漏洞和风险管理 a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补 a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限; b) 应指定专门的部门或人员进行账号管理,对申请账号、建立账号、删除账号等进行控制 a) ; a) ; b) ; c) 应建立网络和系统安全管理制度,对安全策略、账号管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定; d) 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等; e) 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。 网络和系统安全管理 恶意代码防范管理 a) 应提高所有用户的防恶意代码意识,告知对外来计算机a) ; b) ; a) ; b) 应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。 a) ; b) ; c) ; d) ; e) ; f) 应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库; g) 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据; h) 应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道; i) 应保证所有与外部的连接均得到授权和批准, 应定期检查违反规定无线上网及其他违反网络安全策略的行为。 a) ; b) ; a) ; b) ; a) b) c) d) e) f) g) h) i) ; ; ; ; ; ; ; ; ; a) ; b) ; 或存储设备接入系统前进行恶意代码检查等; b) 应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等 a) 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等 a) 应使用符合国家密码管理规定的密码技术和产品; b) 应按照国家密码管理的要求开展密码技术和产品的应用 a) 应明确系统变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。 c) 应定期验证防范恶意代码攻击的技术措施的有效性。 c) ; 配置管理 / a) ; b) 应将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库。 a) ; a) ; b) ; a) ; 密码管理 / 变更管理 / 备份与恢复管理 安全事件处置 a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; b) 应规定备份信息的备份方式、备份频度、存储介质、保存期等 a) 应报告所发现的安全弱点和可疑事件; b) 应明确安全事件的报告和a) ; b) ; c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等 a) ; b) 应制定安全事件报告和处置管理制度,明确不同安全事a) ; b) 应建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程; c) 应建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。 a) ; b) ; c) ; a) ; b) ; c) ; a) ; b) ; c) ; a) ; b) ; c) ; a) ; b) ; c) ; 处置流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责 应急预案管理 / 件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等; c) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训 a) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容; b) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障; c) 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练 a) 应确保外包运维服务商的选择符合国家的有关规定; b) 应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容 d) 对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。 d) ; 外包运维管理 / a) 应规定统一的应急预案框架,并在此框架下制定不同事件的应急预案,包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容; b) ; c) ; d) 应定期对原有的应急预案重新评估,修订完善。 a) ; b) ; c) 应确保选择的外包运维服务商在技术和管理方面均具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确; d) 应在与外包运维服务商签订的协议中明确所有相关的安全要求。如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。 a) b) c) d) ; ; ; ; a) b) c) d) ; ; ; ;
网络安全等级保护2.0-通用要求-表格版
