DB2101/T 0030-2021 网络安全管理评估规范.pdf
- 文档部分内容预览:
DB2101/T 00302021
各安全评估小组 一被评估方构成角色与职责说
6.1.5组织评估启动会议
6. 1. 6 现状调查
评估方应对被评估方开展现状调查,被评估方提供的信息应包括: a)被评估方负责人信息及人员组织架构; b)被评估方的网络设备、信息系统等基本信息; c)被评估方行业领域相关法律法规、政策文件和标准规范清单; d)主要运营业务及其工作流程; e)关键岗位从业人员信息; f)网络安全管理制度: g)安全防护基本情况以及曾发生的网络安全事件情况; h)近一年内自行或委托开展检测评估情况、接受有关部门抽查检 i)根据实际需要提供其他相关信息涂料标准规范范本,
6.1.7制定评估方案
评估方应制定网络安全评估方案,并得到被评估方的确认和认可。网络安全评估方案应包括但不 于以不内容: a)网络安全评估工作框架:包括评估目标、评估范围、评估依据等; b)评估团队组织:包括评估小组成员、组织结构、角色、责任; c)评估工作计划:包括各阶段工作内容、工作形式、工作成果等: d)风险措施:包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等; e)时间进度安排:评估工作实施的时间进度安排; f)项目验收方式:包括验收方式、验收依据、验收结论定义等:
DB2101/T0030202
g)项目管理制度:包括质量管理、风险管理、项目阶段确认书等; h)被评估方需要配合的事项清单; i)其他
6.1.8组织专项培训
6.2.1评估实施准备
评估方应对安全评估实施过程进行风险控制,可采取严格操作的申请和监护、操作时间控制、应急 预案制定、运行系统模拟环境搭建、关键业务系统采用人工评估、评估人员选取、评估现场安全培训等 风险控制手段,防止安全评估过程中引入的风险。 当评估活动由有关部门发起并委托安全服务机构进行时,评估方应获得该领域业务主管部门的认定 或者委托授权,被评估方应当提供评估所必要的软硬件条件和工作环境。
6.2.2现场评估实施
评估方应按照评估方案的要求,通过文档查阅、现场访谈、现场检查、现场测试4种方法对被评估 方所涉及的评估内容实施网络安全评估,并就发现的主要问题与被评估方进行现场签字确认: a)文档查阅应包括:查阅被评估方的系统规划设计方案、网络拓扑图、系统安全防护计划、安全 策略、架构、要求、标准作业程序、授权协议、系统互连备忘录、网络安全事件应急响应计划 等文档,评估其准确性和完整性; b)现场访谈应包括:依据评估实施之前准备好访谈问卷或调查表,补充在文档查阅中未被发现的 系统细节,进一步理解和洞察系统的开发、集成、供应、使用、管理等过程。现场访谈记录表 参见附录A; c)现场检查应包括:根据评估方案和评估指导书,在合理的评估环境下,检查各项安全功能和防 护能力是否与提交文档一致,是否符合相关标准和要求等; d)现场测试应包括:根据评估方案,在被评估单位授权的前提下,运用渗透测试、漏洞扫描等方 法直接在待评估系统现场环境上进行安全性测试。
6.2.3汇总评估结果
6.2.4分析问题隐患
6.2.4.1关键属性分析
DB2101/T 0030202
6. 2. 4. 2脆弱性识别
6. 2. 4.3威胁分析
6.2.4.4风险分析评估
6.2.5研究整改措施
评估方应根据评估内容中存在的安全风险类型,通过以下4种方式研究提出针对性的安全整改建议: a)接受。准备应对风险事件,接受风险的后果,包括积极的开发应急计划; b)消减。实施相应的安全措施减少风险发生的概率,包括完善安全管理制度、部署安全产品等; c)转移。对风险造成的损失的承担的转移,包括合同的约定,由保证策略或者第三方担保; d)规避。通过计划的变更来消除风险或风险发生的条件,包括安全加固、代码完善等。
6.2.6落实整改内容
被评估方网络安全管理部门应根据评估方的建议,组织相关单位和人员进行整改,安全整改应遵循 以下内容: a)被认定为关键信息基础设施的,应根据整改意见及时进行安全整改; b)应加强对整改效果和整改效率的管理,涉及到大范围整改时,可根据需要委托具有相应安全资 质或集成资质的机构进行整改措施的落实; c)整改完成后应组织评估方进行再次评估; d)对于不能及时整改的内容,应根据风险与责任之间的关系、风险的严重程度,通过风险转移、 制定整改计划和时间表进行风险的处置
6. 2.7 编写评估报告
DB2101/T00302021
评估方对评估工作进行全面总结,根据评估得到的结果,输出正式的评估报告(模板示例参见附录 ),报告应包括但不限于以下内容: a)被评估方描述:网络运营单位基本情况、网络拓扑情况、核心资产情况、承载业务情况和安全 防护现状; b)评估结果说明:评估项、评估内容、评估结果、发现的主要问题(安全漏洞、隐患和被攻击情 况等)及其详细描述; c)整改情况说明:整改项、整改内容、整改效果、未整改情况及其详细描述; d)安全风险分析:通过对评估中发现的安全问题及风险,汇总分析存在的安全隐患及造成的影响 e)安全状况评价:结合被评估方所承载业务重要性和威胁,综合评价被评估方的网络安全总体状 况
6.3.1组织评审会议
评审会应由被评估方组织,评估方协助,必要时可聘请相关专业的技术专家进行技术支持。评审会 议针对评估项目的实施流程、评估的结论、分析的模型与计算方法及评估活动产生的各类文档等内容进 行审核,并形成最终材料。评审会议应包括如下内容: a)组织人员应提供有关文档供评审人员进行检查,包括但不限于调研报告、评估方案、网络安全 评估报告等; b)评估项目组长及相关人员应对评估技术路线、工作计划、实施情况、达标情况等内容进行汇报, 并解答评审人员的质疑; c)评审会中,应由专门记录人员负责对评审会议内容进行记录; d)评审结束后,应形成评审结论,并由相关人员进行签字确认; e)评估方应将最终材料一并提交被评估方,作为评估项目结束的移交文档。
6.3.2评估结果反馈
评估方应根据被评估方的关键业务,查看关键信息基础设施相关材料,检查支撑关键业务的网络设 备和信息系统是否均纳入了认定范围,并检查下列内容: a)应如实上报支撑关键业务的网络设备和信息系统,避免存在漏报、误报、报的情况; b)关键信息基础设施的新建、更新、废弃等流程应符合相关规定; c)应开展网络安全等级保护工作,并依据关键信息基础设施法律法规要求实行重点保护,包括安 全机构设置、关键人员背景审查、系统和数据容灾备份等; d)应自行或者委托网络安全服务机构每年对其网络的安全性和可能存在的风险进行一次检测评 估; e)应建立健全的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息; f)应满足关键信息基础安全保护相关标准要求。
DB2101/T 0030202
7.1.2 个人隐私数据保护
7.1.3网络产品和服务供应链
评估方应检查被评估方采购的网络产品和服务,并检查下列内容: a)网络产品、服务应符合相关国家标准的强制性要求; b)网络产品、服务正式运行前或发生变更前应通过安全检测并记录 d)对可能影响国家安全的产品或服务,应通过国家安全审查; e)应通过采购文件、协议等要求产品和服务提供者配合网络安全审查
7.1.4网络安全等级保护
评估方应检查被评估方对等级保护要求的落实情况,例如等级保护定级备案证明、等级保护测 等。
7.2行业领域要求评估
评估方应查看被评估方提供的法律法规、 ,检查被评估方在相关行业领域 相关规定、标准的落实情况。
7.3安全管理措施评作
7.3.1网络安全组织管理
7.3.2网络安全日常管理
评估方应检查被评估方网络安全日常管理的基本情况,并检查下列内容: a)应制定网络安全工作的总体方针和目标,明确网络安全工作的主要任务和原则; b)应建立健全网络安全相关管理制度; c)应加强对人员、资产、采购等的安全管理,并保证网络安全工作经费投入
7.3.2.2人员管理
DB2101/T00302021
评估方应检查被评估方人员管理情况,并检查下列内容: a)应与重点岗位的计算机使用和管理人员签订网络安全与保密协议,明确网络安全与保密要求和 责任; b)应制定并严格执行人员离岗离职网络安全管理规定,人员离岗离职时应终止信息系统访问权限 收回各种软硬件设备及身份证件、门禁卡等,并签署安全保密承诺书: c)应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位 工作人员现场陪同,对访问活动进行记录并留存; d)应对网络安全责任事故进行查处,对违反网络安全管理规定的人员给予严肃处理,对造成网络 安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报
7.3.2.3信息资产管理
评估方应检查被评估方信息资产管理情况,并检查下列内容: a)应建立并严格执行信息资产管理制度; b)应指定专人负责信息资产管理; c)应建立信息资产台账(清单),统一编号、统一标识、统 发放: d)应及时记录信息资产状态和使用情况,保证账物相符: e)应建立并严格执行设备维修维护和报废管理制度。
7. 3. 2. 4 经费保障
评估方应检查被评估方经费保障情况,并检查下列内容: a)应将网络安全设施运行维护、网络安全服务采购、日常网络安全管理、网络安全教育培训、 网络安全检查、网络安全风险评估,网络安全应急处置等费用纳入部门年度经费保障范围; b)应严格落实网络安全经费预算,保证网络安全经费投入
7. 3. 2. 5 采购管理
7.3.3.2系统构成情况梳理
DB2101/T 0030202
评估方应检查被评估方信息系统相关的软硬件构成情况,了解掌握软硬件资产信息并记录结果,包 应重点梳理主要硬件设备类型、数量、生产商情况,硬件设备类型主要有:服务器、终端计算 机、路由器、交换机、存储设备、防火墙、终端计算机、磁盘阵列、磁带库及其他主要安全设 备; b)应重点梳理主要软件类型、套数、生产商情况,软件类型主要有:操作系统、数据库管理软件 公文处理软件、邮件系统及主要应用系统
7.3.4网络安全应急管理
评估方应检查被评估方网络安全应急管理情况,并检查下列内容: a)应制定网络安全事件应急预案,原则上每年评估一次,并根据实际情况适时修订; b)应组织开展应急预案的宣贯培训,确保相关人员熟悉应急预案; c)应每年开展网络安全应急演练,检验应急预案的可操作性,并将演练情况报网络安全主管部门: d)应建立网络安全事件报告和通报机制,提高预防预警能力; e)应明确应急技术支援队伍,做好应急技术支援准备; f)应做好网络安全应急物资保障,确保必要的备机、备件等资源到位; g)应根据业务实际需要对重要数据和业务系统进行备份。
7.3.5网络安全教育培训
评估方应检查被评估方网络安全教育培训情况,并检查下列内容: a)应定期开展网络安全宣传和教育培训工作,提高网络安全意识,增强网络安全基本防护技能; b)应定期开展网络安全管理人员和技术人员专业技能培训,提高网络安全工作能力和水平; c)应记录并保存网络安全教育培训、考核情况和结果
7.3.6外包服务管理
评估方应检查被评估方外包服务管理情况,并检查下列内容: a)应建立并严格执行信息技术外包服务安全管理制度; b)应与信息技术外包服务提供商签订服务合同和网络安全与保密协议,明确网络安全与保密责任 要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占 有服务过程中产生的任何资产,不得以服务为由强制要求委托方购买、使用指定产品; C1 信息技术现场服务过程中应安排专人陪同,并详细记录服务过程; d)外包开发的系统、软件上线应用前应进行安全测评,要求开发方及时提供系统测试用例及测试 结果、软件的升级、漏洞等信息和相应服务; 外包开发的系统、系统发生版本送代更新时,应要求开发方提供系统版本送代说明,说明内容 包含但不限于系统功能,影响范围等相应内容; f 信息系统运维外包不得采用远程在线运维服务方式。
立用系统安全防护(基本
DB2101/T00302021
7.3.8网络安全自评估
7.3.9网络安全风险规避
评估方应检查被评估方是否采取了网络安全风险规避措施,降低网络安全事件发生时产生的影响和 损失,并检查下列内容: a)应对安全投入及安全管控的持续性和有效性进行评估; b)应制定明确的风险转嫁策略机制; c)应根据评估结果采取损失补偿机制和风险防范机制,
评估方应检查被评估方安全技术措施基本情况,并检查下列内容: a)开展信息化建设与网络安全建设应按照同步规划、同步建设、同步运行的原则,建立健全的网 络安全防护体系; b)应根据信息化发展情况通过科学的方式制定了清晰的网络安全建设发展规划路线; )应基于业务链的关联关系进行网络安全风险分析;卧 d)应结合现有业务场景的变化、新兴技术的变化采取针对性的防护策略; 应随着业务的变化动态设置或调整网络安全防护体系框架。
7.4.2物理环境安全防护
评估方应检查被评估方物理环境安全防护情况,并检查下列内容: a)机房应采取防盗窃、防破坏、防雷击、防火、防水、防潮、防静电等安全措施: b)机房应配备备用电源,采取温湿度控制、电磁防护等安全防护措施; c)机房应采取物理访问控制措施,配备门禁系统或有专人值守。
DB2101/T 0030202
7.4.3关键设备安全防
评估方应检查被评估方关键设备安全防护情况,并检查下列内容: a)应定期对恶意代码防护设备(如防病毒网关)的恶意代码库进行更新; b)服务器(应用系统服务器、数据库服务器)应配置口令策略,包括口令强度和更新频率;应配 置安全审计策略,包括启用审计功能、留存操作记录、定期分析日志、对异常访问和操作及时 进行处置;应配置病毒防护策略,包括安装防病毒软件、及时更新病毒库;应及时更新补丁, 包括操作系统、数据库管理系统等的补丁; c)网络设备、安全设备,应配置口令策略,包括口令强度和更新频率;应配置安全审计策略,包 括启用审计功能、留存操作记录、定期分析日志、对异常访问和操作及时进行处置。
7.4.4应用系统安全防护(门户网站)
1.4.5重要数据安全防
评估方应检查被评估方重要数据安全防护情况,并检查下列内容: a)应采用技术措施(如加密、分区分域存储等)对存储的重要数据进行保护; b)应采取技术措施对传输的重要数据进行加密和校验 c)对于接口类应用程序,应采用校验技术或密码技术保证重要数据在传输过程中的完整性和 性,包括但不限于鉴别数据、重要业务数据和重要个人信息。
7.4.6停止安全服务应对处置
评估方应检查被评估方停止安全服务应对处置情况,并检查下列内容: a)应对仍在使用的停止安全服务的操作系统、数据库软件、中间件、应用系统的计算机进行归类, 并将其纳入重点防护范围: b)应针对操作系统、数据库软件、中间件、应用系统停止服务不能进行安全补丁更新的计算机制 定专门的安全保护方案,建立漏洞核查机制,持续监测漏洞的通报情况,并利用微隔离、入侵 防御、安全加固等技术手段加强计算机威胁传播、攻击和破坏的防御能力; )应卸载仍使用停止安全服务的操作系统、数据库软件、中间件、应用系统计算机中与工作无关 的应用程序,只允许安装及运行管理员确认过的软件;应禁用、限制使用USB设备;应关闭不 必要的服务和端口。 7.4.7 数据泄露及系统被控防护 评估方应检查被评估方数据泄露及系统被控防护情况,并检查下列内容: a)数据中心的设备机房应位于中国境内; b)采用第三方的云计算服务,应记录云计算服务商情况;
7.4.8网络边界安全防护
DB2101/T00302021
评估方应检查被评估方网络边界安全防护情况,并检查下列内容: a)非涉密信息系统与互联网及其他公共信息网络应实行逻辑隔离,涉密信息系统与互联网及其他 公共信息网络应实行物理隔离; b)建立互联网接入审批和登记制度,严格控制互联网接入口数量,加强互联网接入口安全管理和 安全防护; c)应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施,进行网络边 界防护; d)应根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进行 防护、对不同安全域之间实施访问控制; e)应对网络日志进行管理,定期分析,及时发现安全风险
1.4.9无线网络安全防
7.4.10电子邮件系统安全防护
7.4.11终端计算机安全防护
评估方应检查被评估方终端计算机安全防护情况,并检查下列内容: a)应采取集中统一管理方式对终端计算机进行管理,统一软件下发,统一安装系统补丁,统一实 施病毒库升级和病毒查杀,统一进行漏洞扫描; b)应规范软硬件使用,不得擅自更改软硬件配置,不得擅自安装软件; c)应加强账户及口令管理,使用具有一定强度的口令并定期更换; d)应对接入重要的终端计算机采取控制措施,包括双因素认证、实名接入认证、IP地址与MAC地 服务平 址绑定等; 应定期对终端计算机进行安全审计; f》非涉密计算机不得存储和处理国家秘密信息。
7.4.12存储介质防护
评估方应检查被评估方存储介质防护情况,并检查下列内容: a)应严格存储阵列、磁带库等大容量存储介质的管理,采取技术措施防范外联风险,明确存储数 据安全; b)应对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况:
DB2101/T 0030202
非涉密移动存储介质不得存储涉及国家秘密的信息,应在涉密计算机上使用; 移动存储介质在接入本部门计算机和信息系统前,应查杀病毒、木马等恶意代码; 应配备必要的电子信息消除和销毁设备,对变更用途的存储介质要消除信息,对废弃的存储介 质要进行销毁
7. 4. 13漏洞修复
评估方应检查被评估方漏洞修复情况,并检查下列内容: a)应定期对本单位主机、网络安全防护设备、信息系统进行漏洞检测,对于发现的安全漏洞及时 进行修复处置: b)重视自行监测发现与第三方漏 洞风险 及时处置
评估方应利用技术手段对被评估可能存在的脆弱性进行针对性的检测,主要包括: a)应重点对认定为关键信息基础设施的信息系统进行安全检测; b)应使用漏洞扫描等工具测试关键信息基础设施是否存在安全漏洞; c)应开展人工渗透测试,检查是否可以获取应用系统权限,验证网站是否可以被挂马、重改页面、 获取敏感信息等,检查系统是否被入侵过(存在入侵痕迹)等; d)应根据工作实际合理安排年度检测的服务器数量,每1年~2年对所有服务器进行一次技术检测 重要业务系统和门户网站系统的服务器应作为检测重点 e)应使用病毒木马检测工具,检测服务器是否感染了病毒、木马等恶意代码; f)应使用漏洞扫描等工具检测服务器操作系统、数据库、应用、端口、服务及补丁更新情况,检 应用、服务,是否存在安全漏洞
信息系统基本信息记录表见表A.1。
DB2101/T00302021
附录A (资料性) 记录表
表A.1信息系统基本信息记录表
DB2101/T 0030202
信息系统资产记录表见表A.2.
DB2101/T00302021
对风险进行计算,需要确定影响风险要素、要素之间的组合方式以及具体的计算方法,将风险要素 按照组合方式使用具体的计算方法进行计算,得到风险值。目前通用的风险评估中风险值计算涉及的风 险要素一般为资产、威胁、和脆弱性;这些要素的组合方式如图A.1风险计算原理中指出,由威胁和脆 弱性确定安全事件发生可能性,由资产和脆弱性确定安全事件的损失,以及由安全事件发生的可能性和 安全事件的损失确定风险值,
图B.1风险计算原理
使用相乘法计算风险(也可采用矩阵法),风险值=VT*V*VA*V,A(1~5)为资产值,T(1~5) 为威胁值,V(1~5)为脆弱性值。 按照上述方法进行计算,得到资产的风险值。为实现对风险的控制与管理,可以对风险评估的结果 进行等级化处理。等级化处理的方法是按照风险值的高低进行等级划分,风险值越高,风险等级越高。 风险等级一般可划分为五级。 确定风险等级划分如表A.1所示。
园林造价表B.1风险等级划分表
风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个 了相应风险的严重程度。表A.2提供了一种风险等级划分方法。
表B.2风险等级描述表
标准血压DB2101/T0030202
DB2101/T00302021
DB2101/T 00302021
....- 相关专题: 网络安全