精华内容
下载资源
问答
  • 信息系统安全运维

    千次阅读 2019-06-12 11:52:30
    信息系统安全运维指在特定的周期内,通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件应急响应以及信息安全运维咨询,协助组织的系统管理人员进行信息系统的日常安全运维工作,以发现并修复...

    安全运维定义
            信息系统安全运维指在特定的周期内,通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件应急响应以及信息安全运维咨询,协助组织的系统管理人员进行信息系统的日常安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。

    安全运维服务包括如下内容:
    1) 确定安全运维所涉及的信息系统及关键技术设施;
    2) 根据所约定的服务范围,执行首次技术设施安全评估,评估关键技术设施所存在的安全隐
    患;
    3) 根据首次技术设施安全评估的结果,制定加固方案,沟通并最终对关键技术设施进行安全
    加固;
    4) 此后定期执行技术设施安全评估,针对评估所发现的安全隐患,提出改进建议,并指导系
    统管理人员进行安全加固;
    5) 当被服务单位的主机或网络正遭到攻击或已经发现遭受入侵的迹象时,及时进行应急响应,
    分析事故原因并防止损失扩大;
    6) 在服务期内,及时跟踪并提供安全漏洞及补丁信息或相应安全建议;
    7) 针对系统管理人员在日常维护时发现、产生的安全技术问题提供咨询服务。

    安全运维流程

    客户收益

    1. 清晰理解技术设施所面临的信息安全问题
    2. 前瞻性地处理技术设施所面临的安全问题
    3. 最大程度降低信息安全事件所带来的影响
    4. 集中精力维护信息系统的持续可用
    5. 提高技术人员对信息安全的认识
       

     

    展开全文
  • 一级现在基本没人会去提及,所以我这里主要说下等级保护二级和三级的详细要求及差异分析,总共分为五大项:物理安全,网络安全,主机安全,应用安全,数据安全;管理制度这里没有说明,如有需要可以继续做相关提问;...

    作者:云师兄
    链接:https://www.zhihu.com/question/26499445/answer/1398531718
    来源:知乎
    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
     

    由于第一级的信息系统不需要进行等保备案和测评,企业自主保护即可,所以我在这里仅提供等级保护二级和三级的网络安全设备清单,可作为参考(注:图片不是我制作的,仅传播)。当然,具体需要什么设备,还是得根据实际情况来。

    二级等保要求及所需设备

    三级等保要求及所需设备

    作者:孙浩庭
    链接:https://www.zhihu.com/question/26499445/answer/41243081
    来源:知乎
    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
     

    一级现在基本没人会去提及,所以我这里主要说下等级保护二级和三级的详细要求及差异分析,总共分为五大项:物理安全,网络安全,主机安全,应用安全,数据安全;管理制度这里没有说明,如有需要可以继续做相关提问;

     

    格式说明

    (等保要求:等保二级解决方案;等保三级解决方案;差异分析)

    例: 入侵防范:部署入侵检测系统;部署入侵检测系统配置入侵检测系统的日志模块;三级相对二级要求配置入侵检测系统的日志模块,记录攻击源IP、攻击类型、攻击目的、攻击时间等相关信息,并通过一定的方式进行告警



     

    物理安全

    物理位置的选择:机房和办公场地应选择具有防震、防风和防雨等能力;应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;三级要求进行楼层的选择。

    物理访问控制:按照基本要求进行人员配备,制定管理制度;同时对机房进行区域管理,设置过度区域、安装门禁;三级要求加强对区域的管理和重要区域控制力度。

    防盗窃和防破坏:按照基本要求进行建设。制定防盗窃防破坏相关管理制度;按照基本要求进行建设配置光、电等防盗报警系统;三级根据要求进行光、电技术防盗报警系统的配备。

    防雷击:按照基本要求进行建设;设置防雷保安器;三级根据要求设置防雷保安器,防止感应雷

    防火:设置灭火设备火灾自动报警系统;消防、耐火、隔离等措施;三级根据要求进行消防、耐火、隔离等措施

    防水和防潮:采取措施防止雨水渗透、机房内水蒸气;安装防水测试仪器;三级根据要求进行防水检测仪表的安装使用

    防静电:采用必要的接地防静电;安装防静电地板;三级根据要求安装防静电地板

    温湿度控制:配备空调系统.

    电力供应:配备稳压器和过电压防护设备,配备UPS系统;配备稳压器、UPS、冗余供电系统;三级根据要求设置冗余或并行的电力电缆线路,建立备用供电系统

    电磁防护:电源线和通信线缆隔离铺设;接地、关键设备和磁介质实施电磁屏蔽;三级根据要求进行接地,关键设备和介质的电磁屏蔽


     

    网络安全

    结构安全:关键设备选择高端设备,处理能力具备冗余空间,合理组网,绘制详细网络拓扑图;在二级基础上,合理规划路由,避免将重要网段直接连接外部系统,在业务终端与业务服务器之间建立安全路径、带宽优先级管理;三级根据要求在以下方面进行加强设计:主要网络设备的处理能力满足高峰需求,业务终端与业务服务器之间建立安全路径、重要网段配置ACL策略带宽优先级

    访问控制:防火墙,制定相应的ACL策略;防火墙配置配置包括:端口级的控制粒度,常见应用层协议命令过滤,会话控制,流量控制,连接数控制,防地址欺骗等策略;三级在配置防火墙设备的策略时提出了更高的要求

    安全审计:部署网络安全审计系统;部署网络安全审计系统部署日志服务器进行审计记录的保存;三级对审计日志保存提出更高要求,需要采用日志服务器进行审计记录的保存

    边界完整性检查:部署终端安全管理系统,启用非法外联监控以及安全准入功能;部署终端安全管理系统,在进行非法外联和安全准入检测的同时要进行有效阻断;三级相对2级要求在检测的同时要进行有效阻断

    入侵防范:部署入侵检测系统;部署入侵检测系统配置入侵检测系统的日志模块;三级相对2级要求配置入侵检测系统的日志模块,记录攻击源IP、攻击类型、攻击目的、攻击时间等相关信息,并通过一定的方式进行告警

    恶意代码防范:无要求;部署UTM或AV、IPS;三级系统 要求具备网关处恶意代码的检测与清除,并定期升级恶意代码库

    网络设备防护:配置网络设备自身的身份鉴别与权限控制;对主要网络设备实施双因素认证手段进身份鉴别;三级对登陆网络设备的身份认证提出了更高要求,需要实施双因素认证,设备的管理员等特权用户进行不同权限等级的配置



     

    主机安全

    身份鉴别:对操作系统和数据库系统配置高强度用户名/口令启用登陆失败处理、传输加密等措施;对主机管理员登录时进行双因素身份鉴别(USBkey+密码);三级要求采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别

    访问控制:根据基本要求进行主机访问控制的配置;管理员进行分级权限控制,重要设定访问控制策略进行访问控制;三级根据要求对管理员进行分级权限控制,对重要信息(文件、数据库等)进行标记

    安全审计:部署主机审计系统;部署主机审计系统审计范围扩大到重要客户端;同时能够生成审计报表;三级要求能将审计范围扩大到重要客户端;同时能够生成审计报表

    剩余信息保护:无要求;通过对操作系统及数据库系统进行安全加固配置,及时清除剩余信息的存储空间;三级要求对剩余信息进行保护,通过安全服务方式进行

    入侵防范:部署网络入侵检测系统部署终端安全管理系统;部署网络入侵检测系统部署主机入侵检测系统部署终端安全管理系统进行补丁及时分发;三级要求对重要服务器进行入侵的行为,对重要程序进行代码审查,去除漏洞,配置主机入侵检测以及终端管理软件进行完整性检测

    恶意代码防范:部署终端防恶意代码软件;部署终端防恶意代码软件;三级要求终端防恶意代码软件与边界处的网关设备进行异构部署

    资源控制:部署应用安全管理系统进行资源监控;部署应用安全管理系统进行资源监控、检测报警;三级要求通过安全加固,对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况,对系统服务相关阈值进行检测告警



     

    应用安全

    身份鉴别:根据基本要求配置高强度用户名/口令;进行双因素认证或采用CA系统进行身份鉴别;三级根据要求进行双因素认证或采用CA系统进行身份鉴别

    访问控制:根据基本要求提供访问控制功能;通过安全加固措施制定严格用户权限策略,保证账号、口令等符合安全策略;三级根据要求根据系统重要资源的标记以及定义的安全策略进行严格的访问控制

    安全审计:应用系统开发应用审计功能部署数据库审计系统;应用系统开发应用审计功能部署数据库审计系统;三级要求不仅生成审计记录,还要对审计记录数据进行统计、查询、分析及生成审计报表

    剩余信息保护:无要求;通过对操作系统及数据库系统进行安全加固配置,及时清除剩余信息的存储空间;二级无要求

    通信完整性:采用校验码技术保证通信过程中数据的完整性;采用PKI体系中的完整性校验功能进行完整性检查,保障通信完整性;三级要求密码技术

    通信保密性:应用系统自身开发数据加密功能,采用VPN或PKI体系的加密功能;应用系统自身开发数据加密功能,采用VPN或PKI体系的加密功能保障通信保密性;三级要求对整个报文或会话过程进行加密

    抗抵赖:无要求;PKI系统;2级无要求

    软件容错:代码审核;代码审核;三级根据要求系统具备自动保护功能设计,故障后可以恢复

    资源控制:部署应用安全管理系统;部署应用安全管理系统;三级要求细化加固措施,对并发连接、资源配额、系统服务相关阈值、系统服务优先级等进行限制和管理


     

    数据安全

    数据完整性:数据校验传输采用VPN ;配置存储系统传输采用VPN ;三级要求在传输过程增加对系统管理数据的检测与恢复,配置存储系统

    数据保密性:应用系统针对鉴别信息的存储开发加密功能;应用系统针对存储开发加密功能,利用VPN实现传输保密性;三级要求实现管理数据、鉴别信息和重要业务数据传输过程的保密性

    备份与恢复:重要信息进行定期备份关键设备线路冗余;本地备份与异地备份关键设备线路冗余设计;三级要求进行每天数据备份且要求实现异地备份

     

    希望对您有帮助。

    编辑于 2015-03-09

    ​赞同 54​​8 条评论

    ​分享

    ​收藏​喜欢收起​

    继续浏览内容

    知乎

    发现更大的世界

    打开

    Chrome

    继续

    知道创宇 云安全

    知道创宇 云安全

    已认证的官方帐号

    12 人赞同了该回答

    等级保护涉及的行业有:

    1、国家重要信息系统和本地其他第三级以上重要信息系统;

    2、电力、通信、交通、水利、环保、医疗等16个重点领域以及水气暖、轨道交通等市政领域的工业控制类系统;

    3、省、市党政机关、事业单位和国有企业网站、大型互联网企业门户网站。

    测评等级内容:

    等级保护三级的测评项有:

    相关处罚措施有:

    《网络安全法》第五十九条规定:

    网络运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

    关键信息基础设施的运营者不履行义务的 :由有关主管部门责令改正,给予警告; 拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

    划重点:用户单位不做等级保护测评,用户单位需要被罚款1万-100万;主管人员需要被罚款5000-10万。

    创宇盾帮助企业云淡风轻过等保:

    为了帮助企业用户快速满足等保合规的要求,知道创宇整合了创宇盾产品的技术优势,为您的等保测评提供关键服务。

    展开全文
  • 两个信息安全标准的相同点 都是为了保护信息安全;都采用了过程方法,前一个过程的输出作为后一个过程的输入;都采用了PDCA的模型,实现持续安全建设;都发布了基本要求,27000信息安全管理体系提供了14个控制域的...

    一、两个信息安全标准的相同点

    1. 都是为了保护信息安全;
    2. 都采用了过程方法,前一个过程的输出作为后一个过程的输入;
    3. 都采用了PDCA的模型,实现持续安全建设;
    4. 都发布了基本要求,27000信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求;
    5. 在控制措施或安全子类层面的安全要求上,都或多或少的存在共性。

    二、两个信息安全标准的不同点

    1. 最重要的一个不同点是:立足点不同。
      • 信息安全管理体系是以组织内部业务影响为依据,自内而外的信息安全建设工作;
      • 等级保护的分级是以组织外部(国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益)影响为依据,是自外而内的信息安全建设工作;
    2. 不同点二:确定安全需求的方法不同。
      • 信息安全管理体系采用信息安全风险管理中规定的风险评估的方法确定其安全需求;
      • 等级保护制度是通过系统定级、等保安全测评、安全需求分析来确定其安全需求;
    3. 不同点三:实施流程不同。
      • ISMS实施流程分为:获得管理者对实施ISMS的批准、定义ISMS范围和方针、进行业务分析、进行风险评估、设计ISMS和实施ISMS。是一个单方向的流程,不包括评审、保持或改进ISMS的流程。详细的实施流程指导可参见ISO/IEC 27003:2010。
      • 等级保护的实施流程分为:信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止;若信息系统在安全运行与维护过程中发生局部调整,则回到“安全设计与实施”流程;若信息系统在安全运行与维护过程中系统发生等级变更,则回到“信息系统定级”流程。
    4. 不同点四:基本要求分类不同。ISMS信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求。详见下面的附件。

    附件1 ISMS的14个信息安全控制域


    附件2 ISMS的114个控制项

    ISO27001:2013 
               
      A.5信息安全方针    
      A.5.1信息安全管理指引    
      目标:提供符合有关法律法规和业务需求的信息安全管理指引和支持。    
    A.5.1.1 A.5.1.1 信息安全方针 应定义信息安全方针,信息安全方针文件应经过管理层批准,并向所有员工和相关方发布和沟通。    
    A.5.1.2 A.5.1.2 信息安全方针的评审 应定期或在发生重大的变化时评审方针文件,确保方针的持续性、稳定性、充分性和有效性。    
      A.6信息安全组织    
      A.6.1内部组织    
      目标:建立信息安全管理框架,在组织内部启动和控制信息安全实施。    
    A.6.1.1 A.6.1.1 信息安全的角色和职责 应定义和分配所有信息安全职责。    
    A.6.1.2 A.6.1.2 职责分离 有冲突的职责和责任范围应分离,以减少对组织资产未经授权访问、无意修改或误用的机会。    
    A.6.1.3 A.6.1.3 与监管机构的联系 应与相关监管机构保持适当联系。    
    A.6.1.4 A.6.1.4 与特殊利益团体的联系 与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。    
    A.6.1.5 A.6.1.5 项目管理中的信息安全 实施任何项目时应考虑信息安全相关要求。    
      A.6.2移动设备和远程办公    
      目标:应确保远程办公和使用移动设备的安全性。    
    A.6.2.1 A.6.2.1 移动设备策略 应采取安全策略和配套的安全措施控制使用移动设备带来的风险。    
    A.6.2.2 A.6.2.2 远程办公 应实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安全。    
      A.7人力资源安全    
      A.7.1任用前    
      目标:确保员工、合同方人员理解他们的职责并适合他们所承担的角色。    
    A.7.1.1 A.7.1.1 人员筛选 根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查应符合业务需求、访问的信息类别及已知风险。    
    A.7.1.2 A.7.1.2 任用条款和条件 与员工和承包商的合同协议应当规定他们对组织的信息安全责任。    
      A.7.2任用中    
      目标:确保员工和合同方了解并履行他们的信息安全责任。    
    A.7.2.1 A.7.2.1 管理职责 管理层应要求员工、合同方符合组织建立的信息安全策略和程序。    
    A.7.2.2 A.7.2.2 信息安全意识、教育与培训 组织内所有员工、相关合同人员及合同方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序。    
    A.7.2.3 A.7.2.3 纪律处理过程 应建立并传达正式的惩戒程序,据此对违反安全策略的员工进行惩戒。    
      A.7.3任用终止和变更    
    A.7.3.1 A.7.3.1 任用终止或变更的责任 应定义信息安全责任和义务在雇用终止或变更后仍然有效,并向员工和合同方传达并执行。    
      A.8资产管理    
      A.8.1资产的责任    
      目标:确定组织资产,并确定适当的保护责任。    
    A.8.1.1 A.8.1.1 资产清单 应制定和维护信息资产和信息处理设施相关资产的资产清单。    
    A.8.1.2 A.8.1.2 资产责任人 资产清单中的资产应指定资产责任人(OWNER)。    
    A.8.1.3 A.8.1.3 资产的合理使用 应识别信息和信息处理设施相关资产的合理使用准则,形成文件并实施。    
    A.8.1.4 A.8.1.4 资产的归还 在劳动合同或协议终止后,所有员工和外部方人员应退还所有他们使用的组织资产。    
      A.8.2信息分类    
      目标:确保信息资产是按照其对组织的重要性受到适当级别的保护。    
    A.8.2.1 A.8.2.1 信息分类 应根据法规、价值、重要性和敏感性对信息进行分类,保护信息免受未授权泄露或篡改。    
    A.8.2.2 A.8.2.2 信息标识 应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。    
    A.8.2.3 A.8.2.3 资产处理 应根据组织采用的资产分类方法制定和实施资产处理程序    
      A.8.3介质处理    
      目标:防止存储在介质上的信息被未授权泄露、修改、删除或破坏。    
    A.8.3.1 A.8.3.1 可移动介质管理 应实施移动介质的管理程序,并与组织的分类方案相匹配。    
    A.8.3.2 A.8.3.2 介质处置 当介质不再需要时,应按照正式程序进行可靠的、安全的处置。    
    A.8.3.3 A.8.3.3 物理介质传输 含有信息的介质应加以保护,防止未经授权的访问、滥用或在运输过程中的损坏。    
      A.9访问控制    
      A.9.1访问控制的业务需求    
      目标:限制对信息和信息处理设施的访问。    
    A.9.1.1 A.9.1.1 访问控制策略 应建立文件化的访问控制策略,并根据业务和安全要求对策略进行评审。    
    A.9.1.2 A.9.1.2 对网络和网络服务的访问 应只允许用户访问被明确授权使用的网络和网络服务。    
      A.9.2用户访问管理    
      目标:确保已授权用户的访问,预防对系统和服务的非授权访问。    
    A.9.2.1 A.9.2.1 用户注册和注销 应实施正式的用户注册和注销程序来分配访问权限。    
    A.9.2.2 A.9.2.2 用户访问权限提供 无论什么类型的用户,在对其授予或撤销对所有系统和服务的权限时,都应实施一个正式的用户访问配置程序。    
    A.9.2.3 A.9.2.3 特权管理 应限制及控制特权的分配及使用。    
    A.9.2.4 A.9.2.4 用户认证信息的安全管理 用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。    
    A.9.2.5 A.9.2.5 用户访问权限的评审 资产所有者应定期审查用户访问权限。    
    A.9.2.6 A.9.2.6 撤销或调整访问权限 在跟所有员工和承包商人员的就业合同或协议终止和调整后,应相应得删除或调整其信息和信息处理设施的访问权限。    
      A.9.3用户责任    
      目标:用户应保护他们的认证信息。    
      A.9.3.1 认证信息的使用 应要求用户遵循组织的做法使用其认证信息。    
      A.9.4系统和应用访问控制    
      目标:防止对系统和应用的未授权访问。    
    A.9.4.1 A.9.4.1 信息访问限制 应基于访问控制策略限制对信息和应用系统功能的访问。    
    A.9.4.2 A.9.4.2 安全登录程序 在需要进行访问控制时,应通过安全的登录程序,控制对系统和应用的访问。    
    A.9.4.3 A.9.4.3 密码管理系统 应使用交互式口令管理系统,确保口令质量。    
    A.9.4.4 A.9.4.4 特权程序的使用 对于可以覆盖系统和应用权限控制的工具程序的使用,应限制和严格控制。    
    A.9.4.5 A.9.4.5 对程序源码的访问控制 对程序源代码的访问应进行限制。    
      A.10密码学    
      A.10.1密码控制    
      目标:确保适当和有效地使用密码来保护信息的机密性、真实性和/或完整性。    
    A.10.1.1 A.10.1.1 使用加密控制的策略 应开发和实施加密控制措施的策略以保护信息。    
    A.10.1.2 A.10.1.2 密钥管理 对加密密钥的使用、保护和有效期管理,应开发和实施一个贯穿密钥全生命周期的策略。    
      A.11物理和环境安全    
      A.11.1安全区域    
      目标:防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。    
    A.11.1.1 A.11.1.1 物理安全边界 应定义安全边界,用来保护包含敏感或关键信息和信    
    A.11.1.2 A.11.1.2 物理进入控制 安全区域应有适当的进入控制保护,以确保只有授权    
    A.11.1.3 A.11.1.3 办公室、房间及设施和安全 应设计和实施保护办公室、房间及所及设备的物理安全。    
    A.11.1.4 A.11.1.4 防范外部和环境威胁 应设计和应用物理保护措施以应对自然灾害、恶意攻击或意外。    
    A.11.1.5 A.11.1.5 在安全区域工作 应设计和应用在安全区域工作的程序。    
    A.11.1.6 A.11.1.6 送货和装卸区 访问区域如装卸区域,及其他未经授权人员可能进入的地点应加以控制,如果可能的话,信息处理设施应隔离以防止未授权的访问。    
      A.11.2设备安全    
      目标:防止资产的遗失、损坏、偷窃或损失和组织业务中断。    
    A.11.2.1 A.11.2.1 设备安置及保护 应妥善安置及保护设备,以减少来自环境的威胁与危害,并减少未授权访问的机会。    
    A.11.2.2 A.11.2.2 支持设施 应保护设备免于电力中断及其它因支持设施失效导致的中断。    
    A.11.2.3 A.11.2.3 线缆安全 应保护传输数据或支持信息服务的电力及通讯电缆,免遭中断或破坏。    
    A.11.2.4 A.11.2.4 设备维护 应正确维护设备,以确保其持续的可用性及完整性。    
    A.11.2.5 A.11.2.5 资产转移 未经授权,不得将设备、信息及软件带离。    
    A.11.2.6 A.11.2.6 场外设备和资产安全 应对场外资产进行安全防护,考虑在组织边界之外工作的不同风险。    
    A.11.2.7 A.11.2.7 设备报废或重用 含有存储介质的所有设备在报废或重用前,应进行检查,确保任何敏感数据和授权软件被删除或被安全重写。    
    A.11.2.8 A.11.2.8 无人值守的设备 用户应确保无人值守的设备有适当的保护。    
    A.11.2.9 A.11.2.9 桌面清空及清屏策略 应采用清除桌面纸质和可移动存储介质的策略,以及清除信息处理设施屏幕的策略。    
      A.12操作安全    
      A.12.1操作程序及职责    
      目标:确保信息处理设施正确和安全的操作。    
    A.12.1.1 A.12.1.1 文件化的操作程序 应编制文件化的操作程序,并确保所有需要的用户可以获得。    
    A.12.1.2 A.12.1.2 变更管理 应控制组织、业务流程、信息处理设施和影响信息安全的系统的变更。    
    A.12.1.3 A.12.1.3 容量管理 应监控、调整资源的使用,并反映将来容量的需求以确保系统性能。    
    A.12.1.4 A.12.1.4 开发、测试与运行环境的分离 应分离开发、测试和运行环境,以降低未授权访问或对操作环境变更的风险。    
      A.12.2防范恶意软件    
      目标:确保对信息和信息处理设施的保护,防止恶意软件。    
    A.12.2.1 A.12.2.1 控制恶意软件 应实施检测、预防和恢复措施以应对恶意软件,结合适当的用户意识程序。    
      A.12.3备份    
      目标:防止数据丢失    
    A.12.3.1 A.12.3.1 信息备份 根据既定的备份策略备份信息,软件及系统镜像,并定期测试。    
      A.12.4日志记录和监控    
      目标:记录事件和生成的证据    
    A.12.4.1 A.12.4.1 事件日志 应产生记录用户活动、意外和信息安全事件的日志,保留日志并定期评审。    
    A.12.4.2 A.12.4.2 日志信息保护 应保护日志设施和日志信息免受篡改和未授权访问。    
    A.12.4.3 A.12.4.3 管理员和操作者日志 应记录系统管理员和系统操作者的活动,进行日志保护及定期评审。    
    A.12.4.4 A.12.4.4 时钟同步 在组织内或安全域内的所有相关信息处理系统的时钟应按照一个单一的参考时间源保持同步。    
      A.12.5操作软件控制    
      目标:确保系统的完整性。    
    A.12.5.1 A.12.5.1 运营系统的软件安装 应建立程序对运营中的系统的软件安装进行控制。    
      A.12.6技术漏洞管理    
      目标:防止技术漏洞被利用    
    A.12.6.1 A.12.6.1 管理技术漏洞 应及时获得组织所使用的信息系统的技术漏洞的信息,对漏洞进行评估,并采取适当的措施去解决相关风险。    
    A.12.6.2 A.12.6.2 软件安装限制 应建立并实施用户软件安装规则。    
      A.12.7信息系统审计的考虑因素    
      目标:最小审计活动对系统运行影响。    
    A.12.7.1 A.12.7.1 信息系统审核控制 应谨慎策划对系统运行验证所涉及的审核要求和活动并获得许可,以最小化中断业务过程。    
      A.13通信安全    
      A.13.1网络安全管理    
      目标:确保网络及信息处理设施中信息的安全。    
    A.13.1.1 A.13.1.1 网络控制 应对网络进行管理和控制,以保护系统和应用程序的信息。    
    A.13.1.2 A.13.1.2 网络服务安全 应识别所有网络服务的安全机制、服务等级和管理要求,并包括在网络服务协议中,无论这种服务是由内部提供的还是外包的。    
    A.13.1.3 A.13.1.3 网络隔离 应在网络中按组(GROUP)隔离信息服务、用户和信息系统。    
      A.13.2信息传输    
      目标:应确保信息在组织内部或与外部组织之间传输的安全。    
    A.13.2.1 A.13.2.1 信息传输策略和程序 应建立正式的传输策略、程序和控制,以保护通过通讯设施传输的所有类型信息的安全。    
    A.13.2.2 A.13.2.2 信息传输协议 建立组织和外部各方之间的业务信息的安全传输协议。    
    A.13.2.3 A.13.2.3 电子消息 应适当保护电子消息的信息。?    
    A.13.2.4 A.13.2.4 保密或非扩散协议 应制定并定期评审组织的信息安全保密协议或非扩散协议(NDA),该协议应反映织对信息保护的要求。    
      A.14系统的获取、开发及维护    
      A.14.1信息系统安全需求    
      目标:确保信息安全成为信息系统生命周期的组成部分,包括向公共网络提供服务的信息系统的要求。    
    A.14.1.1 A.14.1.1 信息安全需求分析和规范 新建信息系统或改进现有信息系统应包括信息安全相关的要求。    
    A.14.1.2 A.14.1.2 公共网络应用服务的安全 应保护应用服务中通过公共网络传输的信息,以防止欺诈、合同争议、未授权的泄漏和修改。    
    A.14.1.3 A.14.1.3 保护在线交易 应保护应用服务传输中的信息,以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未授权的信息复制和重放。    
      A.14.2开发和支持过程的安全    
      目标:确保信息系统开发生命周期中设计和实施信息安全。    
    A.14.2.1 A.14.2.1 安全开发策略 应建立组织内部的软件和系统开发准则。    
    A.14.2.2 A.14.2.2 系统变更控制程序 应通过正式的变更控制程序,控制在开发生命周期中的系统变更实施。    
    A.14.2.3 A.14.2.3 操作平台变更后的技术评审 当操作平台变更后,应评审并测试关键的业务应用系统,以确保变更不会对组织的运营或安全产生负面影响。    
    A.14.2.4 A.14.2.4 软件包变更限制 不鼓励对软件包进行变更,对必要的更改需严格控制。    
    A.14.2.5 A.14.2.5 涉密系统的工程原则 应建立、记录、维护和应用安全系统的工程原则,并执行于任何信息系统。    
    A.14.2.6 A.14.2.6 开发环境安全 应在整个系统开发生命周期的系统开发和集成工作,建立并妥善保障开发环境的安全。    
    A.14.2.7 A.14.2.7 外包开发 组织应监督和监控系统外包开发的活动。    
    A.14.2.8 A.14.2.8 系统安全测试 在开发过程中,应进行安全性的测试。    
    A.14.2.9 A.14.2.9 系统验收测试 应建立新信息系统、系统升级及新版本的验收测试程序和相关标准。    
      A.14.3测试数据    
      目标:确保测试数据安全。    
    A.14.3.1 A.14.3.1 测试数据的保护 应谨慎选择测试数据,并加以保护和控制。    
      A.15供应商关系    
      A.15.1供应商关系的信息安全    
      目标:确保组织被供应商访问的信息的安全。    
    A.15.1.1 A.15.1.1 供应商关系的信息安全策略 为降低供应商使用该组织的资产相关的风险的信息安全要求应获得许可并记录。    
    A.15.1.2 A.15.1.2 在供应商协议中强调安全 与每个供应商签订的协议中应覆盖所有相关的安全要求。如可能涉及对组织的IT基础设施组件、信息的访问、处理、存储、沟通。    
    A.15.1.3 A.15.1.3 信息和通信技术的供应链 供应商协议应包括信息、通信技术服务和产品供应链的相关信息安全风险。    
      A.15.2供应商服务交付管理    
      目标:保持一致的信息安全水平,确保服务交付符合服务协议要求。    
    A.15.2.1 A.15.2.1 供应商服务的监督和评审 组织应定期监控、评审和审核供应商的服务交付。    
    A.15.2.2 A.15.2.2 供应商服务的变更管理 应管理供应商服务的变更,包括保持和改进现有信息安全策略、程序和控制措施,考虑对业务信息、系统、过程的关键性和风险的再评估。    
      A.16信息安全事件管理    
      A.16.1信息安全事件的管理和改进    
      目标:确保持续、有效地管理信息安全事件,包括对安全事件和弱点的沟通。    
    A.16.1.1 A.16.1.1 职责和程序 应建立管理职责和程序,以快速、有效和有序的响应信息安全事件。    
    A.16.1.2 A.16.1.2 报告信息安全事件 应通过适当的管理途径尽快报告信息安全事件。    
    A.16.1.3 A.16.1.3 报告信息安全弱点 应要求使用组织信息系统和服务的员工和承包商注意并报告系统或服务中任何已发现或疑似的信息安全弱点。    
    A.16.1.4 A.16.1.4 评估和决策信息安全事件 应评估信息安全事件,以决定其是否被认定为信息安全事故。    
    A.16.1.5 A.16.1.5 响应信息安全事故 应按照文件化程序响应信息安全事故。    
    A.16.1.6 A.16.1.6 从信息安全事故中学习 分析和解决信息安全事故获得的知识应用来减少未来事故的可能性或影响。    
    A.16.1.7 A.16.1.7 收集证据 组织应建立和采取程序,识别、收集、采集和保存可以作为证据的信息。    
      A.17业务连续性管理中的信息安全    
      A.17.1信息安全的连续性    
      目标:信息安全的连续性应嵌入组织的业务连续性管理体系。    
    A.17.1.1 A.17.1.1 规划信息安全的连续性 组织应确定其需求,以保证在不利情况下的信息安全和信息安全管理的连续性,如在危机或灾难时。    
    A.17.1.2 A.17.1.2 实现信息安全的连续性 组织应建立,记录,实施,维护程序和控制过程,以确保一个不利的情况过程中所需的连续性的信息安全。    
    A.17.1.3 A.17.1.3 验证,评审和评估信息安全的连续性 组织应定期验证已建立并实施的信息安全连续性控制,以确保它们是有效的,并在不利的情况下同样有效。    
      A.17.2冗余    
      目标:确保信息处理设施的可用性。    
    A.17.2.1 A.17.2.1 信息处理设施的可用性 信息处理设施应具备足够的冗余,以满足可用性要求。    
      A.18符合性    
      A.18.1法律和合同规定的符合性    
      目标:避免违反有关信息安全的法律、法规、规章或合同要求以及任何安全要求。    
    A.18.1.1 A.18.1.1 识别适用的法律法规和合同要求 应清晰规定所有相关的法律、法规和合同要求以及组织满足这些要求的方法并形成文件,并针对每个信息系统和组织进行更新。    
    A.18.1.2 A.18.1.2 知识产权 应实施适当的程序,以确保对知识产权软件产品的使用符合相关的法律、法规和合同要求。    
    A.18.1.3 A.18.1.3 保护记录 应按照法律法规、合同和业务要求,保护记录免受损坏、破坏、未授权访问和未授权发布,或伪造篡改。    
    A.18.1.4 A.18.1.4 个人信息和隐私的保护 个人身份信息和隐私的保护应满足相关法律法规的要求。    
    A.18.1.5 A.18.1.5 加密控制法规 使用加密控制应确保遵守相关的协议、法律法规。    
      A.18.2信息安全评审    
      目标:确保依照组织策略和程序实施信息安全。    
    A.18.2.1 A.18.2.1 信息安全的独立评审 应在计划的时间间隔或发生重大变化时,对组织的信息安全管理方法及其实施情况(如,信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。    
    A.18.2.2 A.18.2.2 符合安全策略和标准 管理层应定期审核信息处理和程序符合他们的责任范围内适当的安全政策、标准和任何其他安全要求。    
    A.18.2.3 A.18.2.3 技术符合性评审 应定期评审信息系统与组织的信息安全策略、标准的符合程度。    

    附件3  等级保护安全要求

    5.1  技术要求
    5.1.1  物理安全
    5.1.1.1  物理访问控制(G1)
    5.1.1.2  防盗窃和防破坏(G1)
    5.1.1.3  防雷击(G1)
    5.1.1.4  防火(G1)
    5.1.1.5  防水和防潮(G1)
    5.1.1.6  温湿度控制(G1)
    5.1.1.7  电力供应(A1)
    5.1.2  网络安全
    5.1.2.1  结构安全(G1)
    5.1.2.2  访问控制(G1)
    5.1.2.3  网络设备防护(G1)
    5.1.3  主机安全
    5.1.3.1  身份鉴别(S1)
    5.1.3.2  访问控制(S1)
    5.1.3.3  入侵防范(G1)
    5.1.3.4  恶意代码防范(G1)
    5.1.4  应用安全
    5.1.4.1  身份鉴别(S1)
    5.1.4.2  访问控制(S1)
    5.1.4.3  通信完整性(S1)
    5.1.4.4  软件容错(A1)
    5.1.5  数据安全及备份恢复
    5.1.5.1  数据完整性(S1)
    5.1.5.2  备份和恢复(A1)
    5.2  管理要求
    5.2.1  安全管理制度
    5.2.1.1  管理制度(G1)
    5.2.1.2  制定和发布(G1)
    5.2.2  安全管理机构
    5.2.2.1  岗位设置(G1)
    5.2.2.2  人员配备(G1)
    5.2.2.3  授权和审批(G1)
    5.2.2.4  沟通和合作(G1)
    5.2.3  人员安全管理
    5.2.3.1  人员录用(G1)
    5.2.3.2  人员离岗(G1)
    5.2.3.3  安全意识教育和培训(G1)
    5.2.3.4  外部人员访问管理(G1)
    5.2.4  系统建设管理
    5.2.4.1  系统定级(G1)
    5.2.4.2  安全方案设计(G1)
    5.2.4.3  产品采购和使用(G1)
    5.2.4.4  自行软件开发(G1)
    5.2.4.5  外包软件开发(G1)
    5.2.4.6  工程实施(G1)
    5.2.4.7  测试验收(G1)
    5.2.4.8  系统交付(G1)
    5.2.4.9  安全服务商选择(G1)
    5.2.5  系统运维管理
    5.2.5.1  环境管理(G1)
    5.2.5.2  资产管理(G1)
    5.2.5.3  介质管理(G1)
    5.2.5.4  设备管理(G1)
    5.2.5.5  网络安全管理(G1)
    5.2.5.6  系统安全管理(G1)
    5.2.5.7  恶意代码防范管理(G1)
    5.2.5.8  备份与恢复管理(G1)
    5.2.5.9  安全事件处置(G1)
    展开全文
  • 信息安全系统安全体系

    千次阅读 2019-01-13 15:00:29
    信息安全系统是基于OSI网络...网络模型、安全机制、安全服务应用一起会产生信息系统需要的安全空间,安全空间包括五大属性:认证、权限、完整、加密、不可否认。 安全机制的主要内容: 1.基础设施实体安全。机房...

    信息安全系统是基于OSI网络模型,通过安全机制和安全服务达成信息安全的系统。安全机制是提供某些安全服务,利用各种安全技术和技巧,形成的一个较为完善的结构体系。安全服务是从网络中的各个层次提供信息应用系统需要的安全服务支持。网络模型、安全机制、安全服务应用到一起会产生信息系统需要的安全空间,安全空间包括五大属性:认证、权限、完整、加密、不可否认。

    安全机制的主要内容:

    1.基础设施实体安全。机房、场地、设施、动力系统、安全预防和恢复等物理上的安全。

    2.平台安全。操作系统漏洞检测和修复、网络基础设施漏洞检测与修复、通用基础应用程序漏洞检测与修复、网络安全产品部署,这些是软件环境平台的安全。

    3.数据安全。涉及数据的物理载体、数据本身权限、数据完整可用、数据监控、数据备份存储。

    4.通信安全。涉及通信线路基础设施、网络加密、通信加密、身份鉴别、安全通道和安全协议漏洞检测等。

    5.应用安全。涉及业务的各项内容,程序安全性测试、业务交互防抵赖测试、访问控制、身份鉴别、备份恢复、数据一致性、数据保密性、数据可靠性、数据可用性等业务级别的安全机制内容。

    6.运行安全。涉及程序应用运行之后的维护安全内容,包括应急处置机制、网络安全监测、网络安全产品运行监测、定期检查评估、系统升级补丁提供、最新安全漏洞和通报、灾难恢复机制、系统改造、网络安全技术咨询等。

    7.管理安全。涉及应用使用到的各种资源,包括人员、培训、应用系统、软件、设备、文档、数据、操作、运行、机房等。

    8.授权和审计安全。授权安全是向用户和应用程序提供权限管理和授权服务,负责向业务应用系统系统授权服务管理、用户身份到应用授权的映射功能。审计安全是信息安全系统必须支持的功能特性,主要是检查网络内活动用户、侦测潜在威胁、统计日常运行状况、异常事件和突发事件的事后分析、辅助侦查取证。

    9.安全防范体系。企业信息安全资源综合管理,含六项功能:预警、保护、检测、反应、回复、反击。

    安全服务的主要内容:

    1.对等实体认证服务。交互双方的身份认证

    2.数据保密服务。

    3.数据完整性服务

    4.数据源点认证服务

    5.禁止否认服务。包括不得否认发送、不得否认接收

    6.犯罪证据提供服务

    安全技术的主要内容:

    1.加密技术

    2.数字签名技术。独有解决收发双方纠纷的能力

    3.访问控制技术

    4.数据完整性技术。包括数据单元的完整性、数据单元序列的完整性

    5.认证技术

    6.数据挖掘技术

    信息安全保障系统的三种不同系统架构:MIS+S、S-MIS、S2-MIS。

    MIS+S是基本信息保障系统,特点如下:

    1.业务应用系统基本不变

    2.硬件和软件系统通用

    3.安全设备基本不带安全密码

    S-MIS是标准信息安全保证系统,系统建立在公认的PKI/CA标准的信息安全基础设施上,特点如下:

    1.硬件和系统软件通用

    2.PKI/CA安全保障系统必须带密码

    3.业务应用系统必须根本改变

    4.主要的通用硬件和软件也要通过PKI/CA认证

    S2-MIS是超安全的信息安全保障系统,不仅系统是建立在公认的PKI/CA标准的信息安全基础设施上,而且硬件和系统软件也是使用“专用的”、“安全的”产品,特点如下:

    1.硬件和系统软件都是专用

    2.PKI/CA安全基础设施必须带密码

    3.业务应用系统必须根本改变

    4.主要的硬件和系统软件需要PKI/CA认证

    三种系统价格逐渐攀升,根据需要选择安全系统架构。

    一个成功的信息安全保障系统需要各个方面的通力合作。

    信息安全保障系统是一个在网络上,继承各种硬件、软件和密码设备,保障其他业务应用信息系统正常运行的专用信息应用系统,附带系统相关岗位、人员、策略、制度和规程的总和。
    --------------------- 
    作者:只是为了记录一刻的所得 
    来源:CSDN 
    原文:https://blog.csdn.net/seacean2000/article/details/55003542 
    版权声明:本文为博主原创文章,转载请附上博文链接!

    展开全文
  • 【信息系统项目管理师】第二十二章 信息系统安全管理(考点汇总篇) 考点分析与预测 信息安全为高级科目独有的章节,在第三版教材中有66页的内容。需要掌握的知识点非常多,且知识点非常散,在考试中上午一般考察4...
  • 什么是涉密信息系统

    千次阅读 2019-12-11 13:09:56
    什么是涉密信息系统? 涉密信息系统,是指由...通常情况下涉密信息系统是指有着一定安全保密需要和要求的计算机系统,按照国家强制性标准和规定,达到一定安全等级的计算机系统被称之为涉密信息系统。 简而言之,...
  • 本文乌云首发,本人转载博客希望更多人看到。      
  • 标记说明:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);...
  • 信息系统安全性与保密性设计

    千次阅读 2017-12-30 13:34:54
    信息系统安全性与保密性设计 摘要: 2015年初,我所在的公司承担了某集团公司的移动信息化开放平台的建设工作。我在该项目中担任系统架构设计师的职务,主要负责设计平台系统架构和安全体系架构。该平台以移动...
  • 信息系统安全管理架构

    千次阅读 2002-04-19 08:56:00
    随着我院生产技术平台完全建立在网络之上和信息化建设的逐步升级,从整体上说已经开始将自己的日常业务完全转移电子平台上,由此导致的“网络依赖性”已经使得我院的企业级网络信息安全成为全院关注的焦点,...
  • 信息系统安全等级保护基本要求——技术要求   一、技术要求: 标记说明:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的...
  • 建立基于安全域的涉密信息系统

    千次阅读 2010-06-07 17:30:00
    建立基于安全域的涉密信息系统
  • 现在一个系统的性能不单单涉及到软件系统本身,还要涉及到使用的框架性能的优劣,数据库性能的优劣,硬件设施的优劣。所以对于一个系统性能的优化,不仅涉及到项目所建立在的那个项目的软件系统,而且还涉及到数据库...
  • 企业信息安全的范围技术控制:访问控制:对权限、对账户的控制,例如:控制某个账户可以访问某个系统或者不可以访问某个系统网络安全:局域网、广域网、城域网、交换机的配置、防火墙配置、路由器配置等等系统安全:...
  • 操作系统安全机制

    千次阅读 2018-09-16 23:38:37
    版权声明:本文为博主原创文章,未经博主允许不得转载。...操作系统安全性表现 物理上分离:要求进程使用不同的物理实体 时间上分离:具有不同安全要求进程在不同时间运行 逻辑上分离:要求进程...
  • 信息安全技术

    千次阅读 2010-03-07 09:48:00
    信息安全是指信息网络的硬件、软件及其系统中的数据受保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码...
  • 全新的认识“互联网”能为工业控制系统带来巨大创造力和生产力的同时,也将引入更加复杂、严峻的安全问题。打破传统隔离、防、堵的思想和方法,建立以安全能力提升、信息共享、建立安全监测网络,以及应急处理和...
  • 管理信息系统复习总结(保姆级)

    万次阅读 多人点赞 2021-01-01 14:19:37
    第一章 当今全球商业中的信息系统 管理信息系统的新变化:①技术(云计算、大数据与物联网、移动数字化平台) ②管理(在线合作与社会化网络软件、商务智能、虚拟会议)③组织(社会化商务、远程办公、商业价值的共创...
  • 工信部“451”号文件《关于加强工业控制系统信息安全管理的通知》、GB/T 30976.1-2014《工业控制系统信息安全:评估规范》极大地推进了工控安全的发展,解决了我国工控安全无标准可依的窘境。 工控网络的特点决定...
  • 安全性测试涉及的内容

    千次阅读 2014-10-26 20:12:41
    WEB安全性测试  一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。  1.安全体系测试 ...
  • 1.3 信息安全管理基础 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。...* 了解我国涉及国家秘密的信息系统分级保护制度 * 了解我国密码管理政策 * 了解我国信息安全产品管理政...
  • 信息安全测评方法

    千次阅读 2016-11-25 22:46:04
    信息系统进行安全测评是对信息系统的建设质量进行评价的必要环节。 安全质量标准是整个信息系统建设质量体系的有机组成部分。 进行信息安全测评就是要贯彻国家标准规范,保证在规划、设计、建设、运行维护和退役等...
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全信息安全服务至少...
  • 设备管理信息系统

    万次阅读 多人点赞 2016-04-08 19:26:29
    设备管理系统(Equipment Management System)是将信息化了设备技术信息与现代化管理相结合,是实现研究级管理信息化的先导。设备管理软件是设备管理模式与计算机技术结合的产物,设备管理的对象是研究所中各种各样...
  • 无人驾驶系统安全

    千次阅读 2017-02-08 17:08:37
    作者:刘少山,李文超,唐洁 责编:何永灿,欢迎人工智能领域技术投稿、约稿、给文章纠错,请发送邮件至heyc@csdn...本文是无人驾驶技术系列的第九篇,详细介绍针对无人车传感器、操作系统、控制系统、车联网的攻...
  • 2009年上半年 信息系统项目管理师 上午试卷 (考试时间 9 : 00~11 : 30 共 150 分钟) 1. 在答题卡的指定位置上正确写入你的姓名和准考证号,并用正规 2B 铅笔在你写入的准考证号下填涂准考证号。 2. 本试卷的...
  • 2011年上半年 信息系统项目管理师 上午试卷 (考试时间 9 : 00~11 : 30 共 150 分钟) 1. 在答题卡的指定位置上正确写入你的姓名和准考证号,并用正规 2B 铅笔在你写入的准考证号下填涂准考证号。 2. 本试卷的...
  • 信息安全事件分类分级解读

    万次阅读 2018-03-08 13:39:52
    信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等情况对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的网络安全事件。 1、信息安全事件分类 依据《中华人民共和国网络安全法》 、《GBT ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 312,006
精华内容 124,802
关键字:

信息系统安全是只涉及到