1? 范圍
??? 本標準規(guī)定了公眾電信網(wǎng)和互聯(lián)網(wǎng)的管理安全等級保護要求。
本標準適用于電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系中的各種網(wǎng)絡和系統(tǒng)。
2? 規(guī)范性引用文件
??? 下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標準。然而,鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本.凡是不注日期的引用文件,其最新版本適用于本標準。
3? 術(shù)語和定義
??? 下列術(shù)語和定義適用于本標準。
3.1
??? 電信網(wǎng) Telecom Network
??? 利用有線和,或無線的電磁、光電網(wǎng)絡,進行文字、聲音、數(shù)據(jù)、圖像或其他任何媒體的信息傳遞的網(wǎng)絡,包括固定通信網(wǎng)、移動通信網(wǎng)等。
3.2
??? 互聯(lián)網(wǎng) Internet
??? 泛指由多個計算機網(wǎng)絡相互連接而形成的網(wǎng)絡,它是在功能和邏輯上組成的大型計算機網(wǎng)絡。
3.3
??? 安全等級 Security Classification
安全重要程度的表征.重要程度可從網(wǎng)絡受到破壞后,對國家安全、社會秩序、經(jīng)濟運行、公共利益、網(wǎng)絡和業(yè)務運營商造成的損害來衡量。
4? 管理安全等級保護要求
4.1? 第1級要求
??? 不作要求。
4.2? 第2級要求
4.2.1?安全管理制度
4.2.1.1? 管理制度
??? a)? 應制定安全工作的總體方針和安全策略,說明機構(gòu)安全工作的總體目標、范圍、原則和安全框架等;
??? b)? 應對安全管理活動中重要的管理內(nèi)容建立安全管理制度;
??? c)? 應對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。
4.2.1.2? 制定和發(fā)布
??? a)? 應指定或授權(quán)專門的部門或人員負責安全管理制度的制定;
b)? 應組織相關(guān)人員對制定的安全管理制度進行論證和審定;
??? c)? 應將安全管理制度以某種方式發(fā)布到相關(guān)人員手中。
4.2.1.3? 評審和修訂
??? 應定期對安全管理制度進行評審,對存在不足或需要改進的安全管理制度進行修訂。
4.2.2?安全管理機構(gòu)
4.2.2.1? 崗位設(shè)置
??? a)? 應設(shè)立安全主管、安全管理各個方面的負責人崗位,定義各負責人的職責;
??? b)? 應設(shè)立系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理員崗位,定義各個工作崗位的職責。
4.2.2.2? 人員配備
??? 應配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理員等。
4.2.2.3? 授權(quán)和審批
??? a)? 應根據(jù)各個部門和崗位的職責明確授權(quán)審批部門及批準人,對系統(tǒng)投入運行、網(wǎng)絡系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進行審批;
??? b)? 應針對關(guān)鍵活動建立審批流程,并由批準人簽字確認。
4.2.2.4? 溝通和合作
??? a)? 應加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及網(wǎng)絡安全職熊部門內(nèi)部的合作與溝通;
??? b)? 應加強與相關(guān)外部單位的合作與溝通。
4.2.2.5? 審核和檢查
??? 應由安全管理人員定期進行安全檢查,檢查內(nèi)容包括用戶賬號情況、系統(tǒng)漏洞情況、數(shù)據(jù)備份等情況。
4.2.3?人員安全管理
4.2.3.1? 人員錄用
??? a)? 應指定或授權(quán)專門的部門或人員負責人員錄用;
??? b)? 應規(guī)范人員錄用過程,對被錄用人員的身份、背景和專業(yè)資格等進行審查,對其所具有的技術(shù)技能進行考核;
??? c)? 應與從事關(guān)鍵崗位的人員簽署保密協(xié)議。
4.2.3.2? 人員離崗
??? a)應規(guī)范人員離崗過程,及時終止離崗員工的所有訪問權(quán)限;
??? b)對于離崗人員,應取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備;
??? c)對于離崗人員,應辦理嚴格的調(diào)離手續(xù)。
4.2.3.3? 人員考核
??? 應定期對各個崗位的人員進行安全技能及安全認知的考核。
4.2.3.4? 安全意識教育和培訓
??? a)? 應對各類人員進行安全意識教育、崗位技能培訓和相關(guān)安全技術(shù)培訓;
??? b)? 應告知人員相關(guān)的安全責任和懲戒措施,并對違反違背安全策略和規(guī)定的人員進行懲戒;
??? c)? 應制定安全教育和培訓計劃,對網(wǎng)絡安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓.
4.2.3.5? 外部人員訪問管理
? ??應確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟鷾屎笥蓪H巳膛阃虮O(jiān)督,并登記備案。
4.2.4?安全建設(shè)管理
4.2.4.1? 定級
??? a)? 應明確網(wǎng)絡的邊界和安全保護等級
??? b)? 應以書面的形式說明網(wǎng)絡確定為某個安全等級的方法和理由;
??? c)? 應確保網(wǎng)絡的定級結(jié)果經(jīng)過相關(guān)部門的批準。
4.2.4.2? 安全方案設(shè)計
? ??a)? 應根據(jù)網(wǎng)絡的安全保護等級選擇基本安全措施,依據(jù)風險分析的結(jié)果補充和調(diào)整安全措施;
? ??b) ?應以書面形式描述對網(wǎng)絡的安全保護要求、策略和措施等內(nèi)容,形成網(wǎng)絡的安全方案;
?? ?c)? 應對安全方案進行細化,形成能指導安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細設(shè)計方案;
? ??d)? 應組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進行論證和審定,并且經(jīng)過批準后,才能正式實施。
4.2.4.3? 產(chǎn)品采購和使用
? ??a)? 應確保安全產(chǎn)品采購和使用符合固家的有關(guān)規(guī)定;
?? ?b)? 應確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求;
? ??c)? 應指定或授權(quán)專門的部門負責產(chǎn)品的采購。
4.2.4.4? 自行軟件開發(fā)
? ??a)? 應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開;
? ??b)應制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準則;
? ??c)應確保提供軟件設(shè)計的相關(guān)文檔和使用指南,并由專人負責保管。
4.2.4.5? 外包軟件開發(fā)
? ??a)? 應根據(jù)開發(fā)需求檢測軟件質(zhì)量;
?? ?b)? 應要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南;
? ??c)? 應在軟件安裝之前檢測軟件包中可能存在的惡意代碼。
4.2.4.6工程實施
??? a)? 應指定或授權(quán)專門的部門或人員負責工程實施過程的管理;
??? b)? 應制定詳細的工程實施方案,控制工程實施過程。
4.2.4.7? 測試驗收
? ??a)? 應對系統(tǒng)進行安全性測試驗收:
? ??b)? 在測試驗收前應根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案,在測試驗收過程中應詳細記錄測試驗收結(jié)果,并形成測試驗收報告;
??? c)? 應組織相關(guān)部門和相關(guān)人員對網(wǎng)絡測試驗收報告進行審定,并簽字確認。
4.2.4.8? 交付
? ??a)? 應制定網(wǎng)絡交付清單,并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點;
? ??b)? 應對負責網(wǎng)絡運行維護的技術(shù)人員進行相應的技能培訓;
?? ?c)? 應確保提供網(wǎng)絡建設(shè)過程中的文檔和指導用戶進行網(wǎng)絡運行維護的文檔。
4.2.4.9? 安全服務商的選擇
? ??a)? 應確保安全服務商的選擇符合國家的有關(guān)規(guī)定;
??? b)? 應與選定的安全服務商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責任;
??? c)? 應確保選定的安全服務商提供技術(shù)支持和服務承諾,必要時與其簽訂服務合同。
4.2.4.10? 備案
??? 應將網(wǎng)絡的定級、屬性等資料指定專門的人員或部門負責管理,并控制這些材料的使用。
4.2.5?安全運維管理
4.2.5.1? 環(huán)境管理
??? a)?? 應指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理;
b)? 應配備機房安全管理人員,對機房的出入、服務器的開機或關(guān)機等工作進行管理;??? ??
c)? 應建立機房安全管理制度,對有關(guān)機房物理訪問,物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定;
??? d)? 應加強對辦公環(huán)境的保密性管理,包括工作人員調(diào)離辦公室應立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等。
4.2.5.2? 資產(chǎn)管理
??? a)? 應編制與網(wǎng)絡相關(guān)的資產(chǎn)清單,包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容;
??? b)? 應建立資產(chǎn)安全管理制度-規(guī)定資產(chǎn)管理的責任人員或責任部門,并規(guī)范資產(chǎn)管理和使用的行為。
4.2.5.3? 介質(zhì)管理
? ??a)? 應確保介質(zhì)存放在安全的環(huán)境中,對各類介質(zhì)進行控制和保護,并實行存儲環(huán)境專人管理;
?? ?b)? 應對介質(zhì)歸檔和查詢等過程進行記錄,并根據(jù)存檔介質(zhì)的目錄清單定期盤點;
? ??c)? 應對需要送出維修或銷毀的介質(zhì),首先清除其中的敏感數(shù)據(jù),防止信息的非法泄漏;
? ??d)? 應根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標識管理。
4.2.5.4? 設(shè)備管理
? ??a)? 應對網(wǎng)絡相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門或人員定期進行維護管理;
? ??b)應建立基于申報、審批和專人負責的設(shè)備安全管理制度,對各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進行規(guī)范化管理;
? ??c)? 應對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設(shè)備的操作和使用進行規(guī)范化管理,按操作規(guī)程實現(xiàn)關(guān)鍵設(shè)備(包括備份和冗余設(shè)備)的啟動,停止、加電,斷電等操作;
? ??d) ?應確保信息處理設(shè)備必須經(jīng)過審批才能帶離機房或辦公地點。
4.2.5.5? 網(wǎng)絡安全管理
? ??a)? 應指定人員對網(wǎng)絡進行管理,負責運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作;
? ??b)? 應建立網(wǎng)絡安全管理制度,對網(wǎng)絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定;
? ??c)? 應根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設(shè)備進行更新,并在更新前對現(xiàn)有的重要文件進行備份;
?? ?d)? 應定期對網(wǎng)絡系統(tǒng)進行漏洞掃描,對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補;
?? ?e)? 應對網(wǎng)絡設(shè)備的配置文件進行定期備份;
? ??f)? 應保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準。
4.2.5.6? 系統(tǒng)安全管理
??? a)? 應根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略;
??? b)? 應定期進行漏洞掃描,對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補;
??? c)? 應安裝系統(tǒng)的最新補丁程序,在安裝系統(tǒng)補丁前,應首先在測試環(huán)境中測試通過,并對重要文件進行備份后,方可實施系統(tǒng)補丁程序的安裝;
??? d)? 應建立系統(tǒng)安全管理制度,對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定;
??? e)? 應依據(jù)操作手冊對系統(tǒng)進行維護,詳細記錄操作日志,包括重要的日常操作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容,嚴禁進行未經(jīng)授權(quán)的操作;
??? f)? 應定期對運行日志和審計數(shù)據(jù)進行分析,以便及時發(fā)現(xiàn)異常行為。
4.2.5.7? 惡意代碼防范管理
??? a)? 應提高所有用戶的防病毒意識,告知及時升級防病毒軟件,在讀取移動存儲設(shè)備上的數(shù)據(jù)以及從網(wǎng)絡上接收文件或郵件之前,先進行病毒檢查,對外來計算機或存儲設(shè)備接入網(wǎng)絡系統(tǒng)之前也,直進行病毒檢查;
??? b)? 應指定專人對網(wǎng)絡和主機進行惡意代碼檢測并保存檢測記錄;
??? c)? 應對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定。
4.2.5.8? 密碼管理
??? 應使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。
4.2.5.9? 變更管理
??? a)? 應確認網(wǎng)絡中要發(fā)生的重要變更,并制定相應的變更方案;
??? b)? 網(wǎng)絡發(fā)生重要變更前,應向主管領(lǐng)導申請,審批后方可實施變更,并在實施后向相關(guān)人員通告。