《中国石化集团信息系统安全等级保护评估和检查细则.pdf》由会员分享,可在线阅读,更多相关《中国石化集团信息系统安全等级保护评估和检查细则.pdf(214页珍藏版)》请在三一文库上搜索。
1、. . 中国石化集团 信息系统安全等级保护评估和检查细则 - -发布 -实施 信息系统管理部编制 . . 目 次 目 次 1 1. 范围 4 2. 规范性引用文件. . 4 3. 术语和定义 . . 4 3.1. 工作单元 . . 4 3.2. 评估和检查强度. . 4 4. 总则 4 4.1. 评估和检查原则. . 4 4.2. 评估和检查内容. . 5 5. 级安全评估和检查. . 6 5.1. 信息安全管理评估和检查. . 6 5.1.1. 安全管理机构 6 5.1.2. 安全管理制度 6 5.1.3. 人员安全管理 7 5.1.4. 系统建设管理 8 5.1.5. 系统运行维护管理.
2、10 5.2. 信息安全技术评估和检查. 13 5.2.1. 物理安全. 13 5.2.2. 网络安全. 14 5.2.3. 主机安全. 15 5.2.4. 应用安全. 17 5.2.5. 数据安全及备份恢复. 18 6. A级安全评估和检查. 20 6.1. 信息安全管理评估和检查. 20 6.1.1. 安全管理机构. 20 6.1.2. 安全管理制度. 22 6.1.3. 人员安全管理. 22 6.1.4. 系统建设管理. 25 6.1.5. 系统运行维护管理. 27 6.2. 信息安全技术评估和检查. 32 6.2.1. 物理安全. 32 6.2.2. 网络安全. 36 6.2.3. 主
3、机安全. 39 6.2.4. 应用安全. 42 6.2.5. 数据安全及备份恢复. 45 7. B级安全评估和检查. 47 7.1. 信息安全管理评估和检查. 47 7.1.1. 安全管理机构. 47 7.1.2. 安全管理制度. 50 7.1.3. 人员安全管理. 50 7.1.4. 系统建设管理. 53 7.1.5. 系统运行维护管理. 55 . . 7.2. 信息安全技术评估和检查. 60 7.2.1. 物理安全. 60 7.2.2. 网络安全. 63 7.2.3. 主机安全. 67 7.2.4. 应用安全. 69 7.2.5. 数据安全及备份恢复. 72 8. A级安全评估和检查. 7
4、5 8.1. 信息安全管理评估和检查. 75 8.1.1. 安全管理机构. 75 8.1.2. 安全管理制度. 78 8.1.3. 人员安全管理. 79 8.1.4. 系统建设管理. 81 8.1.5. 系统运行维护管理. 84 8.2. 信息安全技术评估和检查. 91 8.2.1. 物理安全. 91 8.2.2. 网络安全. 95 8.2.3. 主机安全. 98 8.2.4. 应用安全 102 8.2.5. 数据安全及备份恢复 107 9. B级安全评估和检查 108 9.1. 信息安全管理评估和检查. . 108 9.1.1. 安全管理机构 108 9.1.2. 安全管理制度 112 9.
5、1.3. 人员安全管理 113 9.1.4. 系统建设管理 116 9.1.5. 系统运行维护管理 120 9.2. 信息安全技术评估和检查. . 127 9.2.1. 物理安全 127 9.2.2. 网络安全 132 9.2.3. 主机安全 137 9.2.4. 应用安全 144 9.2.5. 数据安全及备份恢复 150 10. 级安全评估和检查. . 153 10.1. 信息安全管理评估和检查. . 153 10.1.1. 安全管理机构 153 10.1.2. 安全管理制度 157 10.1.3. 人员安全管理 158 10.1.4. 系统建设管理 162 10.1.5. 系统运行维护管理
6、 168 10.2. 信息安全技术评估和检查. . 177 10.2.1. 物理安全 177 10.2.2. 网络安全 185 10.2.3. 主机安全 191 10.2.4. 应用安全 201 10.2.5. 数据安全及备份恢复 210 . . 引 言 根据中国石化集团信息系统安全等级保护基本要求,为推动中国石化信息系统安全 等级保护工作的开展,结合国家信息系统安全等级保护检查细则的相关要求,修订本细则。 . . 1.范围 本细则规定了对中国石化信息系统安全等级保护状况进行安全评估和检查的要求,包括 第一级、 第二级、 第三级和第四级信息系统安全评估和检查要求。本细则没有规定第五级信 息系统
7、安全评估和检查要求的具体内容要求。 本细则适用于评估和检查机构、信息系统的主管部门及运营使用单位对信息系统安全等 级保护状况进行的安全测试评估。 2.规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本 适用于本文件。 凡是不注日期的引用文件,其最新版本 (包括所有的修改单)适用于本文件。 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T 5271.8 信息技术词汇第 8 部分:安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3.术语和定义 GB/T 5271.8 和 GB/T 22239-2008
8、所确立的以及下列术语和定义适用于本细则。 3.1.工作单元 工作单元是安全评估和检查的最小工作单位,由评估和检查项目、评估和检查内容、评 估和检查标准、评估和检查方法以及备注等组成,分别描述评估和检查项目和内容、评估和 检查过程中涉及的评估和检查标准。 3.2.评估和检查强度 评估和检查是一个自评估的工作,通过评估和检查工作对比等级保护的工作。 评估和检查的广度和深度,体现评估和检查工作的实际投入程度。 4.总则 4.1.评估和检查原则 评估和检查原则包括: a)客观性和公正性原则 虽然评估和检查工作不能完全摆脱个人主张或判断,但评估和检查人员应当没有偏见, . . 在最小主观判断情形下,按照
9、评估和检查双方相互认可的评估和检查方案,基于明确定义的 评估和检查方式和解释,实施评估和检查活动。 基于评估和检查成本和工作复杂性考虑,鼓励评估和检查工作重用以前的评估和检查结 果,包括商业安全产品评估和检查结果和信息系统先前的安全评估和检查结果。所有重用的 结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。 b)可重复性和可再现性原则 无论谁执行评估和检查,依照同样的要求,使用同样的评估和检查方式,对每个评估和 检查过程的重复执行都应该得到同样的结果。可再现性体现在不同评估和检查者执行评估和 检查的结果的一致性,可重复性体现在同一评估和检查者重复执行相同评估和检查
10、的结果的 一致性。 c)结果完善性原则 评估和检查所产生的结果应当证明是良好的判断和对评估和检查项的正确理解。评估和 检查过程和结果应当服从正确的评估和检查方法以确保其满足了评估和检查项的要求。 4.2.评估和检查内容 对信息系统安全等级保护状况进行评估和检查,应包括两个方面的内容:一是安全控制 进行评估和检查, 主要评估和检查信息安全等级保护要求的基本安全控制在信息系统中的实 施配置情况;二是系统整体进行评估和检查,主要评估和检查分析信息系统的整体安全性。 其中,安全控制评估和检查是信息系统整体安全评估和检查的基础。 对安全控制评估和检查的描述,使用工作单元方式组织。工作单元分为安全技术评估
11、和 检查和安全管理评估和检查两大类。安全技术评估和检查包括:物理安全、网络安全、主机 安全、应用安全和数据安全等五个层面上的安全控制评估和检查;安全管理评估和检查包括: 安全管理机构、安全管理制度、 人员安全管理、 系统建设管理和系统运维管理等五个方面的 安全控制评估和检查。 系统整体评估和检查涉及到信息系统的整体拓扑、局部结构, 也关系到信息系统的具体 安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统 个性。 因此, 全面地给出系统整体评估和检查要求的完整内容、具体实施方法和明确的结果 判定方法是很困难的。评估和检查人员应根据特定信息系统的具体情况,结合本细则
12、要求, 确定系统整体评估和检查的具体内容,在安全控制评估和检查的基础上,重点考虑安全控制 间、层面间以及区域间的相互关联关系,评估和检查安全控制间、层面间和区域间是否存在 安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体 安全性等。 . . 5.级安全评估和检查 5.1.信息安全管理评估和检查 5.1.1.安全管理机构 检查项 目 检查内 容 评估和检查标准评估和检查方法 安全管 理机构 岗位设 置 应设立系统管理人员、网 络管理人员、安全管理人员岗 位,定义各个工作岗位的职责; a) 应访谈安全主管,询问信息系统设置了哪 些工作岗位(如机房管理员、系统管理员、
13、网 络管理员、安全员等重要岗位),是否明确各 个岗位的职责分工; b) 应检查岗位职责分工文档,查看定义的各 个岗位职责是否包括机房管理员、系统管理 员、网络管理员、安全员等重要岗位,各个岗 位的职责范围是否清晰、明确。 人员配 备 应配备一定数量的系统管 理人员、网络管理人员、安全 管理人员,各个岗位的人员可 以兼任; a) 应访谈安全主管,询问各个安全管理岗位 人员配备情况(按照岗位职责文件询问,包括 机房管理员、系统管理员、网络管理员和安全 员等重要岗位人员) ,包括数量、专职还是兼 职等; b) 应检查安全管理人员名单,查看其是否明 确机房管理员、系统管理员、网络管理员和安 全员等重要
14、岗位人员的信息。 授权审 批 应授权审批部门及批准 人,对网络、应用、系统等重 要资源的访问等关键活动进行 审批; a) 应访谈安全主管,询问其是否需要对信息 系统中的关键活动进行审批,审批部门是何部 门,批准人是何人,他们的审批活动是否得到 授权; b) 应访谈关键活动的批准人,询问其对关键 活动的审批范围包括哪些(如网络系统、应用 系统、数据库管理系统、重要服务器和设备等 重要资源的访问) ,审批程序如何; c) 应检查经审批的文档,查看是否具有批准 人的签字或审批部门的盖章。 沟通和 合作 应加强各类管理人员和组 织内、外部机构之间的合作与 沟通,定期或不定期召开协调 会议,共同协助处理
15、信息安全 问题; a) 应访谈安全主管,询问与组织机构内其他 部门之间有哪些合作内容,沟通、合作方式有 哪些,是否召开过部门间协调会议,组织其它 部门人员共同协助处理信息系统安全有关问 题,会议结果如何; b) 应访谈安全管理人员(从系统管理员和安 全员等人员中抽查) ,询问其与组织机构内其 他部门人员,与内部其他管理人员之间的沟通 方式和主要沟通内容有哪些; c) 应检查部门间协调会议文件或会议记录, 查看是否有会议内容、会议时间、参加人员、 会议结果等的描述。 5.1.2.安全管理制度 . . 检查 项目 检查内 容 评估和检查标准评估和检查方法 安全 管理 制度 管理制 度 应建立日常管
16、理活 动中常用的安全管理制 度,以规范安全管理活 动,约束人员的行为。 a) 应访谈安全主管, 询问是否制定信息安全 工作的总体方针、政策性文件和安全策略,是 否制定安全管理制度规范日常管理活动; b) 应检查总体方针、 政策性文件和安全策略 文件,查看文件是否明确机构安全工作的总体 目标、范围、方针、原则、责任等; c) 应检查安全管理制度清单,查看是否覆盖 物理、网络、主机系统、数据、应用和管理等 层面。 制 定 和 发布 应授权或指定专门 的人员负责制定安全管 理制度; a) 应访谈安全主管, 询问是否有专人负责制 订安全管理制度,负责人是何人; b) 应访谈管理人员 (负责制定管理制度
17、的人 员) ,询问安全管理制度的制定程序,是否对 制定的安全管理制度进行论证和审定,论证和 审定方式如何(如召开评审会、函审、内部审 核等) ,发布方式有哪些; c) 应检查管理制度评审记录,查看是否具有 相关人员的评审意见。 安全管理制度应以 某种方式发布到相关人 员手中。 5.1.3.人员安全管理 检查项 目 检查内 容 评估和检查标准评估和检查方法 人员安 全管理 人员录 用 应指定或授权专 门的部门或人员负责 人员录用; a) 应访谈人事负责人,询问在人员录用时对 人员条件有哪些要求,目前录用的安全管理和 技术人员是否有能力完成与其职责相对应的 工作; b) 应访谈人事工作人员,询问在
18、人员录用时 是否对被录用人的身份和专业资格进行证实, 录用后是否对其说明工作职责; c) 应检查人员录用要求管理文档,查看是否 说明录用人员应具备的条件,如学历、学位要 求,技术人员应具备的专业技术水平,管理人 员应具备的安全管理知识等; d) 应检查是否具有人员录用时对录用人身 份、专业资格等进行审查的相关文档或记录, 查看是否记录审查内容和审查结果等。 应对被录用人员 的身份和专业资格等 进行审查,并确保其具 有基本的专业技术水 平和安全管理知识; 人 员 离 岗 应立即终止由于 各种原因即将离岗的 员工的所有访问权限; a) 应访谈安全主管,询问是否及时终止离岗 人员所有访问权限,取回各
19、种身份证件、钥匙、 徽章等以及机构提供的软硬件设备等; b) 应检查是否具有对离岗人员的安全处理 记录,如交还身份证件、设备等的登记记录。 应取回各种身份 证件、钥匙、徽章等以 及机构提供的软硬件 . . 检查项 目 检查内 容 评估和检查标准评估和检查方法 设备。 安全意 识教育 和培训 应对各类人员进 行安全意识教育; a) 应访谈安全主管,询问是否对各个岗位人 员进行安全教育,告知相关的安全知识、安全 责任和惩戒措施, 以什么形式进行, 效果如何; b) 应访谈安全员, 考查其对工作相关的信息 安全基础知识、安全责任和惩戒措施等的理解 程度。 应告知人员相关 的安全责任和惩戒措 施。 外
20、部人 员访问 管理 应确保在外部人 员访问受控区域前得 到授权或审批。 a) 应访谈安全主管,询问对第三方人员(如 向系统提供服务的系统软、硬件维护人员,业 务合作伙伴等)的访问采取哪些管理措施,是 否要求第三方人员访问前与机构签署安全责 任合同书或保密协议; b) 应检查安全责任合同书或保密协议,查看 是否有保密范围、保密责任、违约责任、协议 的有效期限和责任人的签字等。 5.1.4.系统建设管理 检查项 目 检查内 容 评估和检查标准评估和检查方法 系统建 设管理 系统定 级 应明确信息系统的 边界和安全保护等级; a) 应访谈安全主管, 询问划分信息系统的方 法和确定信息系统安全保护等级
21、的方法是否 参照定级指南的指导,是否对其进行明确描 述;定级结果是否获得了相关部门(如上级主 管部门)的批准; b) 应检查系统划分相关文档,查看文档是否 明确描述信息系统划分的方法和理由; c) 应检查系统定级文档,查看文档是否给出 信息系统的安全保护等级,查看定级结果是否 有相关部门的批准盖章; d) 应检查系统属性说明文档,查看文档是否 明确了系统使命、业务、网络、硬件、软件、 数据、边界、人员等。 应以书面的形式说 明信息系统确定为某个 安全保护等级的方法和 理由; 应确保信息系统的 定级结果经过相关部门 的批准。 安 全 方 案设计 应根据系统的安全 级别选择基本安全措 施,依据风险
22、分析的结 果补充和调整安全措 施; a) 应访谈系统建设负责人,询问是否根据系 统的安全级别选择基本安全措施,是否依据风 险分析的结果补充和调整安全措施,做过哪些 调整; b) 应访谈系统建设负责人,询问系统选择和 调整基本安全措施是否依据系统安全级别和 风险分析的结果; c) 应访谈系统建设负责人,询问是否制定系 统的安全方案并根据安全方案制定出系统详 应以书面的形式描 述对系统的安全保护要 求和策略、安全措施等 内容,形成系统的安全 . . 检查项 目 检查内 容 评估和检查标准评估和检查方法 方案;细设计方案指导安全系统建设和安全产品采 购; d) 应检查系统的安全方案,查看方案是否描
23、述系统的安全保护要求,是否详细描述了系统 的安全策略, 是否详细描述了系统对应的安全 措施等内容; e) 应检查系统的详细设计方案,查看详细设 计方案是否对应安全方案进行细化,是否有安 全建设方案和安全产品采购方案。 应对安全方案进行 细化,形成能指导安全 系统建设和安全产品采 购的详细设计方案。 产 品 采 购 应确保安全产品的 使用符合国家的有关规 定。 a) 应访谈系统建设负责人,询问系统信息安 全产品的采购情况,是否有相关要求,是否有 产品采购清单指导产品采购,采购过程如何控 制; b) 应访谈系统建设负责人,询问系统使用的 有关信息安全产品(边界安全设备、重要服务 器操作系统、数据库
24、等)是否符合国家的有关 规定。 自 主 软 件开发 应确保开发环境与 实际运行环境物理分 开; a) 应访谈系统建设负责人,询问系统是否自 主开发软件,自主开发是否有相应的控制措 施,是否在独立的模拟环境中编写、调试和完 成; b) 应访谈系统建设负责人,询问系统开发文 档是否由专人负责保管,负责人是何人,如何 控制使用 (如限制使用人员范围并做使用登记 等) ; c) 应检查软件开发环境与系统运行环境在 物理上是否是分开的; d) 应检查是否具有系统开发文档的使用控 制记录。 应确保软件设计相 关文档由专人负责保 管。 外 包 软 件开发 应根据开发要求检 测软件质量; a) 应访谈系统建设
25、负责人,询问在外包软件 前是否对软件开发单位以书面形式(如软件开 发安全协议)规范软件开发单位的责任、开发 过程中的安全行为、开发环境要求和软件质量 等相关内容; b) 应访谈系统建设负责人,询问软件交付前 是否对软件功能和性能等进行验收检测,软件 安装之前是否检测软件中的恶意代码,检测工 具是否是第三方的商业产品; c) 应检查软件开发协议是否规定知识产权 归属、安全行为等内容。 应在软件安装之前 检测软件包中可能存在 的恶意代码; 应确保提供软件设 计的相关文档和使用指 南。 工 程 实 施 应指定或授权专门 的部门或人员负责工程 实施过程的管理。 a) 应访谈系统建设负责人,询问是否以书
26、面 形式(如工程安全建设协议)约束工程实施方 的工程实施行为; b) 应检查工程安全建设协议,查看其内容是 否覆盖工程实施方的责任、任务要求和质量要 求等方面内容,约束工程实施行为。 测 试 验 收 应对系统进行安全 性测试验收; a) 应访谈系统建设负责人,询问在信息系统 正式运行前, 是否对信息系统进行独立的安全 . . 检查项 目 检查内 容 评估和检查标准评估和检查方法 应在测试验收前根 据设计方案或合同要求 等制订测试验收方案, 测试验收过程中详细记 录测试验收结果,形成 测试验收报告; 性测试; b) 应访谈系统建设负责人,询问是否对测试 过程(包括测试前、测试中和测试后)进行文
27、档化要求,是否对测试报告进行符合性审定; c) 应检查工程测试方案,查看其是否对参与 测试部门、人员和现场操作过程等进行要求; 查看测试记录是否详细记录了测试时间、人 员、现场操作过程和测试结果等方面内容;查 看测试报告是否提出存在问题及改进意见等; d) 应检查是否具有系统验收报告。 系 统 交 付 应制定系统交付清 单,并根据交付清单对 所交接的设备、软件和 文档等进行清点; a) 应访谈系统建设负责人,询问交接手续是 什么,系统交接工作是否按照该手续办理,是 否根据交付清单对所交接的设备、文档、软件 等进行清点, 交付清单是否满足合同的有关要 求; b) 应访谈系统建设负责人,询问目前的
28、信息 系统是否由内部人员独立运行维护,如果是, 系统建设方是否对运维技术人员进行过培训, 针对哪些方面进行过培训,系统是否具有支持 其独立运行维护的文档; c) 应检查系统交付清单,查看其是否具有系 统建设文档(如系统建设方案)、指导用户进 行系统运维的文档(如服务器操作规程书)以 及系统培训手册等文档名称。 应对负责系统运行 维护的技术人员进行相 应的技能培训; 应确保提供系统建 设过程中的文档和指导 用户进行系统运行维护 的文档。 安 全 服 务 商 选 择 应确保安全服务商 的选择符合国家的有关 规定。a) 应访谈系统建设负责人,询问对信息系统 进行安全规划、设计、实施、维护、测评等服
29、务的安全服务单位是否符合国家有关规定。 应与选定的安全服 务商签订与安全相关的 协议,明确约定相关责 任 5.1.5.系统运行维护管理 检查 项目 检查内 容 评估和检查标准评估和检查方法 系统 运行 维护 管理 环境管 理 应指定专门的部 门或人员定期对机房 供配电、空调、温湿 度控制等设施进行维 护管理; a) 应访谈物理安全负责人,询问是否指定专人 或部门负责机房基本设施(如空调、供配电设备 等)的定期维护管理,由何部门/ 何人负责,维 护周期多长; b) 应访谈物理安全负责人,询问是否指定人员 负责机房安全管理工作,对机房的出入管理是否 要求制度化; c) 应检查机房安全管理制度,查看
30、其内容是否 覆盖机房物理访问、物品带进、带出机房和机房 应对机房的出 入、服务器的开机或 关机等工作进行管 理; . . 检查 项目 检查内 容 评估和检查标准评估和检查方法 应建立机房安全 管理制度,对有关机 房物理访问,物品带 进、带出机房和机房 环境安全等方面的管 理作出规定。 环境安全等方面。 资产管 理 应编制与信息系 统相关的资产清单, 包括资产责任部门、 重要程度和所处位置 等内容。 a) 应访谈安全主管,询问是否指定资产管理的 责任人员或部门,由何部门/何人负责; b) 应访谈物理安全负责人,询问是否对资产管 理要求文档化; c) 应检查资产安全管理制度,查看是否明确资 产管理
31、的责任部门、责任人等方面要求; d) 应检查资产清单,查看其内容是否覆盖资产 责任人、所属级别、 所处位置和所属部门等方面。 介质管 理 应确保介质存放 在安全的环境中,对 各类介质进行控制和 保护; a) 应访谈资产管理员,询问介质的存放环境是 否有保护措施,防止其被盗、被毁、被未授权修 改以及信息的非法泄漏; b) 应访谈资产管理员,询问是否对介质的使用 管理要求文档化,是否根据介质的目录清单对介 质的使用现状进行定期检查; c) 应检查介质管理记录,查看其是否记录介质 的存储、归档、借用等情况。 应对介质归档和 查询等过程进行记 录,并根据存档介质 的目录清单定期盘 点。 设备管 理 应
32、对信息系统相 关的各种设施、设备、 线路等指定专人或专 门的部门定期进行维 护管理; a) 应访谈资产管理员,询问是否对各类设施、 设备指定专人或专门部门进行定期维护,由何部 门/ 何人维护,维护周期多长; b) 应访谈资产管理员,询问是否对设备选用的 各个环节 (选型、 采购和发放等) 进行审批控制, 设备的操作和使用是否要求规范化管理; c) 应检查设备使用管理文档,查看其内容是否 对终端计算机、便携机、网络设备等使用、操作 原则、注意事项等方面作出规定; d) 应检查设备审批、发放管理文档,查看其内 容是否对设备选型、采购和发放等环节的申报和 审批作出规定; e) 应检查服务器操作规程,
33、查看其内容是否覆 盖服务器如何启动、停止、加电和断电等操作。 应建立基于申 报、审批和专人负责 的设备安全管理制 度,对信息系统的各 种软硬件设备的选 型、采购、发放和领 用等过程进行规范化 管理; 网络安 全管理 应指定专人对网 络进行管理,负责运 行日志、网络监控记 录的日常维护和报警 a) 应访谈安全主管,询问是否指定专人负责维 护网络运行日志、监控记录和分析处理报警信息 等网络安全管理工作; b) 应访谈网络管理员,询问是否根据厂家提供 . . 检查 项目 检查内 容 评估和检查标准评估和检查方法 信息分析和处理工 作; 的软件升级版本对网络设备进行过升级,目前的 版本号为多少,升级前
34、是否对重要文件(帐户数 据、配置数据等)进行备份;是否对网络设备进 行过漏洞扫描,对扫描出的漏洞是否及时修补; c) 应检查网络漏洞扫描报告,查看其内容是覆 盖网络存在的漏洞、漏洞级别、原因分析和改进 意见等方面。 应根据厂家提供 的软件升级版本对网 络设备进行更新,并 在更新前对现有的重 要文件进行备份; 应定期进行网络 系统漏洞扫描,对发 现的网络系统安全漏 洞进行及时的修补。 系统安 全管理 应根据业务需求 和系统安全分析确定 系统的访问控制策 略; a) 应访谈安全主管,询问是否指定专人负责系 统安全管理; b) 应访谈系统管理员,询问是否定期对系统安 装安全补丁程序和进行漏洞修补,在
35、安装系统补 丁前是否对重要文件(系统配置、系统用户数据 等)进行备份;对不常用的系统缺省用户是否采 取了一定的处理手段阻止其继续使用(如删除或 禁用); c) 应访谈安全员, 询问是否制定系统访问控制 策略。 应定期进行漏洞 扫描,对发现的系统 安全漏洞进行及时的 修补; 应安装系统的最 新补丁程序,并在安 装系统补丁前对现有 的重要文件进行备 份。 恶意代 码防范 管理 应提高所有用户 的防病毒意识,告知 及时升级防病毒软 件, 在读取移动存储 设备(如软盘、移动 硬盘、光盘)上的数 据以及网络上接收文 件或邮件之前,先进 行病毒检查,对外来 计算机或存储设备接 入网络系统之前也要 进行病毒
36、检查。 a) 应访谈系统运维负责人,询问是否对员工进 行基本恶意代码防范意识教育,如告知应及时升 级软件版本,使用外来设备、网络上接收文件和 外来计算机或存储设备接入网络系统之前应进 行病毒检查。 备份与 恢复管 理 应识别需要定期 备份的重要业务信 息、系统数据及软件 系统等; a) 应访谈系统管理员和数据库管理员,询问是 否识别出需要定期备份的业务信息、系统数据和 软件系统,主要有哪些;对其备份工作是否以文 档形式规范了备份方式、频度、介质和保存期等 内容; b) 应检查备份管理文档,查看其是否规定备份 方式、频度、介质和保存期等方面内容。 应规定备份信息 的备份方式、备份频 度、存储介质
37、、保存 期等。 安全事 件处置 应报告所发现的 安全弱点和可疑事 件,但任何情况下用 a) 应访谈系统运维负责人,询问是否告知用户 在发现安全弱点和可疑事件时应及时报告; b) 应检查安全事件报告和处置管理制度,查看 . . 检查 项目 检查内 容 评估和检查标准评估和检查方法 户均不应尝试验证弱 点; 其是否明确与安全事件有关的工作职责,包括报 告单位(人) 、接报单位(人)和处置单位等职 责。 应制定安全事件 报告和处置管理制 度,规定安全事件的 现场处理、事件报告 和后期恢复的管理职 责。 5.2.信息安全技术评估和检查 5.2.1.物理安全 检查 项目 检查内 容 评估和检查标准评估和
38、检查方法 物理 安全 物 理 访 问控制 机房出入应安排 专人负责,控制、鉴 别和记录进入的人 员。 a) 应访谈物理安全负责人,了解具有哪些控制 机房进出的能力; b) 可检查机房安全管理制度,查看是否有关于 机房出入方面的规定; c) 应检查机房是否有进出机房的登记记录。 防 盗 窃 和 防 破 坏 应将主要设备放 置在机房内; a) 应访谈物理安全负责人,采取了哪些防止设 备、介质等丢失的保护措施; b) 可检查是否有设备管理制度文档; c) 应检查主要设备是否放置在机房内或其它不 易被盗窃和破坏的可控范围内; d) 应检查主要设备或设备的主要部件的固定情 况,是否不易被移动或被搬走,是
39、否设置明显的 无法除去的标记。 应将设备或主要 部件进行固定,并设 置明显的不易除去的 标记。 防雷击 机房建筑应设置 避雷装置。 a) 应访谈物理安全负责人,询问为防止雷击事 件导致重要设备被破坏采取了哪些防护措施,机 房建筑是否设置了避雷装置,是否通过验收或国 家有关部门的技术检测; b) 可检查机房是否有建筑防雷设计/验收文档。 防火 机房应设置灭火 设备。 a) 应访谈物理安全负责人,询问机房是否设置 了灭火设备,是否制订了有关机房消防的管理制 度和消防预案,是否进行了消防培训; b) 应检查机房是否设置了灭火设备,摆放位置 是否合理,有效期是否合格; c) 可检查有关机房消防的管理制
40、度文档,检查 机房是否有防火设计/ 验收文档。 . . 检查 项目 检查内 容 评估和检查标准评估和检查方法 防 水 和 防潮 应对穿过墙壁和 楼板的水管增加必要 的保护措施,如设置 套管; a) 应访谈物理安全负责人,询问机房建设是否 有防水防潮措施,是否出现过漏水和返潮事件; 如果机房内有上/ 下水管安装, 是否必要的保护措 施,如设置套管等; b) 可检查机房是否有建筑防水和防潮设计/ 验 收文档; c) 如果有管道穿过主机房墙壁和楼板处,应检 查是否采取必要的保护措施,如设置套管等; d) 应检查机房是否不存在屋顶和墙壁等出现过 漏水、渗透和返潮现象,机房及其环境是否不存 在明显的漏水
41、和返潮的威胁;如果出现漏水、渗 透和返潮现是否能够及时修复解决。 应采取措施防止 雨水通过屋顶和墙壁 渗透。 温 湿 度 控制 应设置必要的 温、湿度控制设施, 使机房温、湿度的变 化在设备运行所允许 的范围之内。 a) 应访谈物理安全负责人,询问机房是否配备 了空调等温湿度控制设施,保证温湿度能够满足 计算机设备运行的要求,是否在机房管理制度中 规定了温湿度控制的要求,是否有人负责此项工 作; b) 可检查机房是否有温湿度控制设计/ 验收文 档; c) 应检查空调设备是否能够正常运行,检查机 房温湿度是否满足GB 2887-89 计算站场地技术 条件的要求。 电力供 应 应在机房供电线 路上
42、配置稳压器和过 电压防护设备。 a) 应访谈物理安全负责人,询问计算机系统供 电线路是否与其他供电分开;询问计算机系统供 电线路上是否设置了稳压器和过电压防护设备; b) 可检查机房是否有电力供应安全设计/ 验收 文档; c) 应检查计算机供电线路,查看计算机系统供 电是否与其他供电分开; d) 应检查机房,查看计算机系统供电线路上的 稳压器和过电压防护设备是否正常运行。 5.2.2.网络安全 检查项 目 检查内 容 评估和检查标准评估和检查方法 网络安 全 结 构 安 全 应保证关键网络 设备的业务处理能力 应满足基本业务需 要; a) 可访谈网络管理员, 询问信息系统中的边界 和关键网络设
43、备的业务处理能力是否满足基本 业务需求; b) 可访谈网络管理员, 询问目前的网络接入及 核心网络的带宽是否满足业务需要; c) 可访谈网络管理员, 询问网络设备上的路由 控制策略措施有哪些,这些策略设计的目的是什 应保证接入网络 和核心网络的带宽满 足基本业务需要; . . 检查项 目 检查内 容 评估和检查标准评估和检查方法 应绘制与当前运 行情况相符的网络拓 扑结构图。 么; d) 应检查是否绘制有网络拓扑图,并检查拓扑 图是否与当前运行情况一致; e) 应检查网络设计/ 验收文档,查看是否有边 界和关键网络设备的处理能力是否能满足基本 业务需求的能力, 网络接入及核心网络的带宽能 否满
44、足业务需要的设计或说明; f) 应检查边界和关键网络设备,查看是否配置 路由控制策略 (如使用静态路由等)建立安全的 访问路径。 访 问 控 制 应在网络边界部 署访问控制设备,启 用访问控制功能。 a) 可访谈安全员, 询问采取网络访问控制的措 施有哪些; 询问访问控制策略的设计原则;询问 网络访问控制设备具备的访问控制功能(如是基 于状态的,还是基于包过滤等); b) 应检查边界网络设备 (包括网络安全设备) , 查看是否有正确的访问控制列表(如ACL )对数 据的源地址、目的地址、源端口、目的端口、协 议等进行控制。 c) 可访谈安全员, 询问网络是否允许拨号访问 网络;询问对拨号访问控
45、制的策略是什么,采取 何种技术手段实现 (如使用防火墙还是使用路由 器实现), 拨号访问用户的权限分配原则是什么; d) 应检查边界网络设备(如路由器,防火墙, 认证网关),查看是否正确的配置了拨号访问控 制列表(对系统资源实现允许或拒绝用户访问), 并查看其控制粒度是否为用户组。 应根据访问控制 列表对源地址、目的 地址、源端口、目的 端口和协议等进行检 查,以允许 /拒绝数据 包出入。 应通过访问控制 列表对系统资源实现 允许或拒绝用户访 问,控制粒度至少为 用户组 网 络 设 备防护 应对登录网络设 备的用户进行身份鉴 别; a) 可访谈网络管理员, 询问对关键网络设备的 防护措施有哪些
46、; 询问采取的网络设备的口令策 略是什么; 询问对关键网络设备的登录和验证方 式做过何种特定配置; b) 应检查边界和关键网络设备上的安全配置, 查看是否对登录关键网络设备的用户进行身份 鉴别; c) 应检查边界和关键网络设备上的安全配置, 查看是否对鉴别失败采取相应的措施(如是否有 鉴别失败后锁定帐号等措施);查看是否限制非 法登录次数。 应具有登录失败 处理功能,如结束会 话、限制非法登录次 数和当网络登录连接 超时自动退出等措 施。 5.2.3.主机安全 检查 项目 检查内 容 评估和检查标准评估和检查方法 . . 检查 项目 检查内 容 评估和检查标准评估和检查方法 主机 安全 身 份
47、 鉴 别 应对登录操作系统和 数据库管理系统的用户进 行身份标识和鉴别; 应具有登录失败处理 功能,如结束会话、限制非 法登录次数。 a) 应检查服务器操作系统和数据库管理 系统的身份鉴别功能是否具有等级保护一 级以上的测试报告; b) 可访谈系统管理员,询问操作系统的 身份标识与鉴别机制采取何种措施实现; c) 应检查核心服务器操作系统,查看是 否提供了身份鉴别措施(如用户名和口令 等) ; d) 应检查核心服务器操作系统,查看是 否已配置了鉴别失败处理功能,并设置了 非法登录次数的限制值; e) 应测试核心服务器操作系统,验证当 进入操作系统时, 是否先需要进行标识 (如 建立账号); f
48、) 可访谈数据库管理员,询问数据库的 身份标识与鉴别机制采取何种措施实现; g) 应查看核心数据库管理系统,查看是 否提供了身份鉴别措施(如用户名和口令 等) ; h) 应检查核心数据库管理系统,查看是 否已配置了鉴别失败处理功能,并设置了 非法登录次数的限制值; i) 应测试核心数据库管理系统,验证当 进入数据库管理系统前是否必须进行标识 (如建立账号) 。 访 问 控 制 应启用访问控制功能, 依据安全策略控制用户对 资源的访问; 应限制默认帐户的访 问权限, 重命名系统默认帐 户,修改这些帐户的默认口 令; 应及时删除多余的、过 期的帐户, 避免共享帐户的 存在。 a) 应检查服务器操作
49、系统和数据库管理 系统的自主访问控制功能是否具有等级保 护一级以上的测试报告; b) 应检查服务器操作系统的安全策略, 查看是否明确主体(如用户)以用户和/ 或 用户组的身份规定对客体(如文件)的访 问控制,覆盖范围是否包括与信息安全直 接相关的主体(如用户)和客体(如文件) 及它们之间的操作(如读或写); c) 应检查核心服务器操作系统,查看客 体(如文件)的所有者是否可以改变其相 应访问控制列表的属性,得到授权的用户 是否可以改变相应客体访问控制列表的属 性; d) 应查看核心服务器操作系统,查看匿 名/ 默认用户的访问权限是否已被禁用或 者严格限制(如限定在有限的范围内); e) 应检查数据库管理系统的安全策略, 查看是否明确主体对客体的访问权限(如 目录表访问控制/ 存取控制表访问控制 等) ,是否允许主体(如用户)以用户和/ 或用户组的身份规定并控制对客体(如数 据库表)的访问控制; f) 应检查核心数据库管理系统,查看客 . . 检查 项目 检查内 容 评估和检查标准评估和检查方法 体(如数据库表、视图、存储过程和触发 器等)的所有者是否可以改变其相应访问 控制列表的属性,得到授权的用户是否可 以改变相应客体访问控制列表的属性; g) 应检查核心数据库管理系统,查看匿 名/ 默认用户的访问权限是否已被禁用或 者严
链接地址:https://www.31doc.com/p-5213513.html