二级、三级等保要求在系统运维管理有什么区别

2019-09-10 16:55:04 万方科技 16

  二级、三级等保要求在系统运维管理有什么区别,从环境管理、资产管理、介质管理、设备管理、监控管理、系统安全管理、恶意代码防范管理、网络安全管理、密码管理、备份与恢复管理、安全事件处置和应急预案管理等方面来比较。

  环境管理:

  二级等保:

  1) 应对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理;

  2) 应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;

  3) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;

  4) 应对机房来访人员实行登记、备案管理,同时限制来访人员的活动范围;

  5) 加强对办公环境的保密性管理,包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。

  三级等保:

  1) 应对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理;

  2) 应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;

  3) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;

  4) 加强对办公环境的保密性管理,包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等;

  5) 应有指定的部门负责机房安全,并配置电子门禁系统,对机房来访人员实行登记记录和电子记录双重备案管理;

  6) 应对办公环境的人员行为,如工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等作出规定。

  资产管理:

  二级等保:

  1) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门;

  2) 应编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单;

  3) 应根据资产的重要程度对资产进行定性赋值和标识管理,根据资产的价值选择相应的管理措施。

  三级等保:

  1) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为;

  2) 应编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单;

  3) 应根据资产的重要程度对资产进行定性赋值和标识管理,根据资产的价值选择相应的管理措施;

  4) 应确定信息分类与标识的原则和方法,并对信息的使用、传输和存储作出规定。

  介质管理:

  二级等保:

  1) 应确保介质存放在安全的环境中,并对各类介质进行控制和保护,以防止被盗、被毁、被未授权的修改以及信息的非法泄漏;

  2) 应有介质的存储、归档、登记和查询记录,并根据备份及存档介质的目录清单定期盘点;

  3) 对于需要送出维修或销毁的介质,应首先清除介质中的敏感数据,防止信息的非法泄漏;

  4) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理,并实行存储环境专人管理。

  三级等保:

  1) 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定;

  2) 应有介质的归档和查询记录,并对存档介质的目录清单定期盘点;

  3) 对于需要送出维修或销毁的介质,应首先清除介质中的敏感数据,防止信息的非法泄漏;

  4) 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;

  5) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理,并实行存储环境专人管理;

  6) 应对介质的物理传输过程中人员选择、打包、交付等情况进行控制;

  7) 应对存储介质的使用过程、送出维修以及销毁进行严格的管理,保密性较高的信息存储介质未经批准不得自行销毁;

  8) 必要时应对重要介质的数据和软件采取加密存储,对带出工作环境的存储介质进行内容加密和监控管理;

  9) 应对存放在介质库中的介质定期进行完整性和可用性检查,确认其数据或软件没有受到损坏或丢失。

  设备管理:

  二级等保:

  1) 应对信息系统相关的各种设施、设备、线路等指定专人或专门的部门定期进行维护管理;

  2) 应对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立基于申报、审批和专人负责的管理规定;

  3) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理;

  4) 应对带离机房或办公地点的信息处理设备进行控制;

  5) 应按操作规程实现服务器的启动/停止、加电/断电等操作,加强对服务器操作的日志文件管理和监控管理,应按安全策略的要求对网络及设备进行配置,并对其定期进行检查。

  三级等保:

  1) 应对信息系统相关的各种设备、线路等指定专人或专门的部门定期进行维护管理;

  2) 应对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立基于申报、审批和专人负责的管理规定;

  3) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理;

  4) 应对带离机房或办公地点的信息处理设备进行控制;

  5) 应按操作规程实现服务器的启动/停止、加电/断电等操作,加强对服务器操作的日志文件管理和监控管理,并对其定期进行检查;

  6) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等;

  7) 应在安全管理机构统一安全策略下对服务器进行系统配置和服务设定,并实施配置管理。

  监控管理:

  二级等保:

  1) 应了解服务器的CPU、内存、进程、磁盘使用情况。

  三级等保:

  1) 应进行主机运行监视,包括监视主机的CPU、硬盘、内存、网络等资源的使用情况;

  2) 应对分散或集中的安全管理系统的访问授权、操作记录、日志等方面进行有效管理;

  3) 应严格管理运行过程文档,其中包括责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等,并确保文档的完整性和一致性。

  网络安全管理:

  二级等保:

  1) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;

  2) 应建立网络安全管理制度,对网络安全配置和日志等方面作出规定;

  3) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;

  4) 应进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;

  5) 应保证所有与外部系统的连接均应得到授权和批准;

  6) 应对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志等方面做出具体要求;

  7) 应规定网络审计日志的保存时间以便为可能的安全事件调查提供支持。

  三级等保:

  1) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;

  2) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;

  3) 应进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;

  4) 应保证所有与外部系统的连接均应得到授权和批准;

  5) 应建立网络安全管理制度,对网络安全配置、网络用户以及日志等方面作出规定;

  6) 应对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体规定;

  7) 应规定网络审计日志的保存时间以便为可能的安全事件调查提供支持;

  8) 应明确各类用户的责任、义务和风险,并按照机构制定的审查和批准程序建立用户和分配权限,定期检查用户实际权限与分配权限的符合性;

  9) 应对日志的备份、授权访问、处理、保留时间等方面做出具体规定,使用统一的网络时间,以确保日志记录的准确;

  10)应通过身份鉴别、访问控制等严格的规定限制远程管理账户的操作权限和登录行为;

  11)应定期检查违反规定拨号上网或其他违反网络安全策略的行为。

  系统安全管理:

  二级等保:

  1) 应指定专人对系统进行管理,删除或者禁用不使用的系统缺省账户;

  2) 应制度系统安全管理制度,对系统安全配置、系统账户以及审计日志等方面作出规定;

  3) 应定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份;

  4) 应根据业务需求和系统安全分析确定系统的访问控制策略,系统访问控制策略用于控制分配信息系统、文件及服务的访问权限;

  5) 应对系统账户进行分类管理,权限设定应当遵循最小授权要求;

  6) 应对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志等方面做出具体要求;

  7) 应规定系统审计日志的保存时间以便为可能的安全事件调查提供支持;

  8) 应进行系统漏洞扫描,对发现的系统安全漏洞进行及时的修补。

  三级等保:

  1) 应指定专人对系统进行管理,删除或者禁用不使用的系统缺省账户;

  2) 应制定系统安全管理制度,对系统安全配置、系统账户以及审计日志等方面作出规定;

  3) 应对能够使用系统工具的人员及数量进行限制和控制;

  4) 应定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份;

  5) 应根据业务需求和系统安全分析确定系统的访问控制策略,系统访问控制策略用于控制分配信息系统、文件及服务的访问权限;

  6) 应对系统账户进行分类管理,权限设定应当遵循最小授权要求;

  7) 应对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体规定;

  8) 应规定系统审计日志的保存时间以便为可能的安全事件调查提供支持;

  9) 应进行系统漏洞扫描,对发现的系统安全漏洞进行及时的修补;

  10)应明确各类用户的责任、义务和风险,对系统账户的登记造册、用户名分配、初始口令分配、用户权限及其审批程序、系统资源分配、注销等作出规定;

  11)应对于账户安全管理的执行情况进行检查和监督,定期审计和分析用户账户的使用情况,对发现的问题和异常情况进行相关处理。

  恶意代码防范管理:

  二级等保:

  1) 应提高所用用户的防病毒意识,告知及时升级防病毒软件;

  2) 应在读取移动存储设备(如软盘、移动硬盘、光盘)上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也要进行病毒检查;

  3) 应指定专人对网络和主机的进行恶意代码检测并保存检测记录;

  4) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定。

  三级等保:

  1) 应提高所有用户的防病毒意识,告知及时升级防病毒软件;

  2) 应在读取移动存储设备(如软盘、移动硬盘、光盘)上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也要进行病毒检查;

  3) 应指定专人对网络和主机的进行恶意代码检测并保存检测记录;

  4) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定;

  5) 应建立恶意代码集中防护的安全管理中心,确保整个网络统一配置、统一升级、统一控制;

  6) 应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。

  密码管理:

  二级等保:

  1) 密码算法和密钥的使用应符合国家密码管理规定。

  三级等保:

  1) 应建立密码使用管理制度,密码算法和密钥的使用应符合国家密码管理规定。

  变更管理:

  二级等保:

  1) 确认系统中要发生的变更,并制定变更方案;

  2) 建立变更管理制度,重要系统变更前,应向主管领导申请,审批后方可实施变更;

  3) 系统变更情况应向所有相关人员通告。

  三级等保:

  1) 确认系统中要发生的变更,并制定变更方案;

  2) 建立变更管理制度,重要系统变更前,应向主管领导申请,变更和变更方案经过评审、审批后方可实施变更;

  3) 系统变更情况应向所有相关人员通告;

  4) 应建立变更控制的申报和审批文件化程序,变更影响分析应文档化,变更实施过程应记录,所有文档记录应妥善保存;

  5) 中止变更并从失败变更中恢复程序应文档化,应明确过程控制方法和人员职责,必要时恢复过程应经过演练。

  备份与恢复管理:

  二级等保:

  1) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;

  2) 应规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;

  3) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;

  4) 应指定相应的负责人定期维护和检查备份及冗余设备的状况,确保需要接入系统时能够正常运行;

  5) 根据备份方式,规定相应设备的安装、配置和启动的流程。

  三级等保:

  1) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;

  2) 应规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;

  3) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;

  4) 应指定相应的负责人定期维护和检查备份及冗余设备的状况,确保需要接入系统时能够正常运行;

  5) 应建立控制数据备份和恢复过程的程序,备份过程应记录,所有文件和记录应妥善保存;

  6) 应根据系统级备份所采用的方式和产品,建立备份及冗余设备的安装、配置、启动、操作及维护过程控制的程序,记录设备运行过程状况,所有文件和记录应妥善保存;

  7) 应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。

  安全事件处置:

  二级等保:

  1) 所有用户均有责任报告自己发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;

  2) 应制定安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责;

  3) 应分析信息系统的类型、网络连接特点和信息系统用户特点,了解本系统和同类系统已发生的安全事件,识别本系统需要防止发生的安全事件,事件可能来自攻击、错误、故障、事故或灾难;

  4) 应根据国家相关管理部门对计算机安全事件等级划分方法,根据安全事件在本系统产生的影响,将本系统计算机安全事件进行等级划分;

  5) 应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。

  三级等保:

  1) 所有用户均有责任报告自己发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;

  2) 应制定安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责;

  3) 应分析信息系统的类型、网络连接特点和信息系统用户特点,了解本系统和同类系统已发生的安全事件,识别本系统需要防止发生的安全事件,事件可能来自攻击、错误、故障、事故或灾难;

  4) 应根据国家相关管理部门对计算机安全事件等级划分方法,根据安全事件在本系统产生的影响,将本系统计算机安全事件进行等级划分;

  5) 应制定的安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;

  6) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存;

  7) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。

  应急预案管理:

  二级等保:

  1) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容;

  2) 应对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略,对应急预案的培训至少每年举办一次。

  三级等保:

  1) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容;

  2) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;

  3) 应对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略,对应急预案的培训至少每年举办一次;

  4) 应急预案应定期演练,根据不同的应急恢复内容,确定演练的周期;

  5) 应规定应急预案需要定期审查和根据实际情况更新内容,并按照执行。