本篇為管理要求中系統(tǒng)運(yùn)維管理的部分，等級(jí)保護(hù)中內(nèi)容最多的一個(gè)章節(jié)。文中內(nèi)容都是個(gè)人觀(guān)點(diǎn)，如有不對(duì)的地方歡迎糾正。文章以等保三級(jí)系統(tǒng)為基礎(chǔ)，從合規(guī)角度解讀要求。

正文

本部分內(nèi)容有些地方看起來(lái)可能會(huì)和技術(shù)要求差不多，但是從管理和流程方面來(lái)約束的，主要考察管理制度的運(yùn)行情況。本部分內(nèi)容較長(zhǎng)，建議各位分段看，全部閱讀起來(lái)可能會(huì)需要較長(zhǎng)時(shí)間。

7.2.5 系統(tǒng)運(yùn)維管理

**a) 應(yīng)指定專(zhuān)門(mén)的部門(mén)或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；**b) 應(yīng)指定部門(mén)負(fù)責(zé)機(jī)房安全，并配備機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理；**c) 應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪(fǎng)問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定；**d) 應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來(lái)訪(fǎng)人員、 工作人員離開(kāi)座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒(méi)有包含敏感信息的紙檔文件等。** |

這里又把物理安全的內(nèi)容重新提了一遍，但重點(diǎn)是管理而非技術(shù)。

a) 機(jī)房的日常巡檢，一般是每日，也可以是三日，最多不能超過(guò)一周，不然有些說(shuō)不過(guò)去；這類(lèi)工作大部分是由運(yùn)維來(lái)負(fù)責(zé)，除了設(shè)備狀況和信息告警這類(lèi)常規(guī)檢查外，環(huán)境和設(shè)施也要檢查，比如溫濕度是不是在合理范圍內(nèi)、滅火系統(tǒng)的壓力表是否正常（對(duì)于指針位于紅色區(qū)域的滅火器材要及時(shí)更換）、強(qiáng)電設(shè)備及UPS運(yùn)行狀況有無(wú)異常、機(jī)房?jī)?nèi)有無(wú)凝露的情況等等。并且要有巡檢的記錄和巡檢人簽名。

b) 本條要求一般只要不是配線(xiàn)間級(jí)別的機(jī)房都會(huì)做得差不多，可能有些企業(yè)不會(huì)去做各種訪(fǎng)問(wèn)記錄、操作記錄，但檢查時(shí)看的就是這些記錄文檔；從管理角度來(lái)看，這些基礎(chǔ)的工作還是要做起來(lái)的，不能偷懶。

c) 小企業(yè)可能沒(méi)有機(jī)房制度或者太簡(jiǎn)單，大中型企業(yè)一般都有，這類(lèi)制度目前大同小異，都是模板式的文檔，可以根據(jù)自身情況修改一下，做成宣傳板掛到機(jī)房或管理室的墻上。

d) 這里是一些安全意識(shí)細(xì)節(jié)，也是不好管理的點(diǎn)，畢竟制度和要求可以有，具體能執(zhí)行的如何沒(méi)辦法有效控制。本條只是舉了幾個(gè)例子，其實(shí)目前不是檢查，而是督促企業(yè)加強(qiáng)安全意識(shí)教育和宣傳，不要因?yàn)槿鄙傧嚓P(guān)意識(shí)給企業(yè)帶來(lái)?yè)p失，不只是資金上，大公司還有企業(yè)形象層面的社會(huì)影響。

這里提的就是離職人員，一定要第一時(shí)間收回各種權(quán)限，門(mén)禁、鑰匙之類(lèi)物品；工作設(shè)備不用時(shí)要手動(dòng)鎖屏，或設(shè)置自動(dòng)鎖屏；關(guān)鍵區(qū)域外人及無(wú)關(guān)人員不得訪(fǎng)問(wèn)；敏感類(lèi)資料不要直接放在桌面，紙質(zhì)材料不能隨便至于辦公桌，會(huì)議討論的方案或系統(tǒng)架構(gòu)類(lèi)的信息要及時(shí)清除（在白板上臨時(shí)寫(xiě)的一些內(nèi)容）。

這類(lèi)細(xì)節(jié)其實(shí)很多，標(biāo)準(zhǔn)不可能窮舉。

a) 應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門(mén)、重要程度和所處位置等內(nèi)容；**b) 應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門(mén)，并規(guī)范資產(chǎn)管理和使用的行為；**c) 應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施；**d) 應(yīng)對(duì)信息分類(lèi)與標(biāo)識(shí)方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理。 |

資產(chǎn)管理一直都是大事，但一直不被重視，大多數(shù)公司摸不清自己的家底，存在邊緣資產(chǎn)。這種情況無(wú)論是管理還是安全層面都是潛在風(fēng)險(xiǎn)，等被人搞了才知道原來(lái)自己還有這么個(gè)東西在網(wǎng)絡(luò)中。

a) 由于標(biāo)準(zhǔn)比較老，這里提的還是紙質(zhì)的資產(chǎn)列表清單，當(dāng)前來(lái)看基本都是電子清單或者是資產(chǎn)統(tǒng)一管理平臺(tái)。建議如果有預(yù)算還是上一套資產(chǎn)管理系統(tǒng)，若是沒(méi)錢(qián)，那就辛苦點(diǎn)進(jìn)行資產(chǎn)梳理，盡可能避免存在邊緣未知資產(chǎn)。這里其實(shí)對(duì)于自己的東西還好（接觸過(guò)一個(gè)CIO，下邊每個(gè)員工的鼠標(biāo)鍵盤(pán)他都清楚，對(duì)資產(chǎn)管理非常重視，但是提到外包人員在企業(yè)內(nèi)部新建的資產(chǎn)清單情況，瞬間就心虛了），重點(diǎn)是第三方人員的管理，比如外包開(kāi)發(fā)軟件，要利用企業(yè)資源搭建開(kāi)發(fā)環(huán)境，測(cè)試環(huán)境，安服方面演練可能還會(huì)搭個(gè)靶場(chǎng)什么的，這幫人裝了多少個(gè)虛擬機(jī)，建了多少個(gè)數(shù)據(jù)庫(kù)，開(kāi)了多少端口，哪些設(shè)備連了外網(wǎng)，這些作為甲方坑內(nèi)不可能全都弄清楚，那么項(xiàng)目交付后，這些臨時(shí)的資產(chǎn)（硬件、軟件、信息類(lèi)）是否全部下線(xiàn)或卸載，以我的實(shí)際經(jīng)歷來(lái)看，大多安全主管、運(yùn)維主管都不清楚，CIO就更不知道了。所以，這里建議由系統(tǒng)去自動(dòng)發(fā)現(xiàn)和管理資產(chǎn)，盡可能減少人為低級(jí)別工作的參與度。

b) 有了上述的資產(chǎn)管理系統(tǒng)，制度就相對(duì)沒(méi)那么重要了，但不代表沒(méi)用，要約束一些基本原則和流程。

c) 資產(chǎn)梳理清晰之后，就要進(jìn)行分類(lèi)分級(jí)了，和數(shù)據(jù)類(lèi)似，有高中低之分，目的是明確哪些是關(guān)鍵資產(chǎn)，重點(diǎn)保護(hù)，出現(xiàn)問(wèn)題時(shí)要優(yōu)先處理；對(duì)于硬件資產(chǎn)要粘貼不易撕除的標(biāo)簽，說(shuō)明資產(chǎn)類(lèi)別、編號(hào)、SN號(hào)等信息，檢查時(shí)候會(huì)看。

d) 本條其實(shí)應(yīng)該在c前邊，對(duì)于資產(chǎn)分類(lèi)分級(jí)的依據(jù)說(shuō)明，有點(diǎn)像應(yīng)急預(yù)案中的安全事件等級(jí)定義；此外后邊還提到了對(duì)信息的訪(fǎng)問(wèn)權(quán)限、傳輸和存儲(chǔ)管理，可以歸為數(shù)據(jù)治理范疇，本人沒(méi)有深入接觸，所以只能提一句。等級(jí)測(cè)評(píng)時(shí)，主要做到不用級(jí)別的數(shù)據(jù)有訪(fǎng)問(wèn)權(quán)限設(shè)置，低級(jí)用戶(hù)訪(fǎng)問(wèn)高級(jí)數(shù)據(jù)要提交申請(qǐng)，審批后才允許訪(fǎng)問(wèn)，并對(duì)這個(gè)過(guò)程進(jìn)行記錄（各種日志），敏感信息存儲(chǔ)要加密或?qū)I(yè)的防護(hù)措施，傳輸過(guò)程要對(duì)通信加密。一般能做到這幾點(diǎn)，本條的要求點(diǎn)也就基本滿(mǎn)足了。

a) 應(yīng)建立介質(zhì)安全管理制度，對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷(xiāo)毀等方面作出規(guī)定；**b) 應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類(lèi)介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專(zhuān)人管理；**c) 應(yīng)對(duì)介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等情況進(jìn)行控制，對(duì)介質(zhì)歸檔和查詢(xún)等進(jìn)行登記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤(pán)點(diǎn)；**d) 應(yīng)對(duì)存儲(chǔ)介質(zhì)的使用過(guò)程、送出維修以及銷(xiāo)毀等進(jìn)行嚴(yán)格的管理，對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理，對(duì)送出維修或銷(xiāo)毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對(duì)保密性較高的存儲(chǔ)介質(zhì)未經(jīng)批準(zhǔn)不得自行銷(xiāo)毀；**e) 應(yīng)根據(jù)數(shù)據(jù)備份的需要對(duì)某些介質(zhì)實(shí)行異地存儲(chǔ)，存儲(chǔ)地的環(huán)境要求和管理方法應(yīng)與本地相同；**f) 應(yīng)對(duì)重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲(chǔ)，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類(lèi)和標(biāo)識(shí)管理。 |

介質(zhì)管理在檢查中算是一個(gè)重點(diǎn)，但是很多企業(yè)做得都不太好，包括一些大型知名企業(yè)，安全防護(hù)是做的不錯(cuò)，但一到內(nèi)部管理流程就一塌糊涂。

a) 介質(zhì)管理制度一定要求，哪怕簡(jiǎn)單的十幾行也可以；網(wǎng)上素材也有，參考一下結(jié)合企業(yè)實(shí)際情況進(jìn)行可落地的制度修訂。

b) 介質(zhì)要有專(zhuān)門(mén)的存儲(chǔ)空間，可以是倉(cāng)庫(kù)，可以是保密室、也可以是辦公室，只要你能保證存放在此空間的介質(zhì)得到有效保護(hù)就行，并且要制定專(zhuān)人管理（沒(méi)說(shuō)不能兼職）；一般我看到的多數(shù)就是一堆移動(dòng)硬盤(pán)、U盤(pán)直接放某人的抽屜里（磁帶之類(lèi)的一般還都有倉(cāng)庫(kù)存放），或者放檔案柜里。別說(shuō)保護(hù)了，就是當(dāng)一堆辦公用品在管。不過(guò)換個(gè)角度來(lái)看，外人也不知道這些東西會(huì)涉密，感覺(jué)就是一堆垃圾隨便亂堆。

c) 這塊我接觸到的企業(yè)沒(méi)有做到的，要求介質(zhì)在運(yùn)輸（物理傳輸太書(shū)面了）中要有相關(guān)要求和操作，保證數(shù)據(jù)安全；介質(zhì)也算資產(chǎn)，包括里邊存儲(chǔ)的數(shù)據(jù)，要盤(pán)點(diǎn)列入資產(chǎn)清單，存儲(chǔ)敏感信息的介質(zhì)使用和查看都要有審批和記錄。這點(diǎn)我印象比較深刻的好像是亞馬遜云的一個(gè)產(chǎn)品，好像叫Snowball，主要用于災(zāi)備運(yùn)輸，就是這玩意。

d) 本條就是對(duì)介質(zhì)使用、維修及銷(xiāo)毀的管理，對(duì)于環(huán)境外介質(zhì)使用的加密和監(jiān)控很難管理，這部分更多的還是建議制度和追責(zé)相結(jié)合，畢竟不是誰(shuí)都有錢(qián)搞DLP的，而且企業(yè)越大DLP越難實(shí)施。至于送修可能不太可能，除非意外，沒(méi)做備份，介質(zhì)里的數(shù)據(jù)很重要，必須去做數(shù)據(jù)恢復(fù)，那么這又涉及到恢復(fù)人員可能讀取或竊取企業(yè)資料的問(wèn)題，盡量避免這種情況發(fā)生。銷(xiāo)毀比較好說(shuō)了，報(bào)廢的介質(zhì)，盡可能徹底銷(xiāo)毀，不要叫給外部專(zhuān)業(yè)機(jī)構(gòu)去做，除非量特別大，一般可以給員工發(fā)個(gè)錘子，拿著一堆介質(zhì)去房間里發(fā)泄一下，尤其是研發(fā)同學(xué)（開(kāi)玩笑）。測(cè)評(píng)時(shí)重點(diǎn)會(huì)看介質(zhì)管理制度，使用、維修、銷(xiāo)毀、外帶的約束，此外這些操作的記錄要有。

e) 就是異地場(chǎng)外備份，此外某些機(jī)密信息（非數(shù)據(jù)庫(kù)、用戶(hù)信息數(shù)據(jù)）電子檔，要異地進(jìn)行備份；后邊還提到了一句備份的方式和要求必須一致，不能異地備份有另外一套策略。

f) 在前邊幾條我已經(jīng)一起啰嗦出來(lái)了，什么DLP啊，資產(chǎn)分類(lèi)分級(jí)啊；如果難以實(shí)施，那么最起碼的介質(zhì)分類(lèi)要做，這個(gè)不費(fèi)時(shí)間，加密實(shí)在不行就用bitlocker，一人管理介質(zhì)，一人管理密鑰（雖然不是很靠譜，但沒(méi)辦法窮嘛），或者買(mǎi)個(gè)保險(xiǎn)柜專(zhuān)門(mén)保存介質(zhì)，一人負(fù)責(zé)檔案室大門(mén)鑰匙管理，另一人負(fù)責(zé)保險(xiǎn)箱密碼和鑰匙（不能都由一個(gè)人去管，容易出事）。這是最便宜的控制方式了，此外介質(zhì)上要有標(biāo)簽。

**a) 應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線(xiàn)路等指定專(zhuān)門(mén)的部門(mén)或人員定期進(jìn)行維護(hù)管理；b) 應(yīng)建立基于申報(bào)、審批和專(zhuān)人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理；**c) 應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對(duì)其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過(guò)程的監(jiān)督控制等；**d) 應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷電等操作；**e) 應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。** |

偏運(yùn)維的管理，包括的制度其實(shí)比較多，差不多每一條都要有一個(gè)對(duì)應(yīng)的制度，而且，最特么煩的就是沒(méi)個(gè)制度都要跟一個(gè)流程，都要有過(guò)程記錄（可以是電子流程），這就很麻煩了，不過(guò)大企業(yè)標(biāo)準(zhǔn)流程就是這么搞的，真正跑起來(lái)之后其實(shí)也不錯(cuò)。

a) 機(jī)房巡檢里包括這些內(nèi)容，具體分工各企業(yè)會(huì)有不同，可以在監(jiān)控平臺(tái)進(jìn)行自動(dòng)化巡檢，比當(dāng)年省心多了。

b) 設(shè)備管理制度要求，信息類(lèi)物品的采購(gòu)要有規(guī)范，一般是采購(gòu)部的事情，所以這塊的制度我沒(méi)有寫(xiě)過(guò)。

c) 這部分和巡檢有重疊，定期巡檢查看設(shè)備狀況也算是維護(hù)的一個(gè)環(huán)節(jié)，不過(guò)從后半句的描述來(lái)看，應(yīng)該是指與供應(yīng)商之間的設(shè)備維修、更換、升級(jí)一類(lèi)的制度，可以簡(jiǎn)單寫(xiě)幾條。一般來(lái)說(shuō)，企業(yè)申請(qǐng)?jiān)O(shè)備維修或更換都會(huì)提審批，所以流程應(yīng)該不會(huì)少，就看有沒(méi)有人管理這些記錄。；

d) IT部門(mén)員工操作規(guī)范/手冊(cè)，呵呵，大多企業(yè)都沒(méi)有，不過(guò)也不算重點(diǎn)項(xiàng)，有最好，沒(méi)有也無(wú)妨，如果人手夠，事情不太多，可以試著做一下，好處也是有的，記得要添加主要設(shè)備的啟動(dòng)/停止、加電/斷電操作方法。

e) 這點(diǎn)對(duì)于當(dāng)前的企業(yè)來(lái)說(shuō)，我覺(jué)得是廢話(huà)，沒(méi)有誰(shuí)會(huì)不打招呼直接把核心交換、防火墻或路由器拆走帶出去吧。如果真有，那這種公司我覺(jué)得就不要搞什么IT了，不適合。檢查時(shí)，一是看機(jī)房制度，二是看審批記錄。一般是設(shè)備維修或更換才會(huì)帶離機(jī)房。

另外在終端層面，做得好的公司都會(huì)有策略，確保外部辦公設(shè)備的保密性；做得不好的，壓根不擔(dān)心，因?yàn)槟切〇|西丟了也無(wú)所謂。重點(diǎn)還是制度宣傳，追責(zé)和懲罰來(lái)約束。

a) 應(yīng)對(duì)通信線(xiàn)路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成記錄并妥善保存；b) 應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對(duì)措施；c) **應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。 |

a) 網(wǎng)絡(luò)監(jiān)控平臺(tái)，對(duì)機(jī)房所有設(shè)備進(jìn)行監(jiān)控，一般都會(huì)自帶報(bào)表生成功能；沒(méi)錢(qián)買(mǎi)，那就搞開(kāi)源好了，也可以用，主要好安全防范，不要被當(dāng)做突破口就好。

b) 流量分析、日志審計(jì)、態(tài)勢(shì)感知，配合做好應(yīng)急預(yù)案，基本就差不多了，態(tài)勢(shì)感知可能有點(diǎn)扯，但是前兩個(gè)應(yīng)該問(wèn)題不大。

c) 部署漏洞管理平臺(tái)，HIDS，可以參考下安騎士的那些功能，很像這種防護(hù)軟件。如果沒(méi)預(yù)算，那最基本的把補(bǔ)丁管理做好，這塊測(cè)評(píng)時(shí)也說(shuō)得過(guò)去。

**a) 應(yīng)指定專(zhuān)人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；b) 應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；**c) 應(yīng)根據(jù)廠(chǎng)家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；**d) 應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；**e) 應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對(duì)配置文件進(jìn)行定期離線(xiàn)備份；**f) 應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；**g) 應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入；**h) 應(yīng)定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。 |

管理的東西比技術(shù)還多，全做到可能性不大，投入人力和時(shí)間太多。中小企業(yè)確實(shí)搞不起，可以選擇性來(lái)做，成熟后再逐步完善。

a) 指定網(wǎng)絡(luò)管理員（AB崗，不可與其他運(yùn)維職位兼職），做好日常運(yùn)維工作，做好巡檢記錄；

b) 已經(jīng)說(shuō)的很明白了，制定一份網(wǎng)絡(luò)安全管理制度，包括配置管理（這里只提到了安全配置，其實(shí)網(wǎng)絡(luò)配置也要一起備份）、日志管理（6個(gè)月）、安全策略（根據(jù)實(shí)際情況來(lái)寫(xiě)）、補(bǔ)丁管理（之前說(shuō)的漏洞管理平臺(tái)）、密碼管理（一般3個(gè)月?lián)Q一次，8位以上，復(fù)雜度要求）。這只是為了應(yīng)付檢查來(lái)寫(xiě)的內(nèi)容，如果認(rèn)真去搞安全運(yùn)營(yíng)，還會(huì)涉及其他內(nèi)容。

c) 及時(shí)更新設(shè)備版本，規(guī)則庫(kù)，后邊很良心的還提示了，升級(jí)前做好備份工作。

d) 同樣是補(bǔ)丁管理的一個(gè)環(huán)節(jié)，定期漏掃已經(jīng)成為常態(tài)，不再是問(wèn)題了。

e) 最小化安裝原則，沒(méi)必要的服務(wù)和插件、軟件一律不裝，對(duì)于系統(tǒng)配置文件定期備份（建議不要超過(guò)一周），存儲(chǔ)到介質(zhì)或其他存儲(chǔ)設(shè)備。

f) 本條強(qiáng)調(diào)私自連接外網(wǎng)的情況，現(xiàn)在手機(jī)都可以開(kāi)熱點(diǎn)，筆記本一聯(lián)，防不勝防，考技術(shù)手段來(lái)防，策略設(shè)置比較復(fù)雜，增加額外成本，建議還是以思想教育為主，提高員工安全意識(shí)，這是最靠譜的。我說(shuō)的有點(diǎn)引申了，其實(shí)測(cè)評(píng)主要考察的就是能夠訪(fǎng)問(wèn)外網(wǎng)的設(shè)備，必須是經(jīng)過(guò)審批授權(quán)的。

g) 同f，加強(qiáng)安全意識(shí)，用懲罰來(lái)威懾。

h) 撥號(hào)上網(wǎng)具體指什么，這么多年一直沒(méi)有個(gè)明確的概念，個(gè)人感覺(jué)應(yīng)該就是私自連接外網(wǎng)的行為吧，技術(shù)要求中提出要能夠檢測(cè)內(nèi)部設(shè)備私接外網(wǎng)的行為，技術(shù)層面可以做，但是費(fèi)時(shí)費(fèi)力費(fèi)錢(qián)，從個(gè)人角度來(lái)看，說(shuō)到底還是加強(qiáng)管理更靠譜一些。

**a) 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪(fǎng)問(wèn)控制策略；**b) 應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；**c) 應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；**d) 應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定；**e) 應(yīng)指定專(zhuān)人對(duì)系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則；**f) 應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；**g) 應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為。 |

這里有點(diǎn)重復(fù)啰嗦了，不過(guò)也逐條說(shuō)一下。

a) ACL運(yùn)維層面都會(huì)去做，安全層面也會(huì)去做，最基本的劃好安全域，做好不同組別的邏輯隔離，不同權(quán)限的訪(fǎng)問(wèn)限制，基本也就夠了，再細(xì)的東西要看實(shí)際情況。

bc) 漏掃不再重復(fù)了。

d) 主機(jī)層面的安全管理制度，和前面的網(wǎng)絡(luò)安全管理制度其實(shí)差不多，不再重?cái)ⅰ?

e) 指定系統(tǒng)管理員（AB崗，不能兼職其他運(yùn)維職位），要有崗位職責(zé)說(shuō)明，注意做好權(quán)限分離，不要一個(gè)人擁有所有權(quán)限；系統(tǒng)同樣權(quán)限最小化原則。

f) 前邊說(shuō)的操作手冊(cè)，來(lái)了吧，這里是檢查是否按照操作手冊(cè)去執(zhí)行，記錄有沒(méi)有做，對(duì)于違規(guī)操作有沒(méi)有懲罰和處置記錄。

g) 一般駐場(chǎng)人員會(huì)做這個(gè)事情，不過(guò)現(xiàn)在大多配備日志審計(jì)和安全設(shè)備，有問(wèn)題會(huì)直接告警。如果這些設(shè)備都沒(méi)有，那要制定一個(gè)人定期查看這些日志，工作量較大。

**a) 應(yīng)提高所有用戶(hù)的防病毒意識(shí)，及時(shí)告知防病毒軟件版本，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查；**b) 應(yīng)指定專(zhuān)人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄；**c) 應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定；**d) 應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫(kù)的升級(jí)情況并進(jìn)行記錄，對(duì)主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書(shū)面的報(bào)表和總結(jié)匯報(bào)。** |

本節(jié)主要講主機(jī)層面的殺軟和網(wǎng)絡(luò)層面的防病毒設(shè)備。

a) 這條講了2點(diǎn)。1注意這里提的是用戶(hù)，除了員工還包括你的用戶(hù)；這就有點(diǎn)難搞了，內(nèi)部人員可以培訓(xùn)，外部人員可以在軟件使用幫助中加入安全意識(shí)提示標(biāo)語(yǔ)或描述，或者在用戶(hù)協(xié)議、操作手冊(cè)中體現(xiàn)防毒意識(shí)的內(nèi)容。2對(duì)于新的病毒和漏洞，及時(shí)告知用戶(hù)。

b) 定期殺毒，記得留記錄，檢查時(shí)要看你有沒(méi)有做過(guò)全盤(pán)掃描，周期頻率多久；對(duì)于linux這類(lèi)的系統(tǒng)，有的單位裸跑，中招了手工處理，如果有這樣的團(tuán)隊(duì)能搞定這事也可以，若不是，那你想好了現(xiàn)場(chǎng)怎么跟對(duì)方解釋。這里還隱含了一點(diǎn)，記住不要用破解版，你可以用免費(fèi)版，但不能盜版，如果發(fā)現(xiàn)用盜版，本條直接就GG了。

c) 及時(shí)更新病毒庫(kù)和版本。

d) 前邊還好，殺軟本身都會(huì)記錄查殺過(guò)的病毒文件，但是對(duì)已發(fā)現(xiàn)的病毒進(jìn)行分析和整理，并記錄匯總，這點(diǎn)做的其實(shí)不多，一般都是中招的病毒才會(huì)去分析，如果直接被攔下的可能不太會(huì)在意。作為普通甲方來(lái)說(shuō)，確實(shí)沒(méi)必要，但如果有自己的知識(shí)庫(kù)的，可以試著去做，檢查的時(shí)候不是非要去做，本項(xiàng)非一票否決項(xiàng)。

**應(yīng)建立密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。 |

這個(gè)沒(méi)必要說(shuō)了，密碼學(xué)東西很多，這里提到的是符合國(guó)家規(guī)定的密碼技術(shù)和產(chǎn)品。另外對(duì)于密碼管理要有制度。

**a) 應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的變更，并制定變更方案；b) 應(yīng)建立變更管理制度，系統(tǒng)發(fā)生變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，變更和變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施變更，并在實(shí)施后將變更情況向相關(guān)人員通告；**c) 應(yīng)建立變更控制的申報(bào)和審批文件化程序，對(duì)變更影響進(jìn)行分析并文檔化，記錄變更實(shí)施過(guò)程，并妥善保存所有文檔和記錄；**d) 應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序，明確過(guò)程控制方法和人員職責(zé)，必要時(shí)對(duì)恢復(fù)過(guò)程進(jìn)行演練。 |

變更管理時(shí)運(yùn)維的一個(gè)重要流程，企業(yè)應(yīng)該重視，包括乙方在內(nèi)。

a) 變更要提前申請(qǐng)，提交完整的變更方案，其中包括回滾方案；

b) 變更管理制度，網(wǎng)上很多，目前已經(jīng)很完善了，很多是針對(duì)項(xiàng)目的，運(yùn)維方面的也有。不多做解釋了，模板里寫(xiě)的都不錯(cuò)。

c) 變更要有流程，無(wú)論紙質(zhì)還是電子流程，要適用、合理，不能為了應(yīng)付弄個(gè)簡(jiǎn)化流程，這樣不合適，不利于企業(yè)日后管理，留存好記錄。

d) 這點(diǎn)就是回滾/恢復(fù)詳細(xì)方案（中止變更流程，包含在變更流程中，是一種特殊情況），對(duì)于重要系統(tǒng)的變更，要預(yù)先進(jìn)行演練，確認(rèn)方案沒(méi)問(wèn)題再予以實(shí)施。

**a) 應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；**b) 應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度，對(duì)備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行規(guī)范；**c) 應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒ǎ?*d) 應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過(guò)程的程序，對(duì)備份過(guò)程進(jìn)行記錄， 所有文件和記錄應(yīng)妥善保存；**e) 應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。 |

備份和恢復(fù)是重點(diǎn)檢查項(xiàng)，總結(jié)一下，主要會(huì)關(guān)注幾個(gè)點(diǎn)：

首先災(zāi)難恢復(fù)計(jì)劃時(shí)針對(duì)重要關(guān)鍵業(yè)務(wù)通，不是所有系統(tǒng)，一般系統(tǒng)只要有一定備份恢復(fù)可行方案即可，分優(yōu)先級(jí)做備份恢復(fù)管理；

制度必要要有；

關(guān)鍵系統(tǒng)實(shí)時(shí)備份，場(chǎng)外備份，異地備份，6個(gè)月至少；

有錢(qián)的搞雙活，沒(méi)錢(qián)的搞雙機(jī)雙線(xiàn)；

定期進(jìn)行災(zāi)難恢復(fù)演練，驗(yàn)證可行性、有效性，一般一年至少一次（建議）。

**a) 應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶(hù)均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；**b) 應(yīng)制定安全事件報(bào)告和處置管理制度，明確安全事件的類(lèi)型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；**c) 應(yīng)根據(jù)國(guó)家相關(guān)管理部門(mén)對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響，對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分；**d) 應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等；**e) 應(yīng)在安全事件報(bào)告和響應(yīng)處理過(guò)程中， 分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施，過(guò)程形成的所有文件和記錄均應(yīng)妥善保存；**f) 對(duì)造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報(bào)告程序。** |

應(yīng)急響應(yīng)管理，目前外包形式較多，有自己應(yīng)急團(tuán)隊(duì)的沒(méi)多少。大多企業(yè)關(guān)心的還是出事了盡快搞定，別影響有任務(wù)，別影響形象，不出事的情況：跟我有毛關(guān)系，搞它干毛。

a) 滲透或無(wú)意中發(fā)現(xiàn)的漏洞，及時(shí)上報(bào)，不要去搞事，現(xiàn)在是要關(guān)小黑屋的。有些乙方的工程師，水平還可以，沒(méi)事喜歡去挖洞，挖到了還喜歡去搞事，以前可能還好，最近如果還這么玩，估計(jì)很快會(huì)被公安請(qǐng)去喝茶。還有一點(diǎn)，沒(méi)有授權(quán)，不要去搞政府網(wǎng)站，不要作死。

bc) 應(yīng)急預(yù)案，不是那種隨便寫(xiě)寫(xiě)的，看后邊的要求，要包括事件分級(jí)、報(bào)告流程、應(yīng)急流程、還有操作方法等?？梢詤⒖肌秶?guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》。

de) 應(yīng)急預(yù)案的細(xì)節(jié)，對(duì)于一些常見(jiàn)的已知攻擊或病的，要在附件形式附上不同狀況的操作指導(dǎo)手冊(cè)。至于應(yīng)急響應(yīng)的流程和每步操作，建議去看下ISCCC的應(yīng)急處理資質(zhì)的要求，里邊雖然都是要求的內(nèi)容，但是對(duì)于每步該走什么，該留存什么都很詳細(xì)。官網(wǎng)可以下載《信息安全服務(wù)資質(zhì)自評(píng)估表-應(yīng)急處理類(lèi)填寫(xiě)指南》。

f) 這條說(shuō)的有點(diǎn)不太理解，中斷和泄露為什么要用不同的預(yù)案和流程，這類(lèi)可以定義為重大或特別重大安全事故，其實(shí)處理起來(lái)的過(guò)程差不多，只是造成的影響比較嚴(yán)重。有了解的同學(xué)可以解釋一下。

**a) 應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；**b) 應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；**c) 應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；**d) 應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；**e) 應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容，并按照?qǐng)?zhí)行。 |

和應(yīng)急響應(yīng)章節(jié)相關(guān)，屬于安全事件未發(fā)生前的預(yù)防措施。

a) 這條我是憑個(gè)人理解，針對(duì)不同的關(guān)鍵系統(tǒng)或基礎(chǔ)設(shè)置制定不同的應(yīng)急預(yù)案，由于業(yè)務(wù)原因應(yīng)急方式可能會(huì)存在不同，所以不是一套預(yù)案就能使用所有系統(tǒng)。一般是指較大的企業(yè)。

b) 這條純屬屁話(huà)，眾所周知，安全的預(yù)算你懂的。不過(guò)網(wǎng)安法出臺(tái)了，等保強(qiáng)制了，也可以拿這條規(guī)定試著跟領(lǐng)導(dǎo)提要求，萬(wàn)一同意了呢。O(￣__,￣)o

cd) 已經(jīng)白話(huà)了，不用再解釋了；都是每年至少一次，沒(méi)如果不做，測(cè)評(píng)時(shí)會(huì)扣分，印象中。

e) 建議和演練一起搞，每年修訂一次，1-2年可能不變，要說(shuō)3-5年還不變，就是扯了，一定要考慮預(yù)案的適用性，隨著系統(tǒng)和業(yè)務(wù)的變化也要及時(shí)變更。不只是應(yīng)急預(yù)案，同時(shí)也包括其他在行的制度和流程。安全是一個(gè)不斷循環(huán)的過(guò)程。

結(jié)尾

到此為止，等級(jí)保護(hù)測(cè)評(píng)介紹系列全部更新完成（說(shuō)實(shí)話(huà)，我都不信我能寫(xiě)完這個(gè)系列）。希望能夠幫到有需要的人，文中大多是個(gè)人經(jīng)驗(yàn)和理解，肯定會(huì)有不當(dāng)?shù)牡胤?，歡迎隨意吐槽和糾正。

等級(jí)保護(hù)測(cè)評(píng)系列介紹

等級(jí)保護(hù)測(cè)評(píng)（一）：物理安全

等級(jí)保護(hù)測(cè)評(píng)（二）：網(wǎng)絡(luò)安全

等級(jí)保護(hù)測(cè)評(píng)（三）：主機(jī)安全

等級(jí)保護(hù)測(cè)評(píng)（四）：應(yīng)用與數(shù)據(jù)安全

等級(jí)保護(hù)測(cè)評(píng)（五）：制度與人員安全

等級(jí)保護(hù)測(cè)評(píng)（六）：系統(tǒng)建設(shè)管理

等級(jí)保護(hù)測(cè)評(píng)（七）：系統(tǒng)運(yùn)維管理