信息系统 安全运维管理规范-征集意见稿

1信息系统安全运维管理规范本文件针对运营单位的业务信息系统网络安全运维的体系、规程、技术、团队、沟通协作、应急响应及应急演练做出了规定。本文件适用于企事业单位信息系统的网络安全运维，也可作为组织开展网络安全运维的依据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T1.1—2020标准化工作导则第1部分：标准化文件的结构和起草规则GB/T36626信息安全技术信息系统安全运维管理指南GB/T25069信息安全技术术语GB/T42446信息安全技术网络安全从业人员能力基本要求GB/T32914信息安全技术网络安全服务能力要求GB/T31722-2015信息安全技术信息安全风险管理GB/T51314-2018数据中心基础设施运行维护标准GB/T22081-2016信息技术安全技术信息安全控制实践指南GB/T17901.1-2020信息安全技术密钥管理第1部分：框架GB/43207-2023信息安全技术信息系统密码应用设计指南GB/T39786-2021信息安全技术GB/T20986-2023信息安全技术GB/T20984-2022信息安全技术GB/T28453-2012信息安全技术GB/T30276-2020信息安全技术GB/T22080信息技术安全技术信息系统密码应用基本要求网络安全事件分类分级指南信息安全风险评估方法信息系统安全管理评估要求网络安全漏洞管理规范信息安全管理体系要求GB/T20984信息安全技术信息安全风险评估规范GB/T30283信息安全技术信息安全服务分类与代码GB/Z20985信息技术安全技术信息安全事件管理指南（所有部分）GB/Z20986信息安全技术信息安全事件分类分级指南GB/T22239信息安全技术网络安全等级保护基本要求GB/T22240信息安全技术网络安全等级保护定级指南GB/T25058信息安全技术网络安全等级保护实施指南GB/T25070信息安全技术网络安全等级保护安全设计技术要求GB/T39786信息安全技术信息系统密码应用基本要求GB/T31495信息安全技术信息安全保障指标体系及评价方法GB/T42250信息安全技术网络安全专用产品安全技术要求2GB/T42453信息安全技术网络安全态势感知通用技术要求GA/T1545信息安全技术网络及安全设备配置检查产品安全技术要求GA/T1359信息安全技术信息资产安全管理产品安全技术要求GB/T28458信息安全技术网络安全漏洞标识与描述规范GA/T911信息安全技术日志分析产品安全技术要求GA/T1550信息安全技术网站安全监测产品安全技术要求GB/T20945信息安全技术网络安全审计产品技术规范GB/T36643信息安全技术网络安全威胁信息格式规范GB/T43557信息安全技术网络安全信息报送指南3术语和定义GB/T25069-2022、GB/T30283-2022、GB/T32914-2023界定的术语和定义适用于本文件。GB/T25069中界定的以及下列术语和定义适用于本文件。密钥key控制密码变换操作的符号序列。病毒virus一种程序，即通过修改其他程序，使其他程序包含一个自身可能已发生变化的原程序副本，从而完成传播自身程序，当调用受传染的程序，该程序即被执行。APTadvancedpersistentthreat；高级持续性威胁精通复杂技术的攻击者利用多种攻击方式对特定目标进行长期持续性网络攻击。安全漏洞cybersecurityvulnerability网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中，无意或有意产生的、有可能被利用的缺陷或薄弱点。安全配置cybersecurityconfiguration能满足网络安全基本要求的一组或多组核心配置项。拒绝服务denialofservice;DoS阻止对系统资源的经授权访问或延迟系统的运行和功能，并导致经授权用户可用性受损。应急响应emergencyresponse组织为应对突发／重大信息安全事件发生所做的准备，以及在事件发生后所采取的措施。应急演练emergencydrill为训练有关人员和提高应急响应能力而根据应急预案和应急响应计划所开展的活动。泄露disclosure违反信息安全策略，导致数据被未经授权的实体使用的行为。入侵检测系统intrusiondetectionsystem;IDS用于识别已尝试、正在发生或已经发生的入侵的信息系统。入侵防御系统intrusionpreventionsystem;IPS特别设计用来提供主动响应能力的入侵检测系统的变体。身份identity与某一实体相关的一组属性。渗透测试penetrationtesting以未经授权的动作绕过某一系统的安全机制来检查信息系统的安全功能，以发现信息系统安全问题的手段。3风险评估riskassessment风险识别、风险分析和风险评价的整个过程。安全审计securityaudit对信息系统记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对于既定安全策略和运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。供应链supplychain将多个资源和过程联系在一起，并根据服务协议或其他采购协议建立起连续供应关系的组织系列。其中每一组织充当需方、供方或双重角色。流量分析trafficanalysis通过观察通信流量来推断所关注信息的过程。4缩略语APT高级持续性威胁（advancedpersistentthreat）Modem调制解调器（Modulator-Demodulator）SD安全数字（securedigital）USB通用串行总线（universalserialbus）VPN虚拟专用网（virtualprivatenetwork）5安全运维体系5.1安全运维原则信息系统运营方应根据信息系统的保护等级，建立网络安全运维管理体系，并符合等级保护、密码应用、数据安全保护、关键信息基础设施保护等要求。安全运维管理体系的建立可参考GB/T36626的要求开展。5.2安全运维目标安全运维目标应以利益相关者的安全需求为导向，基本目标应包括：——保障信息系统安全性、稳定性、可靠性；——防止信息系统遭到攻击和破坏；——保障信息系统数据的安全性。5.3安全运维框架安全运维框架（如图1所示）中，安全运维原则和目标是核心，安全运维策略、安全运维组织、安全运维规程、安全运维支撑系统是安全运维工作开展的基础保障。在安全运维开展过程中，需要对所有安全运维要素进行持续的监测和改进。4图1安全运维框架图6安全运维策略6.1安全运维策略制定安全运维策略制定要求包括：a)应对当前网络安全形势、国家网络安全法律法规、组织所属行业政策要求、组织面临的网络安全威胁等进行调研和分析，为安全策略制定提供必要的支撑。b)应制定信息系统安全运维工作的总体方针和安全策略，明确组织安全运维工作的总体目标、范围、原则和框架等，为信息系统安全运维提供原则与指导。c)信息系统安全运维策略的制定应关注来自业务安全战略、安全运维目标、法律法规和合同、当前和预期的信息系统安全威胁环境等方面产生的要求。d)信息系统安全运维策略主要包括以下内容：1）信息系统安全运维目标和原则的定义；2）分层防护、最小特权、分区隔离、隐私保护和日志记录等技术内容；3）信息系统安全运维管理相关的角色责任和权限分配情况；4）处理信息系统安全运维策略的落实出现偏差和意外的过程。e)信息系统运维策略应由以下相关层面的运维策略组成，包括但不限于：1）资产管理；2）物理环境管理；3）密钥与密码设备管理；4）介质管理；5）终端管理；6）访问与操作管理；59）备份管理；10）变更管理；11）事件及响应管理；12）安全评估管理；13）安全漏洞管理；14）安全配置管理；15）第三方人员管理；16）供应链管理；17）安全验收管理。f)应根据信息系统安全运维策略及管理制度制定相应的安全运维流程，并对安全运维的管理人员和实施人员执行的各项操作建立操作规程。g)信息系统安全运维策略应由管理者批准，并采用合适的、可访问和可理解的形式传达给安全运维团队、组织内部人员和外部相关方。6.2安全运维策略评审安全运维策略评审要求包括：a)应指定或授权专门的部门或人员负责信息系统安全运维策略的制定、评审和评价。b)应持续识别、记录和更新与信息系统安全运维相关的法律法规或技术环境、组织环境及业务状况发生的变化情况，作为信息系统安全运维策略及方法持续改进的依据。c)应定期或当信息系统环境或业务安全需求发生重大改变时，对信息系统安全策略的适宜性、充分性、有效性进行评审，对安全策略进行持续改进。d)信息系统安全运维策略的修订应由管理层批准。7安全运维组织7.1岗位设置岗位设置要求包括：a)运营单位应设置网络安全管理、审计、运维等岗位，岗位可参照GB/T42446-2023中4.2、4.3规定的工作类别以及工作任务进行设置；b)若网络安全运维组织包括外包组织的，应设置现场项目负责人，负责项目的整体沟通协调；c)各岗位应权责分离，相互间不得兼任。7.2人员配备人员配备要求包括：a)应配备熟悉网络安全政策法规、具有扎实网络安全技能的人员开展网络安全运维，技能要求可参照GB/T42446-2023中5、6的规定；b)应配备与安全运维目标相适应的人员，重要运维岗位宜配备AB角；c)宜配备具有网络安全技能资质的人员，参考的资质见附录A。7.3授权与审批6授权与审批要求包括：a)应建立安全运维的授权机制，并对安全运维人员的权限进行统一管理和控制；b)授权应遵循最小权限原则，只授予安全运维人员完成工作所需的最小权限；c)安全运维人员岗位发生变化时，应及时收回或调整相应权限；d)应建立安全运维活动的审批机制，安全运维活动主要包括运维任务下达及执行、重要区域访问、系统接入，以及对安全运维对象及资源的变更管理等，变更包括：——安全运维组织、人员及权限的调整；——安全运维策略或规程的更改；——软硬件设备更换或参数调整；——软硬件设备版本升级或新功能开发；——新技术运用等。e)应建立突发、紧急事件的快速授权机制及审批流程，明确启动触发条件，避免该机制被滥f)应定期对授权和审批进行审计，评估授权及审批管理的有效性和合规性。审计内容包括权限的授予、使用、变更和撤销，以及运维活动对应的审批流程等。7.4沟通和合作授权与审批要求包括：a)应建立安全运维组织的内外部沟通合作机制，方式包括：——信息共享，如建立共享的信息平台、知识库等；——定期总结和汇报；——开展协同工作和应急处置；——组织或参加会议；——组织或参加技术交流和竞赛等。b)应建立与上级主管部门、内外部网络安全相关单位的沟通合作，并建立联系列表。外部联系单位包括：——网络安全主管部门；——行业主管部门、行业协会、同行业单位；——业务系统涉及的相关机构，如软硬件厂商、外包服务商、网络或云服务运营商等；——网络安全服务机构等。7.5教育和培训教育和培训要求包括：a)应建立安全运维培训体系，保证必要的培训经费，并根据安全运维目标、策略或岗位设计相应的培训课程（培训内容可参照GB/T42446-2023中5、6的规定）、制定培训计划；b)应确保培训内容具备针对性和实用性，内容宜包括网络安全基础、专业技能、安全管理、实践案例等，并通过训后考试、随机抽测、问卷调查等方式评估培训质量；c)应采取多样化培训方式，如线上下课程、研讨分享、实操演练、攻防实战等；d)应定期组织开展安全运维培训，培训周期如下：——日常安全培训列入工作计划，每季度宜开展1次；——专项安全培训应列入培训计划，每年宜开展1次；——重要风险预警及处置、上级主管部门组织的专题培训实时开展；——外部机构组织的能力提升、资格认证类培训列入培训计划，每年宜开展1次。77.6人员录用人员录用的要求包括：a)应确保招聘录用的安全运维人员与岗位需求和职责相匹配；a)安全运维管理、审计岗位应由内部人员担任；b)应对安全运维人员的身份、背景、资质进行审查。当人员的身份、安全背景等发生变化时，应重新进行安全背景审查；c)安全运维人员应在上岗前签署网络安全相关责任书和保密协议。7.7人员离岗人员离岗的要求包括：a)重要安全运维岗位人员离岗前，应及时对离岗可能产生的风险进行评估，并制定相应措施；b)安全运维人员离岗时，应在完成工作交接后及时进行敏感信息处理，如敏感资料、权限证书、密钥等，并收回权限，删除或停用系统账号；c)应对安全运维人员进行离岗前安全审查，签署书面保密协议。如果有脱密要求的，应在规定的脱密期限后方可离岗；d)应留存安全运维人员离岗的相关记录。7.8外包运维安全管理外包运维安全管理的要求包括：a)应确保选定的外包运维服务机构符合GB/T32914的规定；b)应与选定的外包运维服务商签订相关的协议，约定的内容包括：——外包运维的范围；——工作内容；——安全要求；——保密要求；——考核机制等。d)应保证所选择的外包运维服务商，在安全技术和管理方面的能力均符合系统相应等级的安全要求，并将能力要求在签订的协议中明确，运维外包服务商宜具备相应的网络安全服务资质，服务资质可参见附录表A.2。c)应对外包运维过程进行实时监控，并定期对服务质量进行评价，评价内容包括：——项目管理，评价项目的执行情况；——组织和人员，评价岗位设置是否合理，运维人员的能力素质等；——服务质量，评价运维目标的实现、运维策略的执行情况等；——技术和设备，评价在安全运维过程中采用的技术和设备使用情况和运用效果；——事件响应，评价安全事件的响应和处置能力；——成本效益，评价项目的成本支出以及所取得效益。7.9外部人员访问管理外部人员访问管理的要求包括：a)外部人员访问安全运维相关的重要场所或系统应通过审批；b)应对外部人员明确安全及保密要求，有必要的应签订安全或保密协议；c)应对外部人员访问做好记录，并对访问的全过程进行监督控制；d)因工作需要为外部人员临时开放的权限，应在工作结束后立即收回。87.10绩效评估绩效评估的要求包括：a)应建立运维组织绩效评估指标，包括：——业务指标，如运维目标达成、流程控制等；——财务指标，如费用支出、效益及风险控制等；——人力资源指标，如团队协作、学习成长、人员激励考核等。b)绩效评价方法可采用KPI（关键绩效指标）、OKR（目标与关键成果）、BSC（平衡记分卡）等方法；c)应定期开展绩效评估，可采用自评估与外评估相结合的形式，并及时向运维团队反馈评估结8安全运维规程8.1安全运维管理8.1.1资产管理本项要求包括：a)需要首先识别其资产，资产可分为以下两个主要类别：1）主要资产，主要资产包含业务过程、信息和数据资产。其中数据资产是组织拥有或者控制的，能进行计量，为组织带来价值的数据资源。2）支撑性资产，支撑性资产包含硬件、软件、网络、人员、场所及组织结构。b)可通过主动探测、被动分析，以及信息调研的方式对资产进行测绘，发现网络中的资产。c)应明确资产的重要性，可参考GB/T31722—2015中附录B的方法计算资产的价值。d)应对资产进行分类分级，根据资产类型分别建立详细的资产清单并采用统一的资产编码对资产进行标识。e)资产清单应明确资产的类型、资产所属关系、资产间依赖关系、资产维护关系、部署关系、服务功能、基础软件版本、存放数据情况、与攻击目标相连情况、开放端口/服务、可访问位置与授权、覆盖的防护手段等。资产清单宜包含的主要记录元素见本规范附录B中表B.1。f)对于资产的变更应根据组织安全策略及时对资产清单进行更新。g)应通过技术手段实现对资产属性变更的监控、感知和预警。h)应根据组织安全策略定期对资产清单进行更新和维护，保证资产与目标保持一致，确保资产记录的真实性、一致性、正确性。i)应通过安全评估确认资产全生命周期中的安全风险并采取相应的安全措施保障资产完整性、机密性和可用性。8.1.2物理环境管理本项要求包括：a)物理环境的运行维护范围按GB/T51314-2018中3.1要求应包括电气系统、通风空调系统、消防系统和智能化系统。b)物理环境运行和维护的一般规定按GB/T51314-2018中4.1和5.1的要求。c)物理环境电气系统包括供配电系统、不间断电源和后备电源系统以及照明系统，该系统的运行和维护按GB/T51314-2018中4.2和5.2的要求。d)物理环境通风空调系统包括冷源和水系统、机房空调和风系统。该系统的运行和维护按GB/T951314-2018中4.3和5.3的要求。e)物理环境消防系统包括各类灭火系统、支撑消防机制运行的其它相关附属设施，该系统的运行和维护按GB/T51314-2018中4.4和5.4的要求。f)物理环境智能化系统包括环境和设备监控系统、安全防范系统，该系统的运行和维护按GB/T51314-2018中4.5和5.5的要求。g)办公环境宜建立和具备防盗窃、防破坏、防火以及安全监控的物理安全机制与措施。h)消防安全重点单位应当按照灭火和应急疏散预案，至少每半年进行一次演练，并结合实际，不断完善预案。其他单位应当结合本单位实际，参照制定相应的应急方案，至少每年组织一次演8.1.3密钥与密码设备管理本项要求包括：a)应指派经受保密上岗培训的专人负责密钥和密码设备的管理。密钥的管理按GB/T22081—b)密钥管理的策略设计必要时可参考或者应达到GB/43207-2023中附录C的要求。c)密钥生存周期管理可参考GB/T39786-2021中附录B。d)密码设备应放置在安全、保密的网络环境中。网络环境须采取有效隔离措施，避免无关人员接触。e)密码设备的操作和参数设置，应在有专人监督情况下由专业技术人专职进行操作并作记录。f)密码设备的维修、定期维护应由专业技术人专职负责。g)密码设备的销毁应遵照相关法规及内外部监管要求。8.1.4介质管理本项要求包括：a)基本要求：1）对脱机存放的各类介质（包括信息资产和软件资产的介质）根据存储信息的类别和重要级别进行分类分级与控制和保护，以防止被盗、被毁、被修改以及信息的非法泄漏。2）介质的归档和查询应有记录，对存档介质的目录清单应定期盘点；介质应储放在安全的环境中防止损坏；查询应有审批，明确使用人和传播范围的限定。3）应采取安全措施对介质的运输和传递过程进行保护。4）对于需要送出维修或销毁的介质，应防止信息的非法泄漏。5）移动介质应要求专用。每次使用移动介质（含软盘、U盘、移动硬盘、存储卡等）时，应先进行病毒安全查杀后才可以进行使用。b)异地存放要求：1)对介质进行标识和分类，存放在由专人管理的介质库中，防止被盗、被毁以及信息的非法泄漏。2)对存储保密性要求较高的信息的介质，其借阅、拷贝、传输须经相应级别的领导批准后方可执行，并登记在册。3)存储介质的销毁必须经批准并按指定方式进行，不得自行销毁。4)介质应保留2个以上的副本，而且要求介质异地存储，存储地的环境要求和管理方法应与本地相同。a)完整性要求：1)对重要介质的数据和软件必要时可加密存储。2)对重要的信息介质的借阅、拷贝、分发传递须经相应级别领导的书面审批后方可执行，各种处理过程应登记在册，介质的分发传递采取保护措施。3)对于需要送出维修或销毁的介质，应首先删除信息，再重复写操作进行覆盖，防止数据恢复和信息泄漏；对于存储过重要信息的介质宜进行不低于3次包含全1、全0和随机数据的数据写入覆盖。4)需要带出工作环境的介质，其信息应受到保护；宜采用小型密码箱存储、信息加密、介质本身加密等保护措施。5)对存放在介质库中的介质应定期进行完整性和可用性检查，确认其数据或软件没有受到损坏或丢失。b)加密存储的要求1)对介质中的重要数据必须使用符合加密强度要求的加密技术或数据隐藏技术进行存储。2)介质的保存和分发传递应有严格的规定并进行登记。3)介质受损但无法执行删除操作的，必须销毁。4)介质销毁在经主管领导审批后应由两人完成，一人执行销毁一人负责监销，销毁过程应做记录。8.1.5终端管理本项要求包括：a)用户在使用自己的终端计算机时，应设置开机、屏幕保护、目录共享口令。b)非组织机构配备的终端计算机未获批准，不能在办公、生产场所使用。因工作需要的情况，应在接入本地网络进行必要的安全检查，确认该终端计算机符合组织安全策略要求。c)原则上组织机构配备的终端计算机不可以接入非办公生产用网络环境。因工作需要的情况，应确认终端计算机已满足组织安全策略要求，具备相应安全防护机制并得到批准许可。d)及时安装经过许可的软件和补丁程序，不得自行安装及使用其它软件和自由下载软件。e)未获批准，严禁使用Modem拨号、无线网卡等方式或另辟通路接入其它网络。f)应根据组织管理要求，合理合规使用终端自带摄像头、拾音硬件、集成无线网卡、蓝牙通信组件、红外通讯组件、设备硬件扩展坞、USB接口、SD读卡器等嵌入式硬件及接口。g)需设置开机口令和屏保口令，口令标准等身份鉴别机制参考8.1.6访问与操作管理章节内容。h)重要部门的终端计算机应要求对磁盘存储采取加密措施保护存储数据的机密性。i)重要部门的终端计算机应有措施对硬件本身实现物理保护，防止发生终端丢失、机箱违规开启、内部组件的违规拆卸和添置安装。j)应安装统一的防病毒软件使终端具备对恶意程序、代码的检测和清除机制。应及时和定期升级反病毒软件。k)应定期对终端和相关软件进行安全漏洞扫描，并根据扫描结果及时安装补丁程序。l)应定期对终端和相关软件进行安全配置基线检查，并根据检查结果及时进行配置加固。m)终端的使用、借用、维修和报废应遵循组织管理要求并做记录。n)终端的维修和报废过程中应对存储的敏感信息进行备份、删除等操作，避免发生数据泄露的风险。8.1.6访问与操作管理本项要求包括：a)应为组织自有资源的所有访问者确定适当的访问及操作控制规则、访问与操作权及限制，其详细程度和控制的严格程度应反映监管及组织的安全要求，并能应对相关的信息安全风险。b)信息系统访问控制与操作包括用户ID管理，网络及系统访问控制以及数据访问控制，具体要求详见本规范附录B中B.2。8.1.7监测管理本项要求包括：a)应根据资产情况，确定监控管理的对象和级别，以发现异常行为实施有效预警，并采取适当措施评价潜在的信息安全事件。监控对象可包括：1）应用系统。2）支撑应用系统运行的系统软件、工具软件。3）网络及网络设备。4）安全设备。5）主机、存储、外设、终端等设备。6）电力、空调、消防等基础环境。7）业务数据。b)应建立网络安全监测体系并满足相关监测需求，具体详见本规范附录B中表B.3：c)应具备和使用安全产品监控工具作为监控管理的技术支撑，主要的安全监控产品分类和参考见本规范附录B中表B.4。d)监控工具应具备预定义阈值功能，具备数据统计分析能力，根据预定义阈值生成告警信息，可将告警信息通过管理控制台、电子邮件或即时通信系统等方式发送给指定人员，工具宜包括处理大量数据、适应不断变化的威胁形势及允许实时通知的能力。e)宜配置专人，开展实时或定期监控，接收告警信息并做出响应。宜建立识别和处理误报的规程，包括调整监视软件以减少未来误报的数量。f)宜建立含监控、告警、处置、信息上报的工作机制。8.1.8日志管理本项要求包括：a)设备、系统应具备日志记录功能，可记录验证、修改、控制、传输等日志信息，信息应至少包括时间、事件类型、操作主体、事件内容、操作结果（成功或失败）等内容。对已记录的日志信息应做好保护，用户不宜有修改、删除等权限，防止发生日志信息未经授权变更和销毁等情况。b)日志生成时间应由唯一确定的时钟产生，必要时需要配备NTP服务器，以保证各种数据的管理和分析在时间上的一致性。c)日志收集需保障及时性，避免过渡采集导致系统运行异常，信息传输过程中要确保日志信息的完整性和准确性。对分散在各个设备上的日志数据宜进行收集汇总和集中分析。d)设备、系统应配置足够的日志存储空间，保证信息存储的安全性、完整性，日志记录应至少保存6个月。包含敏感数据和个人可识别信息，宜采取适当的隐私保护措施。e)应启用日志审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计，应保证审计措施的有效性和时效性。审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；审计记录保存时长应不少于6个月。f)日志审计宜跟进业务重要程度定期开展：1）关键业务系统和设备，宜每周不少于1次审计。2）一般业务系统和设备，宜每月不少于1次审计。g)日志审计宜重点关注以下信息：1）实时监控和告警，关键业务系统和设备宜通过监控和告警机制，及时发现安全事件并触发响应。2）异常行为分析，发现异常行为或可疑事件，如未经授权的访问、数据泄露等。3）安全事件调查，当发现安全事件时，进行深入的调查和分析，以确定事件的原因、范围和影响。4）修复和加固，对发现的安全问题进行修复和加固，以消除安全隐患。5）审计报告和记录，对发生的安全事件进行报告和记录，以便对安全问题进行跟踪和管h)日志分析宜覆盖对事态的分析和解释，以帮助识别异常活动或异常行为。宜通过日志审计系/软件、网络安全管理平台等工具辅助人工开展日志检索、内容关联分析、图表呈现、报告生成与导出等功能提升日志分析工作效率。i)日志的销毁应符合监管要求及组织的安全策略要求。8.1.9备份管理本项要求包括：a)制定备份计划和时间表；b)运维备份的作业对象主要包括如下：1）业务系统运行产生的信息数据。2）支撑业务系统运行的外部信息数据。3）支撑业务系统运行的业务软件本身及其它支撑应用软件（如操作系统、数据库软件、中4）支撑业务系统运行的其它支撑性设施的（如网络设备、安全设备等）运行配置信息。c)应根据备份对象、备份时间、备份频率、备份方式、备份介质、备份模式等制定备份策略。d)应根据数据大小、保留时间和恢复速度等因素进行选择合适的备份媒介。e)应制定数据备份、恢复规范和操作流程及管理指导文档，保障不同数据存储过程的保密性，完整性、可用性和可追溯性。f)应针对备份过程及结果建立备份作业记录表单。记录表单主要记录元素见本规范附录B中表B.5。g)应启用数据备份产品存储空间使用监控功能，当存储空间已满或达到阈值时，告警提示。h)安全日志审计备份应不少于180天。i)应考虑和提供足够数量的备份拷贝，以确保在灾难和备份介质本身故障之后仍可以恢复业务信息和软件。备份拷贝应分别存储在主要场地和备份场地。j)备份拷贝要存储在有足够距离的远程地点，避免主要场地灾难时受到一并损坏。k)对于重要的业务应用至少要保留三代或若干周期的备份信息。对重要的业务信息数据可采取存储至少三份备份拷贝，使用两种类型的存储介质，并将一份备份拷贝存放到远程地点的备份方式。l)应对备份介质提供包括防盗、防火、防潮、防电磁辐射等在内的物理环境保护。m)应对备份拷贝进行安全管理并宜采用加密机制防止未经授权的访问和篡改、避免由于管理不善造成数据损坏、信息泄露等安全风险。n)应根据备份信息的重要性定期检查和测试恢复规程，确保备份拷贝的有效性。o)建立备份策略的监控机制，及时发现备份故障和异常，生成备份报告，以供分析和改进备份策略。p)安全应急演练中应包含数据安全演练内容，检验和保障备份与恢复机制和策略的有效性。q)备份介质的使用、利旧及报废应遵从组织的安全管理策略。r)对于超出组织明确保存期的备份拷贝，应根据组织的安全管理策略在进行安全评估后及时恰当的销毁这些备份拷贝。8.1.10变更管理本项要求包括：a)宜将变更控制规程文件化，并强制实施，以确保从早期设计到后续维护中整个系统开发生存周期内，信息处理设施和信息系统中信息的保密性、完整性和可用性。b)可纳入变更管理的安全运维工作主要包括：1）IT基础设施的扩容或缩减。2）软件或硬件的升级或降级。3）网络拓扑结构的调整。4）安全策略的调整。5）软件或硬件系统的配置更改。6）应用程序的代码更改。7）系统补丁更新。8）外部接口的变更等。c)应建立变更控制规程，且严格按照规程执行变更并对变更情况进行记录。建立变更控制的规程的考虑、变更流程的环节以及变更记录表的记录元素见本规范附录B中表B.6。d)变更应加强风险评估，评估应考虑以下内容：1）数据泄露风险。2）服务中断风险。3）安全漏洞风险。4）配置错误风险。5）兼容性问题风险。e)变更分级可分为4个级别：1）初级变更，针对一些较低风险或影响较小的变更，可以由业务部分负责人审批以及运维团队中的初级成员或系统管理员进行变更授权和执行；2）中级变更，针对一些中等风险或有一定影响的变更，需要由运维团队中的中级成员或高级系统管理员进行变更授权和执行；3）高级变更，针对一些高风险或影响较大的变更，需要由运维团队负责人或资深技术专家进行变更授权和执行；4）特别授权，针对一些特殊情况或紧急情况下的变更，可以由公司高层领导或跨部门协作小组进行特别授权和执行。8.1.11事件及响应管理本项要求包括：a)网络安全事件是由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对网络和信息系统或者其中的数据和业务应用造成危害，对国家、社会、经济造成负面影响的事件。b)网络安全事件的分类按GB/T20986-2023中5的规定。c)网络安全事件的级别按GB/T20986-2023中6.2的规定。d)应建立网络安全事件预警、处置、上报的安全管理策略、制度、机制和流程。e)应建立事件响应小组。事件响应小组团队成员应由组织领导、相关部门负责人、以及外部响应支撑机构相关人员组成。可聘请相关专业的技术专家和技术骨干组成专家组。f)应根据应急事件的级别和应急响应的场景制定应急响应预案。应急响应预案可以分为总体预案和针对某个核心系统、某个响应场景的专项预案。应急响应预案应包含以下主要内容：1）应急响应预案的编制目的、依据和适用范围。2）应急响应具体的组织体系结构及人员职责。3）应急响应的监测和预警机制。4）应急响应预案的启动。5）应急事件级别及对应的处置流程、方法。6）应急响应的保障措施。7）应急预案的附则。g)应制定应急响应培训计划，并组织相关人员参与。培训应使参训人员明确其在应急响应过程中的责任范围、接口关系，明确应急处置的操作规范和操作流程。培训应至少每年举办一h)为验证应急响应预案的有效性，使相关人员了解预案的目标和内容，熟悉应急响应的操作规程，并检测应急响应小组的处置能力，应进行应急演练。演练至少每年举行一次。演练应：1）预先制定符合演练目的的演练计划、演练脚本。2）演练开始前应确认演练活动的开展和保障条件。3）演练的整个过程应进行全程监控，应有详细记录，并形成报告。4）演练应不影响业务的正常运行。对于确有可能影响业务正常运行的情况，应提前进行风险评估，并向相关利益方进行预警或通告。5）演练结束后应进行活动总结，并将演练情况纳入应急响应工作评审。i)应定期针对应急响应工作进行评审，评审至少每年举行一次。审核的内容及审核时应考虑的因素见本规范附录B中表B.7。8.2检查8.2.1安全评估管理本项要求包括：a)运行维护阶段安全评估是掌握和控制信息系统及其支撑软硬件系统运行过程中的安全风险。评估内容包括在线运行信息系统及其支撑软硬件系统资产、面临威胁、自身脆弱性以及已有安全措施等各方面。b)安全评估的评估形式包括自评估、第三方评估和检查评估。1）自评估：由信息系统所有者自身发起，组成组织机构内部的评估机构，依据国家有关法规与标准，对信息系统安全管理进行的评估活动。2）第三方评估：由信息系统所有者委托商业评估机构或其它评估机构，依据国家有关法规与标准，对信息系统安全管理进行的评估活动。3）检查评估：由被评估信息系统所有者的上级主管部门、业务部门或国家相关监管部门发起的，依据国家有关法规与标准，对信息系统安全管理进行的评估活动。c)安全评估的范围应结合已确定的评估目标和组织的信息系统建设情况，合理定义评估对象和评估范围边界，可以参考以下依据作为评估范围边界的划分原则：1）业务系统的业务逻辑边界。2）网络及设备载体边界。3）物理环境边界。4）组织管理权限边界。5）其它。d)安全评估的具体场景除传统IT外，应包括可能涉及的云计算、移动互联，物联网、工业控制、大数据应用、跨国业务运维等场景。e)安全评估的方法主要包括：1）文档检查：检查被评估单位提交的有关文档（如系统配置文档、安全防护方案、自评估报告等）是否符合相关标准和要求；2）人工核查：根据评估方案和评估指导书，在合理的评估环境下，核查各项安全功能和防护能力是否与提交文档一致，是否符合相关标准和要求等；3）工具检查：根据评估方案，在被评估单位授权的前提下，选择适用的评估工具实施评估，工具可包括网络评估工具、主机评估工具、资产识别工具等。f)风险评估使用的工具可参考GB/T20984-2022中附录C。g)运行维护的评估内容包含：1）运行维护阶段的组织及人员，安全管理文件体系等保障措施。2）运行维护阶段的环境与资源管理、运行操作管理、系统维护管理、安全状态监控、密码与数据安全管理、业务连续性管理、变更控制与外包管理（包括供应链）、安全检查和持续改进等日常措施。3）运行维护阶段的监管合规性符合、风险管理、监督与检查等监督措施。h)风险评估实施的阶段性工作内容按GB/T20984-2022中5的要求。i)运行维护阶段的安全评估应常态化开展。具体要求如下：1）运营单位对本单位安全保护等级为第三级和第四级的信息系统定期组织开展自评估，评估周期原则上不超过一年；安全保护等级为第二级的信息系统定期开展自评估，评估周期原则上不超过二年。2）运营单位自行组织或委托评估机构开展的评估工作，评估周期原则上不超过二年；3）委托评估机构定期开展的第三方安全评估工作可结合等级保护工作进行。j)当信息系统业务流程、系统状况发生重大变更时，需及时进行安全评估。重大变更包括但不1）增加新的应用或应用发生较大变更。2）网络结构和连接状况发生较大变更。3）技术平台大规模更新。4）系统扩容或改造。5）系统运行维护管理机构或人员发生较大规模调整。8.2.2安全漏洞管理本项要求包括：a)应建立漏洞发现和报告、漏洞接收、漏洞验证、漏洞处置和漏洞跟踪的漏洞管理流程和机制。b)应通过漏洞扫描工具根据组织安全策略要求定期开展网络安全漏洞扫描，发现信息系统及其支撑软硬件系统中的脆弱性或漏洞。涉及的信息系统和其支撑软硬件系统具体包括：1)基础架构（含操作系统、数据库、中间件、通信协议）。2)应用系统（含通用软件、应用系统、虚拟化系统、大数据组件等）。3)硬件设备（含网络设备、安全设备、办公自动化产品、云平台及组件、物联网设备等）。c)网络安全漏洞的发现活动应包含以下原则：1)实施漏洞发现活动应遵循国家相关的法律法规；2)实施漏洞发现活动时，应主动评估可能存在对业务系统及其支撑软硬件运行的风险；3)实施漏洞发现活动时，活动覆盖的范围宜包括自有网络中和部署于外部网络中的信息系统及其支撑软硬件系统；4)宜采用单独、或者组合使用主动漏洞扫描、被动漏洞扫描，以及代理漏洞扫描等漏洞发现技术。d)应建立来自外部的网络安全漏洞信息接收渠道，接收渠道包括：1)信息系统及其支撑软硬件生产商；2)上级组织。3)监管机构。4)国家互联网应急中心。5)第三方安全运维机构。6)第三方威胁情报通告。e)在进行漏洞验证活动时，应主动评估可能存在对业务系统及其支撑软硬件运行的风险并建立可行的应急处置预案，漏洞验证宜通过仿真环境或备份环境来进行安全验证。f)网络安全漏洞的处置按照GB/T30276-2020中的5.4的要求进行。此外，网络安全漏洞处置的优先级别宜采取以下顺序：1)外网可探查、可利用。2)内网可探查、可利用。3)监管和舆情关注。4)尚不可探查、利用。g)应对网络安全漏洞的处置情况和结果进行跟踪以实现管理闭环。对于不能通过补丁加固方式消除的网络安全漏洞威胁应采取其它补偿措施/机制将该威胁降至组织可接受的网络安全风险程度。h)应根据漏洞扫描工具生产商的建议定期/及时对漏洞扫描工具进行系统和漏洞规则库的升级，以保持扫描工具处于最佳工作状态。8.2.3安全配置管理本项要求包括：a)应建立符合监管要求和组织内部安全策略要求的安全配置要求。b)应建立安全配置检查和报告、安全配置处置、安全配置跟踪的运维管理流程和机制。c)通过技术手段定期对信息系统及其支撑软硬件开展安全配置检查工作。涉及的信息系统和其支撑软硬件系统具体包括：1)基础架构（含操作系统、数据库、中间件、通信协议）。2)应用系统（含通用软件、应用系统、虚拟化系统、大数据组件等）。3)硬件设备（含网络设备、安全设备、办公自动化产品、云平台及组件、物联网设备等）。d)安全配置检查的主要检查项见本规范附录B中表B.8。e)在安全配置处置阶段，要求如下：1)应与业务部门、系统开发部门、第三方运维机构协同开展安全配置处置工作。2)在安全配置处置过程中应与业务部门进行深入分析，判断安全配置的修改是否影响业务系统的正常运行。3)对于已经确认的安全配置不合规项，在考虑了相关风险影响因素的基础上，应立即进行安全配置加固。f)应对安全配置的处置情况和结果进行跟踪以实现管理闭环。对于不能通过配置加固方式消除的安全威胁项应采取其它补偿措施/机制将威胁降至组织可接受的网络安全风险程度。g)应定期对组织内部制定的安全配置基线要求进行审核，以保持该安全配置要求符合最新的监管要求及组织安全策略要求。8.3外部协同8.3.1第三方人员管理本项要求包括：a)对第三方人员的管理可包含人员入场前，人员入场工作以及人员离场三个阶段。b)在第三方人员入场前阶段，应开展以下工作内容，但不限于这些内容：1）确认与供应商签署的合同，检查第三方人员是否符合约定的人员本身、人员数量、人员技术资格证明、人员能力以及人员背景要求；2）与供应商及第三方人员签署工作保密协议；3）向第三方人员进行安全管理相关培训，让其了解组织安全制度、安全要求、法律责任和安全处理程序；4）与第三方人员开展工作涉及的其它内部部门共同确认其开展工作需具备的工作方式、工作时间、工作位置、工作流程、访问资源、访问操作权限。识别第三方人员安全管理风险来源，确定其影响区域、对象、事件及原因，并制定相关风险处置预案，建立第三方人员违规处置机制；5）如第三方人员使用自有计算机终端开展工作，应检查其计算机终端，使其符合组织内部计算机终端的安全管理要求并满足开展工作过程中的相关网络安全要求。6）第三方供应商应提供己方相应的安全保障制度与措施说明。c)在第三方人员入场展开工作阶段过程中，应开展以下工作内容，但不限于这些内容：1）宜要求第三方人员在工作环境中佩戴胸卡或胸牌，表明其身份。对于通过QQ、微信等网络交流工具进行工作沟通交流的情况，应要求用户ID名称能被识别为第三方人员；2）通过管理和技术手段对第三方人员的工作过程进行安全监测和安全审计；3）定期回顾和评估第三方人员的工作情况；4）如工作过程中发生第三方人员更迭的情况，应删除/中止原有人员的账户和访问权限，对更迭人员应重新开展入场前安全管理工作。5）重要信息系统的系统管理员账户原则上不应提供给第三方人员。d)在第三方人员离场阶段，应开展以下工作内容，但不限于这些内容：1）在确认第三方工作已完成的情况下，需要与第三方人员开展工作涉及的其它内部部门共同确认删除第三方人员的账户及密码、访问操作权限；2）检查第三方人员的计算机工作终端，确定计算机终端存储数据符合保密要求及组织数据安全管理的要求；3）检查并按监管要求和组织安全管理要求妥善保管第三方人员的工作记录及相关电子/纸质工作文档。对符合失效要求的记录和文档应及时采取脱敏/销毁措施。8.3.2供应链管理本项要求包括：a)提供网络安全产品和服务的供应商应满足以下要求，包括但不限于，1）按照GB/T22080建立信息安全管理体系。2）设置与网络安全服及和产品安装维护规模相适应的专业部门或团队。3）网络安全服务及设备安装项目负责人具备2年以上相应网络安全服务项目经验。4）服务人员具备GB/T42446规定的网络安全服务相关知识与技能；熟练掌握《国家网络安全事件应急预案》《网络产品漏洞管理规定》等要求，接受岗前培训并经考核评定合格后上岗。5）网络安全产品应由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。b)应根据具体业务系统及其支撑软硬件系统的生命周期向产品和服务供应商购买售后维保服务，使产品和服务在维护、返回等服务运维阶段获得连续性、及时性的服务支撑保障。c)应对供应商及售后人员的应急事件的响应能力提出符合组织业务连续性需求的管理要求。d)对于发生故障的硬件产品，在返回维护前应检查产品内置存储介质是否存储了记录组织敏感信息的数据，应根据组织的数据安全管理策略采取包括数据备份、数据擦除、存储介质拆卸等安全措施避免发生数据泄露风险。e)对于维修后返回的硬件产品，宜检查产品软、硬件是否存在被替换、被植入、被篡改以及功能失效的情况。f)对用于升级更新的软件程序应确认其来源于供应商官方渠道，在安装前可通过计算哈希值并与官方公布哈希值进行比对，确认软件程序未遭受被替换和被篡改。g)对升级后的软件产品和返修后的硬件产品宜开展网络安全漏洞扫描工作，确认软硬件产品是否因升级和返修产生新的网络安全漏洞。h)应建立和供应商的信息通告和沟通联系方式，及时了解供应商发布的产品更新、产品缺陷及漏洞通告、应急处置措施等信息，在发生故障时能正确、及时联系供应商。i)在供应商售后人员到场维护过程中，应确认没有非合理改动硬件、改动系统软件配置、盗窃数据及预装程序等安全隐患发生。8.3.3安全验收管理本项要求包括：a)安全验收可分为安全验收准备、安全验收评估和安全验收确认三个阶段。b)安全验收可采用自验收和第三方验收。自验收是系统的拥有、运营或使用单位发起的对本得系统进行的验收。第三方验收是委托第三方负责实施的验收。c)服务类项目是包括由第三方机构开展的咨询、评估、培训、现场运维等类型的项目。该类项目在安全验收工作前，供应商应已完成所有的服务内容和内部评估、并提供可供复查的测试评估报告或有关机构的评估报告，准备好相关文件以备验收过程中使用。本规范附录B中表B.9列出常见文件清单，清单内容可根据实际情况进行多方协商、取舍和增减。d)服务类项目在安全验收评估中应评估以下内容，但不限于这些内容：1）评估合同及合同变更后约定的服务内容，确认是否已全部完成。2）评估约定的服务交付物，确认是否已全部完成。3）评估服务内容及服务交付物，确认是否已满足合同约定的服务交付质量。e)在安全验收确认阶段，验收结论应包含以下方面：1）安全验收评估阶段的内容和结论。2）验收不符合项。3）不符合内容对系统信息安全能力的影响分析。4）是否通过验收的建议。9安全运维支撑系统9.1检测识别类系统识别类工具包括并不限于：a)应采用资产测绘系统主动探测和被动流量监测获取资产指纹、网站、蜜罐、地理信息、DNS等信息；b)可采用安全配置核查系统自动获取网络设备、安全设备、操作系统、数据库、中间件、Web应用系统的配置，比对配置基线要求生成配置差距分析清单；c)应采用漏洞扫描系统对主机漏洞、网站漏洞、弱密码等进行探测；d)可采用网站安全监测系统对重要网站的可用性、安全性和性能进行监测和告警；e)应采用违规外联检测系统识别违规外联、违规内联、内外网交替使用等违规行为。9.2防护管理类系统防护管理类系统包括并不限于：a)应采用攻击面管理系统对潜在攻击者开展网络安全攻击时可能利用的所有数字资产、外部信息、脆弱性风险等数据集合进行攻击暴露面发现、判别、确认、管理，并协调内、外第三方对攻击面进行持续收敛；b)应采用资产管理系统同步资产测绘系统自动发现的资产指纹信息，结合人工补全信息，维护用途清晰、分类清晰、价值清晰、责任清晰的资产清单；c)可采用漏洞管理系统，对漏洞扫描、威胁情报及外部通报发现的漏洞信息，关联资产进行漏洞研判、处置、工单下发、复查、归档的全生命周期管理过程，形成持续管理的漏洞台账；d)应采用安全合规管理系统，对国家网络安全法律法规、政策、标准规范，以及区域、行业、企业的安全管理制度进行解读后生成合规控制点、检查点知识库，提供合规自评差距分析和整改跟踪功能，支撑风险评估、入网安评、等保差距分析、综合安全检查等场景；e)可采用安全运维流程管理系统，对网络数据安全管理制度中人员管理、安全建设管理、安全运维管理等环节要求的规范流程提供支撑表单和审批流程；f)应采用安全运维管理系统，为运维用户提供统一资源访问入口，借助身份认证接口实现对运维用户的身份鉴别，对资产及其账户等进行集中管理和授权，监控和审计运维操作过程，并对违规操作行为进行报警、阻断。9.3监测审计类系统监测审计类系统包括并不限于：a)应采用日志审计系统对信息系统中各类资产的关键日志进行集中采集、存储、分析；b)应采用主机审计系统对主机操作系统的关键行为进行审计；c)应采用网络审计系统对网络边界处网络通信中的协议、应用访问、网络流量等进行审计；d)应采用数据库审计系统对数据库的用户授权、数据操作系统进行审计；e)可采用应用审计系统对特定应用的用户登录、重要操作进行审计；f)可采用防火墙策略审计系统集中采集多台防火墙的策略配置，审计策略用途和变化情况，并分析策略合理性提供策略优化建议；g)应采用监控系统对基础设施、软硬件、数据的可用性、性能指标进行监测，支持对监控数据分析告警；h)应采用威胁信息监测系统采集大规模、多渠道的碎片式攻击或异常数据,集中地进行深度融合、归并和分析,形成与网络安全防护有关的威胁信息线索，并在此基础上进行主动、协同式的网络安全威胁预警、检测和响应；i)应采用态势感知系统采集网络流量、资产信息、日志、漏洞信息、告警信息、威胁信息等数据，分析和处理网络行为及用户行为等因素，掌握网络资产状况、流量变化、资产运行指标、脆弱性分布、攻击、异常行为、安全事件等安全态势，预测网络安全趋势，并进行展示和监测预警。9.4响应协同类系统响应处置类系统包括并不限于：a)可采用安全服务工作台，建立一个集中的信息系统运行状态收集、处理、显示及报警的系统，并统一收集与处理信息系统用户问题反馈。b)应采用信息通报系统，对安全事件的事前进行应急预案管理、事前预警、事中进行报送和跟踪管理、事后进行总结管理，建立应急响应培训计划台账、应急响应培训记录台账、应急演练活动记录台账；c)可采用安全编排与自动化响应系统将工作流程中涉及不同系统或一个系统内部的不同安全能力通过可编程接口（API）封装后形成安全能力接口、人工处理节点、逻辑判断等各类型流程节点，并按照一定的逻辑组合到一起形成剧本，完成某个特定安全事件响应操作；d)宜采用安全中台为安全能力的实现统一标准，将用户现在的网络设备、安全能力、业务系统、管理平台进行标准化整合，让安全能力以约定形式进行封装，并在此基础上支持不同种类安全能力的协同、不同性质平台系统的联动与不同岗位工作人员的协同。9.5系统自身安全要求各项安全运维支撑系统的自身安全保障要求包括：标识和鉴别、自身访问控制、自身安全审计、通信安全、支撑系统安全、产品升级、用户信息安全、密码要求等，应满足GB/T42250和及GB/T222397.1.4节安全计算环境中的规定。网络安全运维人员资质建议各岗位类别的网络安全运维人员资质建议如表A.1所示：表A.1网络安全运维人员资质建议表CISP（注册信息安全专业人员，渗透测试、电子取证、个人信息保护、密各网络安全运维单位资质建议如表A.2所示：A.2网络安全运维服务公司资质建议表安全运维规程涉及表单资产清单主要记录元素如表B.1所示：B.1资产清单主要记录元素123456789用户ID管理要求建议如表B.2所示：B.2信息系统访问控制与操作1用户账户可根据管理权限、访问操作的重要性、被访问系统及数据的重要性划户23456账户分配时必须同时生成相应的密码账户和密码应采取安全的传输方7应建立技术措施或启用设备/系统本身的安全机制在用户第一次登录8密码的设置应最少不低于8位，且应包含大小用字母或数字的密码登录场景，应通过双因子/多因子方式9应通过技术措施实现对口令的重复使用检测，密码尝试登录次数限制及错误登录达到上应定期对账户的登录情况、账户和权限的变更以及账户的生命应通过管理制度和安全培训使账户使用人知晓组1组织内部的网络可根据组织的部门架构、物理位置、业务系统的分类及重要应在网络设备及安全设备上设置不同的网络区域间的访问控制策略，策略的设定则2应通过安全通信协议、VPN安全网关、堡垒机等实现对网34应限制网络中特定端口的访问权限，应关闭高危、不必要的端口，防止未经授权5应通过网络审计、行为审计等技术措施实现对网络访6789宜针对每个业务系统维护一份访问控制及授权的文档，应定期开展安全评估，检测和发现网络及系统访问过程中可能1应根据监管要求及组织自身数据安全策略目标对组织内的数据进行分类分级,并根据业2应通过数据防泄漏、数据脱敏、数据加密、隐私计算、加密通讯等技术措施实现3监控体系内容建议表B.3所示：B.3监测体系内容123456789监测产品类别如表B.4所示：B.4监测产品类别1234567流量监测系统、协议分析系统、网络管理系统、89WEB应用防火墙、网页防篡改系统、网站数据库审计系统、数据防泄露系统、互联网舆情/备份作业记录表单主要记录元素建议如表B.5所示：B.5备份作业记录元素123456789变更控制规程的考虑、环节及变更记录表单记录元素建议参考B.6表B.6变更控制规程1234567123变更申报，运维人员或相关责任方根据变更需求向变更管4变更审批，包括对变更方案的业务评审、技56变更监控，在变更执行过程中，对变更的执行情况进行监7变更记录，对变更执行的全过程进行记录，包括变更时间8变更审计，定期对变更管理过程进行审计，检查变更方案的执行情123456789审核的内容及审核时考虑因素建议参考B.7表B.7应急响应工作审核12345612345可能影响应急响应的各类变更，如业务变更、基础设施67安全配置检查项建议如B.8表B.8安全配置检查内容123456789服务类项目验收准备文件建议参考B.9B.9服务类项目验收准备文件供应商通常准备文件123项目发起方通常准备文件编号文件内容12345678安全运维支撑系统功能要求C.1检测识别类系统C.1.1资产测绘系统资产测绘系统功能要求应包括：a)应通过主动探测扫描联网资产获取资产信息，资产信息包含但不限于：IP地址、MAC地址、端口、服务，信息类型包含但不限于：系统软件、操作系统及版本、数据库及版本号、软件组件、软件框架、开发语言、域名、证书、网站标题、备案信息、网络设备、安全产品、视频监控、物联网设备、工控设备、办公外设、企业应用等信息；b)应主动进行http协议的信息抓取，采集的信息包括访问路径、域名、请求头、服务、网站源码、标题等，保留原始数据信息；c)应识别常用协议，包含但不限于http、https、ftp、ssh、pop3、telnet、mysql、apf、stun、pptp、printer-job-language、irc、ndmp、netbus、nntp、vnc等协议；d)应支持网站爬虫，主动进行http/https协议的进行网站爬虫信息抓取，采集的信息包括访问路径、域名、请求头、服务、网站源码、标题等，并保留原始数据信息；e)应支持网页图标自动识别资产；f)应支持蜜罐资产识别，包括低交互蜜罐；json类型蜜罐、高交互类型蜜罐、定制化类型蜜罐g)应支持地理位置信息识别，包括IP地址与地理位置映射定位（经纬度、国家、城市等IP地址与ASN号关联；h)应支持IP地址自动与组织关联；i)可支持DNS解析与识别，包括域名解析IP地址、支持IP地址关联域名，支持识别常用DNS组件；j)可支持国内云服务商识别；k)可支持国内CDN和CDN厂商识别；l)应支持自定义资产指纹规则管理，能对特有资产指纹信息进行自定义，并识别资产成功；支持根据资产指纹规则名称、内容、类型、厂商查询规则。C.1.2安全配置核查系统安全配置核查系统功能要求应包括：a)核查对象应包括并不限于网络设备、安全设备、操作系统、数据库、中间件、Web应用系统b)核查内容应包括并不限于网络通信协议的安全设置、TCP/UDP端口管理、进程与服务管理、登录管理、账户及权限管理、密码管理、访问控制管理、系统资源管理、安全策略管理、事件告警管理、日志管理、审计策略管理、入侵防护管理；c)网络及安全设备配置核查遵循GA/T1545要求；d)应支持安全配置闭环管理，对不符合内容通过工单下发给相关责任人督促整改，跟踪过程支持状态标签形成跟踪台账；e)应支持导出配置核查合规情况报告。C.1.3漏洞扫描系统漏洞扫描系统的功能要求应包括：a）应支持自动更新和维护漏洞库的能力，确保能及时检测到最新的安全漏洞；b）漏洞库应覆盖各类操作系统、网络设备、中间件、应用程序和服务；c）应提供对操作系统、应用软件和服务的安全漏洞深入检测能力，包括但不限于缓冲区溢出、注入攻击、配置错误、弱密码等；d）应支持主动和被动两种检测模式，并可根据策略进行模拟攻击以验证漏洞存在；e）应对发现的漏洞进行风险等级评估和分类，提供CVSS评分或其他行业认可的风险评估体系；f）应支持按计划定期执行扫描任务，具备灵活的任务调度功能；g）扫描结果应以直观易读的格式输出，包含详细报告和可视化图表，同时可导出为PDF、CSV等多种格式；h）应支持根据组织的具体需求定制扫描策略，包括扫描速度、并发数量、告警阈值等参数；i）提供API接口以便于与其他安全系统对接。C.1.4网站安全监测系统网站安全监测系统功能要求应包括：a)应支持监测http和https网站，监测内容包括并不限于可用性、响应时间、网站服务器运行状态、木马、敏感词、非法暗链钓鱼、安全漏洞，遵循GA/T1550的规定；b)应支持网站漏洞检测；c)应支持对网站访问时延、DNS解析时延进行监测；d)应支持监测网站可用性。C.1.5违规外联检测系统违规外联检测系统功能要求应包括：a)支持违规外联监测：能伪造外网服务器的IP，给扫描目标发送扫描报文，扫描目标收到报文后，会向源地址即伪造的外网服务器地址回报文，外网服务器收到报文并解析，显示外联主机信息；b)违规内联设备检测，支持基于扫描方式检测网络中私自扩展的非法内联设备，可识别类型包括并不限于私自接入的无线AP、随身Wi-Fi、BYOD路由器设备、双网卡等；c)支持识别外联主机并告警，包括出口IP地址、地理位置、私网IP地址、外联时间、外联次数C.2防护管理类系统C.2.1攻击面管理系统网络资产攻击面管理系统功能要求应包括：a)应识别对象涵盖资产实体和资产属性，包括并不限于：(1)硬件资产：服务器、云主机、存储设备、网络设备、安全设备、物联网设备、终端设备(2)资产属性：IP地址、域名、子域名、端口、API、应用系统、证书等；(3)软件资产：操作系统、数据库、中间件、邮件系统、办公软件、安全软件等；(4)移动资产·：APP、公众号、生活号、小程序等；(5)数字资产：源代码、文档、账号、客户数据、业务数据等；(6)脆弱性风脸：漏洞、弱口令、配置核查、供应链安全、非法数据贩卖等；b)应具备多源资产数据接入能力。包括但不限于CMDB、资产测绘系统、终端管理平台、AD域等运维数据，以及NDR、EDR、HDR（含HIDS）等具备资产发现能力的安全产品，支持持续交叉验证、去重/扩充、属性补全、标记等操作；c)支持结合业务数据流、网络流量、访问拓扑等多个维度，综合描绘出资产之间的关系链，将原本不同组织的资产台账融合为统一的资产视图；d)应支持基于业务视角的资产属性完善与关联。通过“标签”对资产所属的业务线、系统应用、相关负责人等属性进行关联补充，体现出资产的业务价值等级、业务连续性要求等重要属性；每个属性的“标签”支持自定义添加；e)应支持收敛优先级提示，结合资产价值、业务权重、告警可信度、漏洞优先级等维度，提示攻击暴露面中的收敛优先级；m)应支持异常资产分析，包括资产异常上线、特定资产异常离线、开放高危端口、应用高危服务、使用高危软硬件产品等监控并告警；n)应支持对资产信息变化发现，并以时间轴的形式记录资产变化生命周期，记录信息包括但不限于MAC地址、端口、协议、服务、负责人、漏洞信息、地理位置、网站快照等；支持记录变化时间、变化前后信息、新增、减少；f)应支持风险要素收敛生命周期管理，将需要收敛的风险要素向相关负责人或维护人下发处置工单，跟踪事件的处置过程直至风险要素归档，归档状态包括并不限于关闭、接受、忽略C.2.2资产管理系统资产管理系统功能要求应包括：a)应支持关联资产测绘、攻击面管理等系统自动发现的信息，支持手工录入未能自动识别的资产信息，包括属性补全、价值判断、分类标记等；b)应能将资产数据编制成资产清单，信息资产的相关属性至少包括信息资产的名称、资产类型、登记时间、区域或位置、重要程度等；c)应支持维护信息系统信息，包括GB/T22240规定的定级信息，以及信息系统涵盖的软硬件资产信息、备案编号、测评结果等信息；d)应支持维护安全产品、商用密码产品的相关资质信息；e)应根据GB/T20984进行分类分级和计算资产价值；f)支持根据业务需要自定义资产模型，并为每个资产模型自定义资产属性；g)支持自定义资产模型之间的关系，包括并不限于隶属、包含和一对一、多对多关系，支持自动生成资产关联关系拓扑；h)支持资产分布的拓扑图绘制，支持拓扑图元素的增加、修改、删除；能在拓扑图上实时显示资产的分布状态、运行状态、故障报警等信息；i)应能实时监测资产运行状态：硬件资产状态至少包括在线状态、CPU使用率、内存占用率、存储空间使用情况等；软件资产状态至少包括被管理主机安装的操作系统、数据库管理系统和应用软件等软件资产的进程、服务运行状态等；j)应支持对资产数据进行产品类型、厂商统计、关键属性统计；k)应提供报警方式，通知授权管理员，报警内容包括并不限于资产安全策略不生效、资产运行状态异常、硬件资产的CPU使用率/内存占用率/存储空间使用情况等超过设定的阈值、用户鉴别失败的次数达到或超过指定阈值等；l)资产管理的信息维护、安全管理等要求需满足GA/T1359要求。C.2.3漏洞管理系统漏洞管理系统功能要求应包括：a)应支持多对源异构的开源和商业版本漏洞扫描系统的任务调度，支持漏洞数据的标准化处理，并基于CVE、CNVD、CNNVD进行归一化去重处理，降低漏洞数量和数据噪音；b)应支持导入或录入渗透测试数据；c)漏洞描述应遵循GB/T28458的规范；d)应支持发现不合规定的弱口令，支持自定义弱口令字典；e)应支持多源异构漏洞验证系统任务调度，对具备POC的漏洞进行验证和标记，支持自定义漏洞验证插件；f)应支持将漏洞与资产测绘数据关联，根据资产价值、被利用性、影响程度、环境等因素评估漏洞分级，分级指标及分级方法遵循GB/T30279-2020《信息安全技术网络安全漏洞分类分级指南》第6章的要求；g)应支持漏洞生命周期跟踪，支持将漏洞下发工单给相关责任人，跟踪状态包括并不限于未处理、待修复、待核查、已修复、忽略、误报、复现等；h)宜支持联动安全设备或网络设备，在不影响业务连续性的清下，对部分资产做临时下线处i)可支持对已修复漏洞进行修复自检；j)应支持对资产漏洞进行多种维度统计，如各标记数量统计、已修复漏洞数量、未修复漏洞数量、修复周期等；k)应支持导出漏洞整改、漏洞处置进展等报告。C.2.4安全合规管理系统安全合规管理系统功能要求应包括：a)应具备合规知识库管理功能，依据国家网络安全法律法规、政策、标准规范以及区域、行业、企业的安全监管要求分解合规控制项，并支持自定义维护知识库信息；b)应支持基于关键字对网络安全相关标准、制度进行全文检索，支持维护添加制度文件；c)应支持维护内部制度的修订记录、评审记录；d)应支持维护检查模版，从合规知识库中抽取合规控制项形成检查模板；内置支持风险评估、入网检查、等保差距分析等模板，支持自定义新增模板，支持