机房等保测评,计算机的安全防范措施包括哪五种?
一级现在基本没人会去提及,所以我这里主要说下等级保护二级和三级的详细要求及差异分析,总共分为五大项:物理安全,网络安全,主机安全,应用安全,数据安全;管理制度这里没有说明,如有需要可以继续做相关提问;
格式说明
(等保要求:等保二级解决方案;等保三级解决方案;差异分析)
例: 入侵防范:部署入侵检测系统;部署入侵检测系统配置入侵检测系统的日志模块;三级相对二级要求配置入侵检测系统的日志模块,记录攻击源IP、攻击类型、攻击目的、攻击时间等相关信息,并通过一定的方式进行告警
物理安全
物理位置的选择:机房和办公场地应选择具有防震、防风和防雨等能力;应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;三级要求进行楼层的选择。
物理访问控制:按照基本要求进行人员配备,制定管理制度;同时对机房进行区域管理,设置过度区域、安装门禁;三级要求加强对区域的管理和重要区域控制力度。
防盗窃和防破坏:按照基本要求进行建设。制定防盗窃防破坏相关管理制度;按照基本要求进行建设配置光、电等防盗报警系统;三级根据要求进行光、电技术防盗报警系统的配备。
防雷击:按照基本要求进行建设;设置防雷保安器;三级根据要求设置防雷保安器,防止感应雷
防火:设置灭火设备和火灾自动报警系统;消防、耐火、隔离等措施;三级根据要求进行消防、耐火、隔离等措施
防水和防潮:采取措施防止雨水渗透、机房内水蒸气;安装防水测试仪器;三级根据要求进行防水检测仪表的安装使用
防静电:采用必要的接地防静电;安装防静电地板;三级根据要求安装防静电地板
温湿度控制:配备空调系统.
电力供应:配备稳压器和过电压防护设备,配备UPS系统;配备稳压器、UPS、冗余供电系统;三级根据要求设置冗余或并行的电力电缆线路,建立备用供电系统
电磁防护:电源线和通信线缆隔离铺设;接地、关键设备和磁介质实施电磁屏蔽;三级根据要求进行接地,关键设备和介质的电磁屏蔽
网络安全
结构安全:关键设备选择高端设备,处理能力具备冗余空间,合理组网,绘制详细网络拓扑图;在二级基础上,合理规划路由,避免将重要网段直接连接外部系统,在业务终端与业务服务器之间建立安全路径、带宽优先级管理;三级根据要求在以下方面进行加强设计:主要网络设备的处理能力满足高峰需求,业务终端与业务服务器之间建立安全路径、重要网段配置ACL策略带宽优先级
访问控制:防火墙,制定相应的ACL策略;防火墙配置配置包括:端口级的控制粒度,常见应用层协议命令过滤,会话控制,流量控制,连接数控制,防地址欺骗等策略;三级在配置防火墙设备的策略时提出了更高的要求
安全审计:部署网络安全审计系统;部署网络安全审计系统部署日志服务器进行审计记录的保存;三级对审计日志保存提出更高要求,需要采用日志服务器进行审计记录的保存
边界完整性检查:部署终端安全管理系统,启用非法外联监控以及安全准入功能;部署终端安全管理系统,在进行非法外联和安全准入检测的同时要进行有效阻断;三级相对2级要求在检测的同时要进行有效阻断
入侵防范:部署入侵检测系统;部署入侵检测系统配置入侵检测系统的日志模块;三级相对2级要求配置入侵检测系统的日志模块,记录攻击源IP、攻击类型、攻击目的、攻击时间等相关信息,并通过一定的方式进行告警
恶意代码防范:无要求;部署UTM或AV、IPS;三级系统 要求具备网关处恶意代码的检测与清除,并定期升级恶意代码库
网络设备防护:配置网络设备自身的身份鉴别与权限控制;对主要网络设备实施双因素认证手段进身份鉴别;三级对登陆网络设备的身份认证提出了更高要求,需要实施双因素认证,设备的管理员等特权用户进行不同权限等级的配置
主机安全
身份鉴别:对操作系统和数据库系统配置高强度用户名/口令启用登陆失败处理、传输加密等措施;对主机管理员登录时进行双因素身份鉴别(USBkey+密码);三级要求采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别
访问控制:根据基本要求进行主机访问控制的配置;管理员进行分级权限控制,重要设定访问控制策略进行访问控制;三级根据要求对管理员进行分级权限控制,对重要信息(文件、数据库等)进行标记
安全审计:部署主机审计系统;部署主机审计系统审计范围扩大到重要客户端;同时能够生成审计报表;三级要求能将审计范围扩大到重要客户端;同时能够生成审计报表
剩余信息保护:无要求;通过对操作系统及数据库系统进行安全加固配置,及时清除剩余信息的存储空间;三级要求对剩余信息进行保护,通过安全服务方式进行
入侵防范:部署网络入侵检测系统部署终端安全管理系统;部署网络入侵检测系统部署主机入侵检测系统部署终端安全管理系统进行补丁及时分发;三级要求对重要服务器进行入侵的行为,对重要程序进行代码审查,去除漏洞,配置主机入侵检测以及终端管理软件进行完整性检测
恶意代码防范:部署终端防恶意代码软件;部署终端防恶意代码软件;三级要求终端防恶意代码软件与边界处的网关设备进行异构部署
资源控制:部署应用安全管理系统进行资源监控;部署应用安全管理系统进行资源监控、检测报警;三级要求通过安全加固,对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况,对系统服务相关阈值进行检测告警
应用安全
身份鉴别:根据基本要求配置高强度用户名/口令;进行双因素认证或采用CA系统进行身份鉴别;三级根据要求进行双因素认证或采用CA系统进行身份鉴别
访问控制:根据基本要求提供访问控制功能;通过安全加固措施制定严格用户权限策略,保证账号、口令等符合安全策略;三级根据要求根据系统重要资源的标记以及定义的安全策略进行严格的访问控制
安全审计:应用系统开发应用审计功能部署数据库审计系统;应用系统开发应用审计功能部署数据库审计系统;三级要求不仅生成审计记录,还要对审计记录数据进行统计、查询、分析及生成审计报表
剩余信息保护:无要求;通过对操作系统及数据库系统进行安全加固配置,及时清除剩余信息的存储空间;二级无要求
通信完整性:采用校验码技术保证通信过程中数据的完整性;采用PKI体系中的完整性校验功能进行完整性检查,保障通信完整性;三级要求密码技术
通信保密性:应用系统自身开发数据加密功能,采用VPN或PKI体系的加密功能;应用系统自身开发数据加密功能,采用VPN或PKI体系的加密功能保障通信保密性;三级要求对整个报文或会话过程进行加密
抗抵赖:无要求;PKI系统;2级无要求
软件容错:代码审核;代码审核;三级根据要求系统具备自动保护功能设计,故障后可以恢复
资源控制:部署应用安全管理系统;部署应用安全管理系统;三级要求细化加固措施,对并发连接、资源配额、系统服务相关阈值、系统服务优先级等进行限制和管理
数据安全
数据完整性:数据校验传输采用VPN ;配置存储系统传输采用VPN ;三级要求在传输过程增加对系统管理数据的检测与恢复,配置存储系统
数据保密性:应用系统针对鉴别信息的存储开发加密功能;应用系统针对存储开发加密功能,利用VPN实现传输保密性;三级要求实现管理数据、鉴别信息和重要业务数据传输过程的保密性
备份与恢复:重要信息进行定期备份关键设备线路冗余;本地备份与异地备份关键设备线路冗余设计;三级要求进行每天数据备份且要求实现异地备份
希望对您有帮助。
三级等保需要屏蔽墙吗?
三级等保:应将主要设备放置在物理受限的范围内;应对设备或主要部件进行固定,并设置明显的无法除去的标记;应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;应对介质分类标识,存储在介质库或档案室中;设备或存储介质携带出工作环境时,应受到监控和内容加密;应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;应对机房设置监控报警系统。
c级机房能否过等保?
1. C级机房可以过等保。2. 因为C级机房在等保标准中已经满足了一定的安全要求,包括物理安全、网络安全等方面的要求,所以可以通过等保评估。3. 值得延伸的是,虽然C级机房可以过等保,但是在实际应用中,还需要根据具体的业务需求和安全要求,综合考虑各种因素,选择合适的机房等级来保障信息系统的安全性。
信息安全是什么?
基础讲解:信息安全是什么?信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)。
综合起来说,就是要保障电子信息的有效性:
保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人;
完整性就是对抗对手主动攻击,防止信息被未经授权的篡改;
可用性就是保证信息及信息系统确实为授权使用者所用;
可控性就是对信息及信息系统实施安全监控。
信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息安全专业是管理网络安全的一个专业。根据教育部《普通高等学校本科专业目录(2012年)》,专业代码为080904K,属于计算机类(0809)。具有全面的信息安全专业知识,使得学生有较宽的知识面和进一步发展的基本能力。
信息安全学科可分为狭义安全与广义安全两个层次:
狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;
广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。本专业培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。
如果你想进这个圈子,该怎么做?先看看这专业学生的介绍和看法:
知乎:https://www.zhihu.com/question/21367109
这有份指导路线:
希望对大家有所帮助,这是一些技能树,现在物联网大数据人工智能都需有信息安全领域的涉及!
对这职业的小看法:这是未来比较急需的职业,也是互联网经济的必然!
想进这个圈子不仅要有扎实基础,还要有安全思维,还要你有耐心以及兴趣!
如果有兴趣,有想法,不妨试试!
等保20配置清单?
安全物理环境
1.1 物理位置选择
本项要求包括:
a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;
b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
1.2 物理访问控制
机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
1.3 防盗窃和防破坏
本项要求包括:
a)应将设备或主要部件进行固定,并设置明显的不易除去的标识;
b)应将通信线缆铺设在隐蔽安全处。
1.4 防雷击
应将各类机柜、设施和设备等通过接地系统安全接地。
1.5 防火
本项要求包括:
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
1.6 防水和防潮
本项要求包括:
a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.7 防静电
应采用防静电地板或地面并采用必要的接地防静电措施。
1.8 温湿度控制
应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范園之内。
1.9 电力供应
本项要求包括:
a)应在机房供电线路上配置稳压器和过电压防护设备;
b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。
1.10 电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰。
2 安全通信网络
2.1 网络架构
本项要求包括:
a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
b)应避免将重要 络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
2.2 通信传输
应采用校验技术保证通信过程中数据的完整性。
2.3 可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
3 安全区域边界
3.1 边界防护
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
3.2 访问控制
本项要求包括:
a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。
3.3 入侵防范
应在关键网络节点处监视网络攻击行为。
3.4 恶意代码防范。
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
3.5 安全审计
本项要求包括:
a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
3.6 可信验证
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
4 安全计算环境
4.1 身份鉴别
本项要求包括:
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
4.2 访问控制
本项要求包括:
a)应对登录的用户分配账户和权限:
b)应重命名或删除默认账户,修改默认账户的默认口令; 。
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
d)应授予管理用户所需的最小权限,实现管理用户的权限分离。
4.3 安全审计
本项要求包括:
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
4.4 入侵防范。
本项要求包括:
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
b)应关闭不需要的系统服务、默认共享和高危端口;
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
4.5 恶意代码防范
应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
4.6 可信验证
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
4.7 数据完整性
应采用校验技术保证重要数据在传输过程中的完整性。
4.8 数据备份恢复
本项要求包括:
a)应提供重要数据的本地数据备份与恢复功能;
b)应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。
4.9 剩余信息保护
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
4.10 个人信息保护
本项要求包括:
a)应仅采集和保存业务必需的用户个人信息;
b)应禁止未授权访问和非法使用用户个人信息。
5 安全管理中心
5.1 系统管理
本项要求包括:
a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
5.2 审计管理
本项要求包括:
a)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b)应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
6 安全管理制度
6.1 安全策略
应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。
6.2 管理制度
本项要求包括:
a)应对安全管理活动中的主要管理内容建立安全管理制度;。
b)应对管理人员或操作人员执行的日常管理操作建立操作规程。
6.3 制定和发布
本项要求包括:
a)应指定或授权专门的部门或人员负责安全管理制度的制定;
b)安全管理制度应通过正式、有效的方式发布,并进行版本控制。
6.4 评审和修订
应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
7 安全管理机构
7.1 岗位设置
本项要求包括:
a)应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
b)应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。
7.2 人员配备
应配备一定数量的系统管理员、审计管理员和安全管理员等。
7.3 授权和审批
本项要求包括:
a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;
b)应针对系统变更、重要操作。物理访问和系统接入等事项执行审批过程。
7.4 沟通和合作
本项要求包括:
a)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题;
b)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通;
c)应建立外联单位联系列表,包括外联单位名称、合作内容,联系人和联系方式等信息。
7.5 审核和检查
应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
8 安全管理人员
8.1 人员录用
本项要求包括:
a)应指定或授权专门的部门或人员负责人员录用:
b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查。
8.2 人员离岗
应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、微章等以及机构提供的软硬件设备。
8.3 安全意识教育和培训
应对各类人员进行安全意识教育和岗位技能培,并告知相关的安全责任和惩戒措施。
8.4 外部人员访问管理
本项要求包括:
a)应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;
b)应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案;
c)外部人员离场后应及时清除其所有的访问权限。
9 安全建设管理
9.1 定级和备案
本项要求包括:
a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由;
b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;
c)应保证定级结果经过相关部门的批准;
d)应将备案材料报主管部门和相应公安机关备案。
9.2 安全方案设计
本项要求包括:
a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
b)应根据保护对象的安全保护等级进行安全方案设计;
c)应组织相关部门和有关安全专家对安全方案的合理性和正确性进行论证和审定,经过批准后才能正式实施。
9.3 产品采购和使用
本项要求包括:
a)应确保网络安全产品采购和使用符合国家的有关规定;
b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。
9.4 自行软件开发
本项要求包括:
a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制;
b)应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。
9.5 外包软件开发
本项要求包括:
a)应在软件交付前检测其中可能存在的恶意代码;
b)应保证开发单位提供软件设计文档和使用指南。
9.6 工程实施
本项要求包括:
a)应指定或授权专门的部门或人员负责工程实施过程的管理;
b)应制定安全工程实施方案控制工程实施过程。
9.7 测试验收
本项要求包括:
a)应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告;
b)应进行上线前的安全性测试,并出具安全测试报告。
9.8 系统交付
本项要求包括:
a)应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
b)应对负责运行维护的技术人员进行相应的技能培训;
c)应提供建设过程文档和运行维护文档。
9.9 等级测评
本项要求包括:
a)应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改;
b)应在发生重大变更或级别发生变化时进行等级测评;
c)应确保测评机构的选择符合国家有关规定。
9.10 服务供应商选择
本项要求包括:
a)应确保服务供应商的选择符合国家的有关规定;
b)应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务。
10 安全运维管理
10.1 环境管理
本项要求包括:
a)应指定专门的部门或人员负责机房安全,对机房出人进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理;
b)应对机房的安全管理做出规定,包括物理访问、物品进出和环境安全等:
c应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。
10.2 资产管理
应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
10.3 介质管理
本项要求包括:
a)应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点;
b)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。
10.4 设备维护管理
本项要求包括:
a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
b)应对配套设施、 软硬件维护管理做出规定,包括明确维护人员的责任、维修和服务的审批,维修过程的监督控制等。
10.5 漏洞和风险管理
应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
10.6 网络和系统安全管理。
本项要求包括:
a)应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限;
b)应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制;
c)应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定;
d)应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等;
e)应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。
10.7 恶意代码防范管理
本项要求包括:
a)应提高所有用户的防恶意代码意识,对外来计算机或存储设备接人系统前进行恶意代码检查等;
b)应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等;
c)应定期检查恶意代码库的升级情况,对截获的恶意代码进行及时分析处理。
10.8 配置管理
应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。
10.9 密码管理
本项要求包括:
a)应遵循密码相关国家标准和行业标准;
b)应使用国家密码管理主管部门认证核准的密码技术和产品。
10.10 变更管理
应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。
10.11 备份与恢复管理
本项要求包括:
a)应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b)应规定备份信息的备份方式、备份频度、存储介质保存期等;
c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。
10.12 安全事件处置
本项要求包括:
a)应及时向安全管理部门报告所发现的安全弱点和可疑事件;
b)应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等;
c)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。
10.13 应急预案管理
本项要求包括:
a)应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;
b)应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。
10.14 外包运维管理
本项要求包括:
a)应确保外包运维服务商的选择符合国家的有关规定;
b)应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容。
