安全資訊

本篇為管理要求中系統運維管理的部分，等級保護中內容最多的一個(gè)章節。文中內容都是個(gè)人觀(guān)點(diǎn)，如有不對的地方歡迎糾正。文章以等保三級系統為基礎，從合規角度解讀要求。

正文

本部分內容有些地方看起來(lái)可能會(huì )和技術(shù)要求差不多，但是從管理和流程方面來(lái)約束的，主要考察管理制度的運行情況。本部分內容較長(cháng)，建議各位分段看，全部閱讀起來(lái)可能會(huì )需要較長(cháng)時(shí)間。

7.2.5 系統運維管理

**a) 應指定專(zhuān)門(mén)的部門(mén)或人員定期對機房供配電、空調、溫濕度控制等設施進(jìn)行維護管理；**b) 應指定部門(mén)負責機房安全，并配備機房安全管理人員，對機房的出入、服務(wù)器的開(kāi)機或關(guān)機等工作進(jìn)行管理；**c) 應建立機房安全管理制度，對有關(guān)機房物理訪(fǎng)問(wèn)，物品帶進(jìn)、帶出機房和機房環(huán)境安全等方面的管理作出規定；**d) 應加強對辦公環(huán)境的保密性管理，規范辦公環(huán)境人員行為，包括工作人員調離辦公室應立即交還該辦公室鑰匙、不在辦公區接待來(lái)訪(fǎng)人員、 工作人員離開(kāi)座位應確保終端計算機退出登錄狀態(tài)和桌面上沒(méi)有包含敏感信息的紙檔文件等。** |

這里又把物理安全的內容重新提了一遍，但重點(diǎn)是管理而非技術(shù)。

a) 機房的日常巡檢，一般是每日，也可以是三日，最多不能超過(guò)一周，不然有些說(shuō)不過(guò)去；這類(lèi)工作大部分是由運維來(lái)負責，除了設備狀況和信息告警這類(lèi)常規檢查外，環(huán)境和設施也要檢查，比如溫濕度是不是在合理范圍內、滅火系統的壓力表是否正常（對于指針位于紅色區域的滅火器材要及時(shí)更換）、強電設備及UPS運行狀況有無(wú)異常、機房?jì)扔袩o(wú)凝露的情況等等。并且要有巡檢的記錄和巡檢人簽名。

b) 本條要求一般只要不是配線(xiàn)間級別的機房都會(huì )做得差不多，可能有些企業(yè)不會(huì )去做各種訪(fǎng)問(wèn)記錄、操作記錄，但檢查時(shí)看的就是這些記錄文檔；從管理角度來(lái)看，這些基礎的工作還是要做起來(lái)的，不能偷懶。

c) 小企業(yè)可能沒(méi)有機房制度或者太簡(jiǎn)單，大中型企業(yè)一般都有，這類(lèi)制度目前大同小異，都是模板式的文檔，可以根據自身情況修改一下，做成宣傳板掛到機房或管理室的墻上。

d) 這里是一些安全意識細節，也是不好管理的點(diǎn)，畢竟制度和要求可以有，具體能執行的如何沒(méi)辦法有效控制。本條只是舉了幾個(gè)例子，其實(shí)目前不是檢查，而是督促企業(yè)加強安全意識教育和宣傳，不要因為缺少相關(guān)意識給企業(yè)帶來(lái)?yè)p失，不只是資金上，大公司還有企業(yè)形象層面的社會(huì )影響。

這里提的就是離職人員，一定要第一時(shí)間收回各種權限，門(mén)禁、鑰匙之類(lèi)物品；工作設備不用時(shí)要手動(dòng)鎖屏，或設置自動(dòng)鎖屏；關(guān)鍵區域外人及無(wú)關(guān)人員不得訪(fǎng)問(wèn)；敏感類(lèi)資料不要直接放在桌面，紙質(zhì)材料不能隨便至于辦公桌，會(huì )議討論的方案或系統架構類(lèi)的信息要及時(shí)清除（在白板上臨時(shí)寫(xiě)的一些內容）。

這類(lèi)細節其實(shí)很多，標準不可能窮舉。

a) 應編制并保存與信息系統相關(guān)的資產(chǎn)清單，包括資產(chǎn)責任部門(mén)、重要程度和所處位置等內容；**b) 應建立資產(chǎn)安全管理制度，規定信息系統資產(chǎn)管理的責任人員或責任部門(mén)，并規范資產(chǎn)管理和使用的行為；**c) 應根據資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標識管理，根據資產(chǎn)的價(jià)值選擇相應的管理措施；**d) 應對信息分類(lèi)與標識方法作出規定，并對信息的使用、傳輸和存儲等進(jìn)行規范化管理。 |

資產(chǎn)管理一直都是大事，但一直不被重視，大多數公司摸不清自己的家底，存在邊緣資產(chǎn)。這種情況無(wú)論是管理還是安全層面都是潛在風(fēng)險，等被人搞了才知道原來(lái)自己還有這么個(gè)東西在網(wǎng)絡(luò )中。

a) 由于標準比較老，這里提的還是紙質(zhì)的資產(chǎn)列表清單，當前來(lái)看基本都是電子清單或者是資產(chǎn)統一管理平臺。建議如果有預算還是上一套資產(chǎn)管理系統，若是沒(méi)錢(qián)，那就辛苦點(diǎn)進(jìn)行資產(chǎn)梳理，盡可能避免存在邊緣未知資產(chǎn)。這里其實(shí)對于自己的東西還好（接觸過(guò)一個(gè)CIO，下邊每個(gè)員工的鼠標鍵盤(pán)他都清楚，對資產(chǎn)管理非常重視，但是提到外包人員在企業(yè)內部新建的資產(chǎn)清單情況，瞬間就心虛了），重點(diǎn)是第三方人員的管理，比如外包開(kāi)發(fā)軟件，要利用企業(yè)資源搭建開(kāi)發(fā)環(huán)境，測試環(huán)境，安服方面演練可能還會(huì )搭個(gè)靶場(chǎng)什么的，這幫人裝了多少個(gè)虛擬機，建了多少個(gè)數據庫，開(kāi)了多少端口，哪些設備連了外網(wǎng)，這些作為甲方坑內不可能全都弄清楚，那么項目交付后，這些臨時(shí)的資產(chǎn)（硬件、軟件、信息類(lèi)）是否全部下線(xiàn)或卸載，以我的實(shí)際經(jīng)歷來(lái)看，大多安全主管、運維主管都不清楚，CIO就更不知道了。所以，這里建議由系統去自動(dòng)發(fā)現和管理資產(chǎn)，盡可能減少人為低級別工作的參與度。

b) 有了上述的資產(chǎn)管理系統，制度就相對沒(méi)那么重要了，但不代表沒(méi)用，要約束一些基本原則和流程。

c) 資產(chǎn)梳理清晰之后，就要進(jìn)行分類(lèi)分級了，和數據類(lèi)似，有高中低之分，目的是明確哪些是關(guān)鍵資產(chǎn)，重點(diǎn)保護，出現問(wèn)題時(shí)要優(yōu)先處理；對于硬件資產(chǎn)要粘貼不易撕除的標簽，說(shuō)明資產(chǎn)類(lèi)別、編號、SN號等信息，檢查時(shí)候會(huì )看。

d) 本條其實(shí)應該在c前邊，對于資產(chǎn)分類(lèi)分級的依據說(shuō)明，有點(diǎn)像應急預案中的安全事件等級定義；此外后邊還提到了對信息的訪(fǎng)問(wèn)權限、傳輸和存儲管理，可以歸為數據治理范疇，本人沒(méi)有深入接觸，所以只能提一句。等級測評時(shí)，主要做到不用級別的數據有訪(fǎng)問(wèn)權限設置，低級用戶(hù)訪(fǎng)問(wèn)高級數據要提交申請，審批后才允許訪(fǎng)問(wèn)，并對這個(gè)過(guò)程進(jìn)行記錄（各種日志），敏感信息存儲要加密或專(zhuān)業(yè)的防護措施，傳輸過(guò)程要對通信加密。一般能做到這幾點(diǎn)，本條的要求點(diǎn)也就基本滿(mǎn)足了。

a) 應建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護和銷(xiāo)毀等方面作出規定；**b) 應確保介質(zhì)存放在安全的環(huán)境中，對各類(lèi)介質(zhì)進(jìn)行控制和保護，并實(shí)行存儲環(huán)境專(zhuān)人管理；**c) 應對介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等情況進(jìn)行控制，對介質(zhì)歸檔和查詢(xún)等進(jìn)行登記記錄，并根據存檔介質(zhì)的目錄清單定期盤(pán)點(diǎn)；**d) 應對存儲介質(zhì)的使用過(guò)程、送出維修以及銷(xiāo)毀等進(jìn)行嚴格的管理，對帶出工作環(huán)境的存儲介質(zhì)進(jìn)行內容加密和監控管理，對送出維修或銷(xiāo)毀的介質(zhì)應首先清除介質(zhì)中的敏感數據，對保密性較高的存儲介質(zhì)未經(jīng)批準不得自行銷(xiāo)毀；**e) 應根據數據備份的需要對某些介質(zhì)實(shí)行異地存儲，存儲地的環(huán)境要求和管理方法應與本地相同；**f) 應對重要介質(zhì)中的數據和軟件采取加密存儲，并根據所承載數據和軟件的重要程度對介質(zhì)進(jìn)行分類(lèi)和標識管理。 |

介質(zhì)管理在檢查中算是一個(gè)重點(diǎn)，但是很多企業(yè)做得都不太好，包括一些大型知名企業(yè)，安全防護是做的不錯，但一到內部管理流程就一塌糊涂。

a) 介質(zhì)管理制度一定要求，哪怕簡(jiǎn)單的十幾行也可以；網(wǎng)上素材也有，參考一下結合企業(yè)實(shí)際情況進(jìn)行可落地的制度修訂。

b) 介質(zhì)要有專(zhuān)門(mén)的存儲空間，可以是倉庫，可以是保密室、也可以是辦公室，只要你能保證存放在此空間的介質(zhì)得到有效保護就行，并且要制定專(zhuān)人管理（沒(méi)說(shuō)不能兼職）；一般我看到的多數就是一堆移動(dòng)硬盤(pán)、U盤(pán)直接放某人的抽屜里（磁帶之類(lèi)的一般還都有倉庫存放），或者放檔案柜里。別說(shuō)保護了，就是當一堆辦公用品在管。不過(guò)換個(gè)角度來(lái)看，外人也不知道這些東西會(huì )涉密，感覺(jué)就是一堆垃圾隨便亂堆。

c) 這塊我接觸到的企業(yè)沒(méi)有做到的，要求介質(zhì)在運輸（物理傳輸太書(shū)面了）中要有相關(guān)要求和操作，保證數據安全；介質(zhì)也算資產(chǎn)，包括里邊存儲的數據，要盤(pán)點(diǎn)列入資產(chǎn)清單，存儲敏感信息的介質(zhì)使用和查看都要有審批和記錄。這點(diǎn)我印象比較深刻的好像是亞馬遜云的一個(gè)產(chǎn)品，好像叫Snowball，主要用于災備運輸，就是這玩意。

d) 本條就是對介質(zhì)使用、維修及銷(xiāo)毀的管理，對于環(huán)境外介質(zhì)使用的加密和監控很難管理，這部分更多的還是建議制度和追責相結合，畢竟不是誰(shuí)都有錢(qián)搞DLP的，而且企業(yè)越大DLP越難實(shí)施。至于送修可能不太可能，除非意外，沒(méi)做備份，介質(zhì)里的數據很重要，必須去做數據恢復，那么這又涉及到恢復人員可能讀取或竊取企業(yè)資料的問(wèn)題，盡量避免這種情況發(fā)生。銷(xiāo)毀比較好說(shuō)了，報廢的介質(zhì)，盡可能徹底銷(xiāo)毀，不要叫給外部專(zhuān)業(yè)機構去做，除非量特別大，一般可以給員工發(fā)個(gè)錘子，拿著(zhù)一堆介質(zhì)去房間里發(fā)泄一下，尤其是研發(fā)同學(xué)（開(kāi)玩笑）。測評時(shí)重點(diǎn)會(huì )看介質(zhì)管理制度，使用、維修、銷(xiāo)毀、外帶的約束，此外這些操作的記錄要有。

e) 就是異地場(chǎng)外備份，此外某些機密信息（非數據庫、用戶(hù)信息數據）電子檔，要異地進(jìn)行備份；后邊還提到了一句備份的方式和要求必須一致，不能異地備份有另外一套策略。

f) 在前邊幾條我已經(jīng)一起啰嗦出來(lái)了，什么DLP啊，資產(chǎn)分類(lèi)分級??；如果難以實(shí)施，那么最起碼的介質(zhì)分類(lèi)要做，這個(gè)不費時(shí)間，加密實(shí)在不行就用bitlocker，一人管理介質(zhì)，一人管理密鑰（雖然不是很靠譜，但沒(méi)辦法窮嘛），或者買(mǎi)個(gè)保險柜專(zhuān)門(mén)保存介質(zhì)，一人負責檔案室大門(mén)鑰匙管理，另一人負責保險箱密碼和鑰匙（不能都由一個(gè)人去管，容易出事）。這是最便宜的控制方式了，此外介質(zhì)上要有標簽。

**a) 應對信息系統相關(guān)的各種設備（包括備份和冗余設備）、線(xiàn)路等指定專(zhuān)門(mén)的部門(mén)或人員定期進(jìn)行維護管理；b) 應建立基于申報、審批和專(zhuān)人負責的設備安全管理制度，對信息系統的各種軟硬件設備的選型、采購、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規范化管理；**c) 應建立配套設施、軟硬件維護方面的管理制度，對其維護進(jìn)行有效的管理，包括明確維護人員的責任、涉外維修和服務(wù)的審批、維修過(guò)程的監督控制等；**d) 應對終端計算機、工作站、便攜機、系統和網(wǎng)絡(luò )等設備的操作和使用進(jìn)行規范化管理，按操作規程實(shí)現主要設備（包括備份和冗余設備）的啟動(dòng)/停止、加電/斷電等操作；**e) 應確保信息處理設備必須經(jīng)過(guò)審批才能帶離機房或辦公地點(diǎn)。** |

偏運維的管理，包括的制度其實(shí)比較多，差不多每一條都要有一個(gè)對應的制度，而且，最特么煩的就是沒(méi)個(gè)制度都要跟一個(gè)流程，都要有過(guò)程記錄（可以是電子流程），這就很麻煩了，不過(guò)大企業(yè)標準流程就是這么搞的，真正跑起來(lái)之后其實(shí)也不錯。

a) 機房巡檢里包括這些內容，具體分工各企業(yè)會(huì )有不同，可以在監控平臺進(jìn)行自動(dòng)化巡檢，比當年省心多了。

b) 設備管理制度要求，信息類(lèi)物品的采購要有規范，一般是采購部的事情，所以這塊的制度我沒(méi)有寫(xiě)過(guò)。

c) 這部分和巡檢有重疊，定期巡檢查看設備狀況也算是維護的一個(gè)環(huán)節，不過(guò)從后半句的描述來(lái)看，應該是指與供應商之間的設備維修、更換、升級一類(lèi)的制度，可以簡(jiǎn)單寫(xiě)幾條。一般來(lái)說(shuō)，企業(yè)申請設備維修或更換都會(huì )提審批，所以流程應該不會(huì )少，就看有沒(méi)有人管理這些記錄。；

d) IT部門(mén)員工操作規范/手冊，呵呵，大多企業(yè)都沒(méi)有，不過(guò)也不算重點(diǎn)項，有最好，沒(méi)有也無(wú)妨，如果人手夠，事情不太多，可以試著(zhù)做一下，好處也是有的，記得要添加主要設備的啟動(dòng)/停止、加電/斷電操作方法。

e) 這點(diǎn)對于當前的企業(yè)來(lái)說(shuō)，我覺(jué)得是廢話(huà)，沒(méi)有誰(shuí)會(huì )不打招呼直接把核心交換、防火墻或路由器拆走帶出去吧。如果真有，那這種公司我覺(jué)得就不要搞什么IT了，不適合。檢查時(shí)，一是看機房制度，二是看審批記錄。一般是設備維修或更換才會(huì )帶離機房。

另外在終端層面，做得好的公司都會(huì )有策略，確保外部辦公設備的保密性；做得不好的，壓根不擔心，因為那些東西丟了也無(wú)所謂。重點(diǎn)還是制度宣傳，追責和懲罰來(lái)約束。

a) 應對通信線(xiàn)路、主機、網(wǎng)絡(luò )設備和應用軟件的運行狀況、網(wǎng)絡(luò )流量、用戶(hù)行為等進(jìn)行監測和報警，形成記錄并妥善保存；b) 應組織相關(guān)人員定期對監測和報警記錄進(jìn)行分析、評審，發(fā)現可疑行為，形成分析報告，并采取必要的應對措施；c) **應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關(guān)事項進(jìn)行集中管理。 |

a) 網(wǎng)絡(luò )監控平臺，對機房所有設備進(jìn)行監控，一般都會(huì )自帶報表生成功能；沒(méi)錢(qián)買(mǎi)，那就搞開(kāi)源好了，也可以用，主要好安全防范，不要被當做突破口就好。

b) 流量分析、日志審計、態(tài)勢感知，配合做好應急預案，基本就差不多了，態(tài)勢感知可能有點(diǎn)扯，但是前兩個(gè)應該問(wèn)題不大。

c) 部署漏洞管理平臺，HIDS，可以參考下安騎士的那些功能，很像這種防護軟件。如果沒(méi)預算，那最基本的把補丁管理做好，這塊測評時(shí)也說(shuō)得過(guò)去。

**a) 應指定專(zhuān)人對網(wǎng)絡(luò )進(jìn)行管理，負責運行日志、網(wǎng)絡(luò )監控記錄的日常維護和報警信息分析和處理工作；b) 應建立網(wǎng)絡(luò )安全管理制度，對網(wǎng)絡(luò )安全配置、日志保存時(shí)間、安全策略、升級與打補丁、口令更新周期等方面作出規定；**c) 應根據廠(chǎng)家提供的軟件升級版本對網(wǎng)絡(luò )設備進(jìn)行更新，并在更新前對現有的重要文件進(jìn)行備份；**d) 應定期對網(wǎng)絡(luò )系統進(jìn)行漏洞掃描，對發(fā)現的網(wǎng)絡(luò )系統安全漏洞進(jìn)行及時(shí)的修補；**e) 應實(shí)現設備的最小服務(wù)配置，并對配置文件進(jìn)行定期離線(xiàn)備份；**f) 應保證所有與外部系統的連接均得到授權和批準；**g) 應依據安全策略允許或者拒絕便攜式和移動(dòng)式設備的網(wǎng)絡(luò )接入；**h) 應定期檢查違反規定撥號上網(wǎng)或其他違反網(wǎng)絡(luò )安全策略的行為。 |

管理的東西比技術(shù)還多，全做到可能性不大，投入人力和時(shí)間太多。中小企業(yè)確實(shí)搞不起，可以選擇性來(lái)做，成熟后再逐步完善。

a) 指定網(wǎng)絡(luò )管理員（AB崗，不可與其他運維職位兼職），做好日常運維工作，做好巡檢記錄；

b) 已經(jīng)說(shuō)的很明白了，制定一份網(wǎng)絡(luò )安全管理制度，包括配置管理（這里只提到了安全配置，其實(shí)網(wǎng)絡(luò )配置也要一起備份）、日志管理（6個(gè)月）、安全策略（根據實(shí)際情況來(lái)寫(xiě)）、補丁管理（之前說(shuō)的漏洞管理平臺）、密碼管理（一般3個(gè)月?lián)Q一次，8位以上，復雜度要求）。這只是為了應付檢查來(lái)寫(xiě)的內容，如果認真去搞安全運營(yíng)，還會(huì )涉及其他內容。

c) 及時(shí)更新設備版本，規則庫，后邊很良心的還提示了，升級前做好備份工作。

d) 同樣是補丁管理的一個(gè)環(huán)節，定期漏掃已經(jīng)成為常態(tài)，不再是問(wèn)題了。

e) 最小化安裝原則，沒(méi)必要的服務(wù)和插件、軟件一律不裝，對于系統配置文件定期備份（建議不要超過(guò)一周），存儲到介質(zhì)或其他存儲設備。

f) 本條強調私自連接外網(wǎng)的情況，現在手機都可以開(kāi)熱點(diǎn)，筆記本一聯(lián)，防不勝防，考技術(shù)手段來(lái)防，策略設置比較復雜，增加額外成本，建議還是以思想教育為主，提高員工安全意識，這是最靠譜的。我說(shuō)的有點(diǎn)引申了，其實(shí)測評主要考察的就是能夠訪(fǎng)問(wèn)外網(wǎng)的設備，必須是經(jīng)過(guò)審批授權的。

g) 同f，加強安全意識，用懲罰來(lái)威懾。

h) 撥號上網(wǎng)具體指什么，這么多年一直沒(méi)有個(gè)明確的概念，個(gè)人感覺(jué)應該就是私自連接外網(wǎng)的行為吧，技術(shù)要求中提出要能夠檢測內部設備私接外網(wǎng)的行為，技術(shù)層面可以做，但是費時(shí)費力費錢(qián)，從個(gè)人角度來(lái)看，說(shuō)到底還是加強管理更靠譜一些。

**a) 應根據業(yè)務(wù)需求和系統安全分析確定系統的訪(fǎng)問(wèn)控制策略；**b) 應定期進(jìn)行漏洞掃描，對發(fā)現的系統安全漏洞及時(shí)進(jìn)行修補；**c) 應安裝系統的最新補丁程序，在安裝系統補丁前，首先在測試環(huán)境中測試通過(guò)，并對重要文件進(jìn)行備份后，方可實(shí)施系統補丁程序的安裝；**d) 應建立系統安全管理制度，對系統安全策略、安全配置、日志管理和日常操作流程等方面作出具體規定；**e) 應指定專(zhuān)人對系統進(jìn)行管理，劃分系統管理員角色，明確各個(gè)角色的權限、責任和風(fēng)險，權限設定應當遵循最小授權原則；**f) 應依據操作手冊對系統進(jìn)行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數的設置和修改等內容，嚴禁進(jìn)行未經(jīng)授權的操作；**g) 應定期對運行日志和審計數據進(jìn)行分析，以便及時(shí)發(fā)現異常行為。 |

這里有點(diǎn)重復啰嗦了，不過(guò)也逐條說(shuō)一下。

a) ACL運維層面都會(huì )去做，安全層面也會(huì )去做，最基本的劃好安全域，做好不同組別的邏輯隔離，不同權限的訪(fǎng)問(wèn)限制，基本也就夠了，再細的東西要看實(shí)際情況。

bc) 漏掃不再重復了。

d) 主機層面的安全管理制度，和前面的網(wǎng)絡(luò )安全管理制度其實(shí)差不多，不再重敘。

e) 指定系統管理員（AB崗，不能兼職其他運維職位），要有崗位職責說(shuō)明，注意做好權限分離，不要一個(gè)人擁有所有權限；系統同樣權限最小化原則。

f) 前邊說(shuō)的操作手冊，來(lái)了吧，這里是檢查是否按照操作手冊去執行，記錄有沒(méi)有做，對于違規操作有沒(méi)有懲罰和處置記錄。

g) 一般駐場(chǎng)人員會(huì )做這個(gè)事情，不過(guò)現在大多配備日志審計和安全設備，有問(wèn)題會(huì )直接告警。如果這些設備都沒(méi)有，那要制定一個(gè)人定期查看這些日志，工作量較大。

**a) 應提高所有用戶(hù)的防病毒意識，及時(shí)告知防病毒軟件版本，在讀取移動(dòng)存儲設備上的數據以及網(wǎng)絡(luò )上接收文件或郵件之前，先進(jìn)行病毒檢查，對外來(lái)計算機或存儲設備接入網(wǎng)絡(luò )系統之前也應進(jìn)行病毒檢查；**b) 應指定專(zhuān)人對網(wǎng)絡(luò )和主機進(jìn)行惡意代碼檢測并保存檢測記錄；**c) 應對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確規定；**d) 應定期檢查信息系統內各種產(chǎn)品的惡意代碼庫的升級情況并進(jìn)行記錄，對主機防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書(shū)面的報表和總結匯報。** |

本節主要講主機層面的殺軟和網(wǎng)絡(luò )層面的防病毒設備。

a) 這條講了2點(diǎn)。1注意這里提的是用戶(hù)，除了員工還包括你的用戶(hù)；這就有點(diǎn)難搞了，內部人員可以培訓，外部人員可以在軟件使用幫助中加入安全意識提示標語(yǔ)或描述，或者在用戶(hù)協(xié)議、操作手冊中體現防毒意識的內容。2對于新的病毒和漏洞，及時(shí)告知用戶(hù)。

b) 定期殺毒，記得留記錄，檢查時(shí)要看你有沒(méi)有做過(guò)全盤(pán)掃描，周期頻率多久；對于linux這類(lèi)的系統，有的單位裸跑，中招了手工處理，如果有這樣的團隊能搞定這事也可以，若不是，那你想好了現場(chǎng)怎么跟對方解釋。這里還隱含了一點(diǎn)，記住不要用破解版，你可以用免費版，但不能盜版，如果發(fā)現用盜版，本條直接就GG了。

c) 及時(shí)更新病毒庫和版本。

d) 前邊還好，殺軟本身都會(huì )記錄查殺過(guò)的病毒文件，但是對已發(fā)現的病毒進(jìn)行分析和整理，并記錄匯總，這點(diǎn)做的其實(shí)不多，一般都是中招的病毒才會(huì )去分析，如果直接被攔下的可能不太會(huì )在意。作為普通甲方來(lái)說(shuō)，確實(shí)沒(méi)必要，但如果有自己的知識庫的，可以試著(zhù)去做，檢查的時(shí)候不是非要去做，本項非一票否決項。

**應建立密碼使用管理制度，使用符合國家密碼管理規定的密碼技術(shù)和產(chǎn)品。 |

這個(gè)沒(méi)必要說(shuō)了，密碼學(xué)東西很多，這里提到的是符合國家規定的密碼技術(shù)和產(chǎn)品。另外對于密碼管理要有制度。

**a) 應確認系統中要發(fā)生的變更，并制定變更方案；b) 應建立變更管理制度，系統發(fā)生變更前，向主管領(lǐng)導申請，變更和變更方案經(jīng)過(guò)評審、審批后方可實(shí)施變更，并在實(shí)施后將變更情況向相關(guān)人員通告；**c) 應建立變更控制的申報和審批文件化程序，對變更影響進(jìn)行分析并文檔化，記錄變更實(shí)施過(guò)程，并妥善保存所有文檔和記錄；**d) 應建立中止變更并從失敗變更中恢復的文件化程序，明確過(guò)程控制方法和人員職責，必要時(shí)對恢復過(guò)程進(jìn)行演練。 |

變更管理時(shí)運維的一個(gè)重要流程，企業(yè)應該重視，包括乙方在內。

a) 變更要提前申請，提交完整的變更方案，其中包括回滾方案；

b) 變更管理制度，網(wǎng)上很多，目前已經(jīng)很完善了，很多是針對項目的，運維方面的也有。不多做解釋了，模板里寫(xiě)的都不錯。

c) 變更要有流程，無(wú)論紙質(zhì)還是電子流程，要適用、合理，不能為了應付弄個(gè)簡(jiǎn)化流程，這樣不合適，不利于企業(yè)日后管理，留存好記錄。

d) 這點(diǎn)就是回滾/恢復詳細方案（中止變更流程，包含在變更流程中，是一種特殊情況），對于重要系統的變更，要預先進(jìn)行演練，確認方案沒(méi)問(wèn)題再予以實(shí)施。

**a) 應識別需要定期備份的重要業(yè)務(wù)信息、系統數據及軟件系統等；**b) 應建立備份與恢復管理相關(guān)的安全管理制度，對備份信息的備份方式、備份頻度、存儲介質(zhì)和保存期等進(jìn)行規范；**c) 應根據數據的重要性和數據對系統運行的影響，制定數據的備份策略和恢復策略，備份策略須指明備份數據的放置場(chǎng)所、文件命名規則、介質(zhì)替換頻率和將數據離站運輸的方法；**d) 應建立控制數據備份和恢復過(guò)程的程序，對備份過(guò)程進(jìn)行記錄， 所有文件和記錄應妥善保存；**e) 應定期執行恢復程序，檢查和測試備份介質(zhì)的有效性，確?？梢栽诨謴统绦蛞幎ǖ臅r(shí)間內完成備份的恢復。 |

備份和恢復是重點(diǎn)檢查項，總結一下，主要會(huì )關(guān)注幾個(gè)點(diǎn)：

首先災難恢復計劃時(shí)針對重要關(guān)鍵業(yè)務(wù)通，不是所有系統，一般系統只要有一定備份恢復可行方案即可，分優(yōu)先級做備份恢復管理；

制度必要要有；

關(guān)鍵系統實(shí)時(shí)備份，場(chǎng)外備份，異地備份，6個(gè)月至少；

有錢(qián)的搞雙活，沒(méi)錢(qián)的搞雙機雙線(xiàn)；

定期進(jìn)行災難恢復演練，驗證可行性、有效性，一般一年至少一次（建議）。

**a) 應報告所發(fā)現的安全弱點(diǎn)和可疑事件，但任何情況下用戶(hù)均不應嘗試驗證弱點(diǎn)；**b) 應制定安全事件報告和處置管理制度，明確安全事件的類(lèi)型，規定安全事件的現場(chǎng)處理、事件報告和后期恢復的管理職責；**c) 應根據國家相關(guān)管理部門(mén)對計算機安全事件等級劃分方法和安全事件對本系統產(chǎn)生的影響，對本系統計算機安全事件進(jìn)行等級劃分；**d) 應制定安全事件報告和響應處理程序，確定事件的報告流程，響應和處置的范圍、程度，以及處理方法等；**e) 應在安全事件報告和響應處理過(guò)程中， 分析和鑒定事件產(chǎn)生的原因，收集證據，記錄處理過(guò)程，總結經(jīng)驗教訓，制定防止再次發(fā)生的補救措施，過(guò)程形成的所有文件和記錄均應妥善保存；**f) 對造成系統中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。** |

應急響應管理，目前外包形式較多，有自己應急團隊的沒(méi)多少。大多企業(yè)關(guān)心的還是出事了盡快搞定，別影響有任務(wù)，別影響形象，不出事的情況：跟我有毛關(guān)系，搞它干毛。

a) 滲透或無(wú)意中發(fā)現的漏洞，及時(shí)上報，不要去搞事，現在是要關(guān)小黑屋的。有些乙方的工程師，水平還可以，沒(méi)事喜歡去挖洞，挖到了還喜歡去搞事，以前可能還好，最近如果還這么玩，估計很快會(huì )被公安請去喝茶。還有一點(diǎn)，沒(méi)有授權，不要去搞政府網(wǎng)站，不要作死。

bc) 應急預案，不是那種隨便寫(xiě)寫(xiě)的，看后邊的要求，要包括事件分級、報告流程、應急流程、還有操作方法等?？梢詤⒖肌秶揖W(wǎng)絡(luò )安全事件應急預案》。

de) 應急預案的細節，對于一些常見(jiàn)的已知攻擊或病的，要在附件形式附上不同狀況的操作指導手冊。至于應急響應的流程和每步操作，建議去看下ISCCC的應急處理資質(zhì)的要求，里邊雖然都是要求的內容，但是對于每步該走什么，該留存什么都很詳細。官網(wǎng)可以下載《信息安全服務(wù)資質(zhì)自評估表-應急處理類(lèi)填寫(xiě)指南》。

f) 這條說(shuō)的有點(diǎn)不太理解，中斷和泄露為什么要用不同的預案和流程，這類(lèi)可以定義為重大或特別重大安全事故，其實(shí)處理起來(lái)的過(guò)程差不多，只是造成的影響比較嚴重。有了解的同學(xué)可以解釋一下。

**a) 應在統一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動(dòng)應急預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等內容；**b) 應從人力、設備、技術(shù)和財務(wù)等方面確保應急預案的執行有足夠的資源保障；**c) 應對系統相關(guān)的人員進(jìn)行應急預案培訓，應急預案的培訓應至少每年舉辦一次；**d) 應定期對應急預案進(jìn)行演練，根據不同的應急恢復內容，確定演練的周期；**e) 應規定應急預案需要定期審查和根據實(shí)際情況更新的內容，并按照執行。 |

和應急響應章節相關(guān)，屬于安全事件未發(fā)生前的預防措施。

a) 這條我是憑個(gè)人理解，針對不同的關(guān)鍵系統或基礎設置制定不同的應急預案，由于業(yè)務(wù)原因應急方式可能會(huì )存在不同，所以不是一套預案就能使用所有系統。一般是指較大的企業(yè)。

b) 這條純屬屁話(huà)，眾所周知，安全的預算你懂的。不過(guò)網(wǎng)安法出臺了，等保強制了，也可以拿這條規定試著(zhù)跟領(lǐng)導提要求，萬(wàn)一同意了呢。O(￣__,￣)o

cd) 已經(jīng)白話(huà)了，不用再解釋了；都是每年至少一次，沒(méi)如果不做，測評時(shí)會(huì )扣分，印象中。

e) 建議和演練一起搞，每年修訂一次，1-2年可能不變，要說(shuō)3-5年還不變，就是扯了，一定要考慮預案的適用性，隨著(zhù)系統和業(yè)務(wù)的變化也要及時(shí)變更。不只是應急預案，同時(shí)也包括其他在行的制度和流程。安全是一個(gè)不斷循環(huán)的過(guò)程。

結尾

到此為止，等級保護測評介紹系列全部更新完成（說(shuō)實(shí)話(huà)，我都不信我能寫(xiě)完這個(gè)系列）。希望能夠幫到有需要的人，文中大多是個(gè)人經(jīng)驗和理解，肯定會(huì )有不當的地方，歡迎隨意吐槽和糾正。

等級保護測評系列介紹

等級保護測評（一）：物理安全

等級保護測評（二）：網(wǎng)絡(luò )安全

等級保護測評（三）：主機安全

等級保護測評（四）：應用與數據安全

等級保護測評（五）：制度與人員安全

等級保護測評（六）：系統建設管理

等級保護測評（七）：系統運維管理