弱性監(jiān)測產品漏洞掃描系統9網絡行為監(jiān)測產品上網行為監(jiān)控系統、網絡審計系統、WEB應用防火墻、終端安全管理系統、入侵檢測/防御系統10認證與授權監(jiān)測產品系統日志軟件、堡壘機、身份認證與授權系統、4A系統11網絡攻擊監(jiān)測產品防火墻、WEB應用防火墻、入侵檢測/防御系統、流量監(jiān)測系統、防病毒軟件、終端安全管理系統、抗拒絕服務系統、日志審計/分析系統12病毒與木馬等惡意程序監(jiān)測產品防病毒網關、防病毒軟件、入侵檢測/防御系統、APT檢測系統13拒絕服務攻擊監(jiān)測產品流量清洗設備、抗拒絕服務攻擊系統14網站業(yè)務應用監(jiān)測產品WEB應用防火墻、網頁防篡改系統、網站安全監(jiān)測系統/服務15運維審計監(jiān)測產品堡壘機、網絡審計系統、終端管理系統、4A系統16數據安全監(jiān)測產品數據庫審計系統、數據防泄露系統、互聯網輿情/數據泄露監(jiān)控系統/服務備份作業(yè)記錄表單主要記錄元素建議如表B.5所示：備份作業(yè)記錄元素編號記錄元素1備份作業(yè)執(zhí)行人2備份作業(yè)審核人3備份作業(yè)成功與否4備份時間5備份方式6備份介質7備份模式8備份文件名稱9存儲空間使用情況變更控制規(guī)程的考慮、環(huán)節(jié)及變更記錄表單記錄元素建議參考B.6表變更控制規(guī)程變更控制規(guī)程的考慮編號考慮內容1考慮所有依賴關系，規(guī)劃和評估變更的潛在影響2變更的授權3向相關方傳達變更4變更測試和驗收5變更實施，包括部署計劃6緊急情況和應急考慮，包括回退規(guī)程7維護包含上述內容的變更記錄變更控制規(guī)程的環(huán)節(jié)編號環(huán)節(jié)內容1變更需求，包括變更的目的、涉及的范圍、所需的資源等2變更方案，包括變更的實施步驟、影響范圍、風險評估等3變更申報，運維人員或相關責任方根據變更需求向變更管理團隊提交變更申報4變更審批，包括對變更方案的業(yè)務評審、技術評審、風險評估等5變更執(zhí)行，經過審批后，運維人員按照變更方案執(zhí)行變更操作6變更監(jiān)控，在變更執(zhí)行過程中，對變更的執(zhí)行情況進行監(jiān)控，發(fā)現和解決問題7變更記錄，對變更執(zhí)行的全過程進行記錄，包括變更時間、執(zhí)行人員、狀態(tài)等8變更審計，定期對變更管理過程進行審計，檢查變更方案的執(zhí)行情況、記錄的完整性等變更記錄表的記錄元素編號元素內容1變更原因2變更內容3變更計劃時間4變更申請人5變更審核和審批情況6變更實施人7變更實施時間8變更實施結果9驗收意見和結論10存檔確認信息審核的內容及審核時考慮因素建議參考B.7表應急響應工作審核審核內容編號內容1最新的監(jiān)管要求與組織安全目標2應急響應制度與流程3事件的分類與定級4應急響應小組人員和能力5應急響應預案的制定與修編6應急響應執(zhí)行過程和執(zhí)行結果審核時考慮因素編號因素內容1相關利益方的要求和反饋2支持應急響應的資源及流程3響應處置后的結果及組織可接受的風險水平4應急預案的測試效果及實際執(zhí)行效果5可能影響應急響應的各類變更，如業(yè)務變更、基礎設施環(huán)境變更、人員變更等6近期處置應急事件過程中總結的經驗和教訓7上次評審活動的后繼活動跟蹤情況安全配置檢查項建議如B.8表安全配置檢查內容編號檢查內容1網絡通信協議的安全設置2TCP/UDP端口管理3進程與服務管理4登錄管理5賬戶及權限管理6密碼管理7訪問控制管理8系統資源管理9安全策略管理10事件告警管理11日志管理12審計策略管理13入侵防護管理服務類項目驗收準備文件建議參考B.9服務類項目驗收準備文件供應商通常準備文件編號文件內容1服務設計方案2服務實施方案3服務內容輸出物（如會議紀要、工作記錄表單、測評報告、咨詢建議、運維報告、運維技術文檔、工單審批記錄、服務整改記錄、總結報告等）項目發(fā)起方通常準備文件編號文件內容1項目預算審批文件2項目設計/規(guī)劃文件3招標文件4中標通知書5采購合同6定期監(jiān)測和評估文件7服務質量評估報告8驗收要求/方案附 錄 C（資料性）安全運維支撐系統功能要求檢測識別類系統資產測繪系統資產測繪系統功能要求應包括：應通過主動探測掃描聯網資產獲取資產信息，資產信息包含但不限于：IP地址、MAC地址、端口、服務，信息類型包含但不限于：系統軟件、操作系統及版本、數據庫及版本號、軟件組件、軟件框架、開發(fā)語言、域名、證書、網站標題、備案信息、網絡設備、安全產品、視頻監(jiān)控、物聯網設備、工控設備、辦公外設、企業(yè)應用等信息；http協議的信息抓取，采集的信息包括訪問路徑、域名、請求頭、服務、網站源碼、標題等，保留原始數據信息；應識別常用協議，包含但不限于http、https、ftp、ssh、pop3、telnet、mysql、apf、stun、pptp、printer-job-language、irc、ndmp、netbus、nntp、vnc等協議；http/https協議的進行網站爬蟲信息抓取，采集的信息包括訪問路徑、域名、請求頭、服務、網站源碼、標題等，并保留原始數據信息；應支持網頁圖標自動識別資產；應支持蜜罐資產識別，包括低交互蜜罐；json類型蜜罐、高交互類型蜜罐、定制化類型蜜罐等；應支持地理位置信息識別，包括IP地址與地理位置映射定位（經緯度、國家、城市等，IPASN號關聯；IP地址自動與組織關聯；DNSIPIPDNS組件；可支持國內云服務商識別；CDNCDN廠商識別；應支持自定義資產指紋規(guī)則管理，能對特有資產指紋信息進行自定義，并識別資產成功；支持根據資產指紋規(guī)則名稱、內容、類型、廠商查詢規(guī)則。安全配置核查系統安全配置核查系統功能要求應包括：核查對象應包括并不限于網絡設備、安全設備、操作系統、數據庫、中間件、Web等；核查內容應包括并不限于網絡通信協議的安全設置、TCP/UDP錄管理、賬戶及權限管理、密碼管理、訪問控制管理、系統資源管理、安全策略管理、事件告警管理、日志管理、審計策略管理、入侵防護管理；GA/T1545應支持安全配置閉環(huán)管理，對不符合內容通過工單下發(fā)給相關責任人督促整改，跟蹤過程支持狀態(tài)標簽形成跟蹤臺賬；應支持導出配置核查合規(guī)情況報告。漏洞掃描系統漏洞掃描系統的功能要求應包括：a）應支持自動更新和維護漏洞庫的能力，確保能及時檢測到最新的安全漏洞；b）漏洞庫應覆蓋各類操作系統、網絡設備、中間件、應用程序和服務；應提供對操作系統、應用軟件和服務的安全漏洞深入檢測能力，包括但不限于緩沖區(qū)溢出、注入攻擊、配置錯誤、弱密碼等；應支持主動和被動兩種檢測模式，并可根據策略進行模擬攻擊以驗證漏洞存在；應對發(fā)現的漏洞進行風險等級評估和分類，提供CVSS評分或其他行業(yè)認可的風險評估體系；f）應支持按計劃定期執(zhí)行掃描任務，具備靈活的任務調度功能；掃描結果應以直觀易讀的格式輸出，包含詳細報告和可視化圖表，同時可導出為PDF、CSV等多種格式；應支持根據組織的具體需求定制掃描策略，包括掃描速度、并發(fā)數量、告警閾值等參數；i）提供API接口以便于與其他安全系統對接。網站安全監(jiān)測系統網站安全監(jiān)測系統功能要求應包括：httphttpsGA/T1550應支持網站漏洞檢測；應支持對網站訪問時延、DNS應支持監(jiān)測網站可用性。違規(guī)外聯檢測系統違規(guī)外聯檢測系統功能要求應包括：IP，給掃描目標發(fā)送掃描報文，掃描目標收到報文后，會向源地址即偽造的外網服務器地址回報文，外網服務器收到報文并解析，顯示外聯主機信息；違規(guī)內聯設備檢測，支持基于掃描方式檢測網絡中私自擴展的非法內聯設備，可識別類型包APWi-Fi、BYOD路由器設備、雙網卡等；IPIP地址、外聯時間、外聯次數等。防護管理類系統攻擊面管理系統網絡資產攻擊面管理系統功能要求應包括：應識別對象涵蓋資產實體和資產屬性，包括并不限于：硬件資產：服務器、云主機、存儲設備、網絡設備、安全設備、物聯網設備、終端設備等；資產屬性：IP地址、域名、子域名、端口、API、應用系統、證書等；軟件資產：操作系統、數據庫、中間件、郵件系統、辦公軟件、安全軟件等；移動資產·：APP、公眾號、生活號、小程序等；數字資產：源代碼、文檔、賬號、客戶數據、業(yè)務數據等；脆弱性風臉：漏洞、弱口令、配置核查、供應鏈安全、非法數據販賣等；應具備多源資產數據接入能力。包括但不限于CMDB、資產測繪系統、終端管理平臺、ADNDR、EDR、HDR（HIDS）等具備資產發(fā)現能力的安全產品，支持持續(xù)交叉驗證、去重/擴充、屬性補全、標記等操作；支持結合業(yè)務數據流、網絡流量、訪問拓撲等多個維度，綜合描繪出資產之間的關系鏈，將原本不同組織的資產臺賬融合為統一的資產視圖；應支持基于業(yè)務視角的資產屬性完善與關聯。通過“標簽”對資產所屬的業(yè)務線、系統應用、相關負責人等屬性進行關聯補充，體現出資產的業(yè)務價值等級、業(yè)務連續(xù)性要求等重要屬性；每個屬性的“標簽”支持自定義添加；應支持收斂優(yōu)先級提示，結合資產價值、業(yè)務權重、告警可信度、漏洞優(yōu)先級等維度，提示攻擊暴露面中的收斂優(yōu)先級；應支持異常資產分析，包括資產異常上線、特定資產異常離線、開放高危端口、應用高危服務、使用高危軟硬件產品等監(jiān)控并告警；應支持對資產信息變化發(fā)現，并以時間軸的形式記錄資產變化生命周期，記錄信息包括但不MAC地址、端口、協議、服務、負責人、漏洞信息、地理位置、網站快照等；支持記錄變化時間、變化前后信息、新增、減少；f)應支持風險要素收斂生命周期管理，將需要收斂的風險要素向相關負責人或維護人下發(fā)處置工單，跟蹤事件的處置過程直至風險要素歸檔，歸檔狀態(tài)包括并不限于關閉、接受、忽略等。資產管理系統資產管理系統功能要求應包括：應支持關聯資產測繪、攻擊面管理等系統自動發(fā)現的信息，支持手工錄入未能自動識別的資產信息，包括屬性補全、價值判斷、分類標記等；應能將資產數據編制成資產清單，信息資產的相關屬性至少包括信息資產的名稱、資產類型、登記時間、區(qū)域或位置、重要程度等；GB/T22240規(guī)定的定級信息，以及信息系統涵蓋的軟硬件資產信息、備案編號、測評結果等信息；應支持維護安全產品、商用密碼產品的相關資質信息；GB/T20984進行分類分級和計算資產價值；支持根據業(yè)務需要自定義資產模型，并為每個資產模型自定義資產屬性； 支持自定義資產模型之間的關系，包括并不限于隸屬、包含和一對一、多對多關系，支持自動生成資產關聯關系拓撲；支持資產分布的拓撲圖繪制，支持拓撲圖元素的增加、修改、刪除；能在拓撲圖上實時顯示資產的分布狀態(tài)、運行狀態(tài)、故障報警等信息； 應能實時監(jiān)測資產運行狀態(tài)：硬件資產狀態(tài)至少包括在線狀態(tài)、CPU使用率、內存占用率、存儲空間使用情況等；軟件資產狀態(tài)至少包括被管理主機安裝的操作系統、數據庫管理系統和應用軟件等軟件資產的進程、服務運行狀態(tài)等；應支持對資產數據進行產品類型、廠商統計、關鍵屬性統計； 應提供報警方式，通知授權管理員，報警內容包括并不限于資產安全策略不生效、資產運行CPU使用率/內存占用率/存儲空間使用情況等超過設定的閾值、用戶鑒別失敗的次數達到或超過指定閾值等；GA/T1359要求。漏洞管理系統漏洞管理系統功能要求應包括：應支持多對源異構的開源和商業(yè)版本漏洞掃描系統的任務調度，支持漏洞數據的標準化處CVE、CNVD、CNNVD進行歸一化去重處理，降低漏洞數量和數據噪音；應支持導入或錄入滲透測試數據；GB/T28458的規(guī)范；應支持發(fā)現不合規(guī)定的弱口令，支持自定義弱口令字典；POC的漏洞進行驗證和標記，支持自定義漏洞驗證插件；應支持將漏洞與資產測繪數據關聯，根據資產價值、被利用性、影響程度、環(huán)境等因素評估漏洞分級，分級指標及分級方法遵循GB/T30279-20206章的要求；應支持漏洞生命周期跟蹤，支持將漏洞下發(fā)工單給相關責任人，跟蹤狀態(tài)包括并不限于未處理、待修復、待核查、已修復、忽略、誤報、復現等；宜支持聯動安全設備或網絡設備，在不影響業(yè)務連續(xù)性的清下，對部分資產做臨時下線處理；可支持對已修復漏洞進行修復自檢；應支持對資產漏洞進行多種維度統計，如各標記數量統計、已修復漏洞數量、未修復漏洞數量、修復周期等；應支持導出漏洞整改、漏洞處置進展等報告。安全合規(guī)管理系統安全合規(guī)管理系統功能要求應包括：應具備合規(guī)知識庫管理功能，依據國家網絡安全法律法規(guī)、政策、標準規(guī)范以及區(qū)域、行業(yè)、企業(yè)的安全監(jiān)管要求分解合規(guī)控制項，并支持自定義維護知識庫信息；應支持基于關鍵字對網絡安全相關標準、制度進行全文檢索，支持維護添加制度文件；應支持維護內部制度的修訂記錄、評審記錄；應支持維護檢查模版，從合規(guī)知識庫中抽取合規(guī)控制項形成檢查模板；內置支持風險評估、入網檢查、等保差距分析等模板，支持自定義新增模板，支持為每個模版配置各自的評分方法；應檢查模板中的調研類信息支持配置與資產庫的關聯關系，實現完成填報時信息自動回填資產庫；應支持同時向同類型的多個對象下發(fā)檢查任務，應對抽查和精準檢查情況，支持關聯資產和不關聯資產兩個模式；應支持情況描述示例知識庫，在檢查填報時給予填報人員提示；應支持生成單個對象檢查報告、同批次多個對象檢查報告；應支持不合規(guī)內容的閉環(huán)管理，通過工單通知相關負責人，跟蹤狀態(tài)包括并不限于未下發(fā)、整改中、待復查、已整改、