等级保护三级安全运维管理要求解读

序号控制点测评项测评要求1环境管理a）应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理；机房是存放等级保护对象基础设施的重要场所，要落实机房环境的管理责任人，因此要确保机房的运行环境良好、安全，应对机房环境进行严格管理和控制2b）应建立机房安全管理制度，对有关物理访问、物品带进出和环境安全等方面的管理作出规定；为保证系统有个良好安会的运行环境，应针对机房建立管理规定或要求

3c）应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。加强内部办公环境的管理是控制网络安全风险的措施之一，为保证内部办公环境的独立性、敏感性，应降低外部人员无意或有意访问内部区域的可能性，同时杜绝都员工因无意行为而泄露敏感文档而导致网络安全事件的发生4资产管理a）应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容；等级保护对象资产种类较多，如保护对象的资产管理比较混舌L，容易导致等级保护对象发生安全问题或不利于发生安全问题时有效应急5b）应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施；信息资产的重要程度不同，在系统中所起的作用也不尽相同，应综合考虑资产的价值、在系统件的地位，作用等因素，按照重要程度高低对资产进行分类、分级管理，分类的原则应在相关文档中选行明确，且需明确重要资产和非重要资产在资产管理环节（如入库、维修、出库）的不同要求

6c）应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。信息作为资产的一种，可根据其所属的类别不同，重要程度不同进行信息的整理分类（一般可分为:敏感、内部公开、对外公开等不同类别），不同类别的信息在使用、传输和存储等方面管理要求也应不同7介质管理a）应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点；介质类型可包括纸介质、磁介质、光介质等，由于存储介质是用来存放系统相关数据的，因此，介质管理工作非常重要，如果管理不善，可能会造成数据的丢失或损坏，应为存储介质提供安全的存放环境并进行妥善的管控8b）应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。需系统存在离线的存储备份介质应对其进行管控，如对介质进行两地传输时，应遵循一定的管理要求，应选择可靠的传送人员，并对打包交付过程签字确认等

9设备维护管理a）应对各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理；对设备进行有效的维护管理，在一定程度上可降低系统发生安全问题的概率，应明确设备管理的责任部门或人员10b）应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等；系统的正常运行依赖于对设备的正确使用和维护。为了保证对设备的正确使用和维护，应建立相应的管理规定或要求，相关人员必须严格按照规定要求对设备进行使用和维护，并认真做好使用和维护记录11c）信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据应加密；信息处理设备的流转容易引起信息泄露的风险，必须严加管控，因此信息处理设备带离机房或办公等常规使用的地点时必须经过审批或采取加密的管控措施12d）含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用。存储介质在报废或重用时，容易引起敏感信息的泄露，应采取相应的处理的措施施

13漏洞和风险管理a）应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补；安全漏洞和隐患是引起安全问题的主要根源，采取有效的措施来及时识别系统漏洞和隐患，并对识别出的漏洞和隐患根据评估的情况进行修补14b）应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。定期开展安全测评有利于及时发现系统潜在的安全问题，安全测评局限于风险评估、等级测评，只要是通过对系统的全面测试评估方法15网络和系统安全管理a）应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限；没有明确的责任和权限要求，容易发生泄职事件，因此要对管理员进行明确的划分并进行岗位职责的定义16b）应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制；账户管理应由专门的部门或人员来负责，并对账户的生命周期进行管控

17c）应建立网络和系统安全官理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定；对系统和网络安全管理缺之规范性指导或规范性指导规定不一致，容易造成人员读职或无作为，因此对网络和系统安全应建立相应的管理策略和规程类的管理要求18d）应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等；配置规范和配置基线是保障等级保护对象安全运行的基本前提，应对设备的配置和操作建立操作规范和配置基线19e）应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容；运维操作日志缺失，不利于安全事件的回溯或追踪，因此要对日常的记录运维操作日志进行详细的记录20f）应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为；没有明确的职责要求，密易引起人员读职或无作为，应对日志、监测、报警数据等指定专人负责和统计

21g）应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库；变更管理不当，极易引起安全问题，对运维过程中的变更操作需严格控制，变更的审批过程中保留痕迹，事后能够更新变更内容22h）应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据；IT运维工具包括商业的专用运维工具，也有自行开发运维工具，无论采取哪种工具，都需进行严格的管控23i）应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道；远程运维是系统安全的隐患之一，如远程控制不当容易通成安全事件，应对远程运维的开通进行严格的控制，如确实需要开通，需要对操作过程日志进彳丁留存并保证不可更改，运维结束后即刻关闭

24j）应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。对所有外部链接进行管控，并且定期对违规外联进行检查25恶意代码防范管理a）应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等；恶意代码对等级保护对象的危害极大，并且传播途径有多种方式，提升所有用户的防恶意代码意识是规避恶意代码发生概率的基本途径。恶意代码的防范不仅仅需要安装防恶意代码工具来解决，为有效预防恶意代码的侵入，除了提高用户的防恶意代码象识外，还应建立完美的恶意代码管理制度并有效实施

26b）应定期验证防范恶意代码攻击的技术措施的有效性。防恶意代码工具的技术措施最常见的是安装恶意代码软件，该类措施有效性保障就是定期升级恶意代码库，并对检测的恶意代码进行分析，另外如采用可信计算机技术也可防恶意代码攻击，需定期验证可信技术的有效性27配置管理a）应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等；系统配置信息的准确性，是系统正常运行的有效保障，因此要对系统的基本信息予以及时有效的记录和保存28b）应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。配置信息及时间同步是配置管理流程的重要环节，该条要求与变更管理和系统管理中的相关条款比较类似，应关注几方面信息保持致29密码管理a）应遵循密码相关国家标准和行业标准；密码生产需要授权许可，密码产品需要符合国家和行业的相关标准

30b）应使用国家密码管理主管部门认证核准的密码技术和产品。系统使用的密码产品要有国家密码主管部门核发的相关型号证书31变更管理a）应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施；变更管理受控是降低系统由变更带来安全问题的有效手段，因此要对变更策略进行明确的规定，并对变更流程进行全程管控32b）应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程；执行变更操作要遵循变更管控的相关控制程序，约束变更过程，并有效记录

33C）应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。变更失败恢复程序般会在变更方案中予以明确，变更方案除了描述变更过程操作外，重要的是明确变更失败后的恢复操作34备份与恢复管理a）应识别需要定期备份的重要业务信息、系统数据及软件系统等；对于要备份的信息进行识别，并制定相应的备份策略35b）应规定备份信息的备份方式、备份频度、存储介质、保存期等；对需要备份的制定相应的备份策略，如备份方式、备份频度、存储介质等等

36c）应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。数据备份策略是根据数据性质的不同，选择不同的备分内容、备份方式等，数据恢复策略是指数据库在遭到各种事件导致数据丢失时利用介质备份数据进行恢复的方法和操作37安全事件处置a）应及时向安全管理部门报告所发现的安全弱点和可疑事件；如发现系统有潜在的弱点和可疑事件，应及时向安全主管部门汇报，并提交相应的报告或信息38b）应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等；安全事件的分类分级标准可参考GB/T20986-2007《信息安全技术信息安全事件分类分级指南》

39c）应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训；对安全事件报告和响应处理的过程应进行详细的记录，并对事件发生的原因进行分析和总结40d）对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。对不同的安全事件应制定不同的处理程序和报告程序41应急预案管理a）应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容；应急预案框架一般为单位总体应急预案管理的顶层文件，明确应急组织构成员职责、应急预案启动条件、响应、后期处置、预案日常管理、资源保障等内容，与各类网络安全事件专项应急预案共同构成整个应急预案体系

42b）应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容；对重要事件制定专定应急预案，并对处理流程、恢复流程进行定义43c）应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练；应急预案培训和演练是应急的重要环节。应定期组织相关人员予以培训和演练，以保障及时有效的处理应急事件

44d）应定期对原有的应急预案重新评估，修订完善。根据每次应急演练的情况，对应急预案进行重新评估和修订45外包运维管理a）应确保外包运维服务商的选择符合国家的有关规定；外包服务商应满足国家相关主管部门的相关规定和要求，以证明其具有相应的服务能力46b）应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容；针对外包运维服务商提供那些服务内容，应在相关协议中予以明确47c）应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确；外包服务运维服务商应具有按照等级保护要求的开展安全运维工作的能力，意味着该外包运维服务商以往具有根