文章正式开始前我们要知道等保2.0中安全通用要求的十个方面包括物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理。
今天我们来了解一下安全运维管理,他的核心概念是管好系统上线后的日常运行和维护过程中的安全风险。如果说“安全建设管理”是管系统“从0到1”的建设过程,那么“安全运维管理”就是管系统“从1到N”的长期运行过程。
他包括系统上线后各个环节的安全管控:环境管理(机房日常)、资产管理(有什么要保护)、介质管理(U盘、光盘、磁带)、设备维护管理(服务器、网络设备的维修保养)、漏洞和风险管理(发现漏洞、打补丁)、网络和系统安全管理(日常运维操作)、恶意代码防范管理(杀毒软件怎么管)、配置管理(系统配置怎么管)、密码管理(密码算法和产品)、变更管理(系统改东西要走流程)、备份与恢复管理(数据备份怎么管)、安全事件处置(出事了怎么办)、应急预案管理(出事后的预案和演练)、外包运维管理(外部公司帮你运维时的管理)。
第一级别安全运维管理共8个控制点,分别为环境管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、备份与恢复管理、安全事件处置。
第一级别安全运维管理下没有“资产管理”、“配置管理”、“密码管理”、“变更管理”、“应急预案管理”、“外包运维管理”这6个控制点。这些控制点是从第二级才开始出现的。
首先是第一控制点环境管理,原文是应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理(非人为灾害);应对机房的安全管理做出规定,包括物理访问、物品进出和环境安全等方面。(人为灾害)。
简单说就是机房不能没人管。要有专人负责机房的日常安全,包括:谁可以进机房要管住、空调和电力设备要定期检查、消防设施要确保能用。同时要把这些规定写成文档。
第一级别的底线是指定了机房负责人(哪怕就是管服务器的那个人)有机房出入管理(门禁或登记)定期检查机房设施(有记录最好)有简单的机房管理规定(书面)
第二控制点是介质管理,首先解释下什么是介质,简单说凡是能存数据、能拿走的东西,都叫介质。在等保标准中,“介质”通常指可移动的、能脱离计算机单独存放的存储设备。
比如服务器内置的硬盘虽然也是存储介质,但它的管理更多属于“设备管理”范畴,日常说的“介质管理”更侧重于U盘、光盘、移动硬盘、磁带这些需要“拿来拿去、借进借出”的东西。
介质管理的原文是应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点。
简单说就是存放数据的光盘、U盘、磁带、移动硬盘等介质,不能随便扔在桌上。要锁在安全的地方,专人管,并且要有清单,定期核对。第一级别最低要求是介质存放在安全环境(如带锁的柜子) 有专人负责管理且有介质清单,定期盘点。
第三控制点是设备维护管理,要求是应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理。
简单说就是服务器、路由器、交换机、备机、网线等,要有专人定期检查、维护。不能等坏了才想起来。最低要指定了设备维护负责人并定期进行维护(有维护记录最好)
第四控制点是漏洞和风险管理,原文为应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
简单的说就是要主动去发现系统有什么漏洞(比如用扫描工具、关注安全公告),发现漏洞后要及时打补丁。如果暂时不能打补丁,要评估风险有多大。具体的最低要求是有识别漏洞的措施(如定期查看安全公告、使用基础扫描工具)且发现漏洞后及时修补。
第五控制点是网络和系统安全管理,要求是a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限;b) 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制。
简单说就是不能所有人都用同一个管理员账号。要区分谁管什么(比如一人管网络、一人管系统),并把职责写清楚。账号的申请、创建、删除要有流程控制,不能随便开账号。第一级别底线是区分了不同的管理员角色(即使是同一个人兼多职,但职责要分开描述)、明确了责任和权限、有账户管理流程(谁申请、谁批准、谁创建)
第六控制点恶意代码防范管理,原文是a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等;b) 应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等。
简单说就是要让大家有防病毒意识,外面的U盘、笔记本接入系统前要先杀毒。同时要有制度规定:杀毒软件要用正版的、病毒库要定期升级、要定期查杀。最底要求是1·对用户进行防病毒意识教育2·有制度规定杀毒软件的使用和升级3·外部设备接入前进行检查
第七控制点备份与恢复管理,要求是应识别需要定期备份的重要业务信息、系统数据及软件系统等;b) 应规定备份信息的备份方式、备份频度、存储介质、保存期等。
简单说就是要知道哪些数据是重要的、需要备份的(比如数据库、配置文件)。要写清楚:怎么备份(全量还是增量)、多久备份一次(每天还是每周)、备份存哪里、保存多久。最低要做到识别了需要备份的重要数据且有备份策略(方式、频度、存储介质、保存期)
第八控制点安全事件处置,原文是a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件;b) 应明确安全事件的报告和处置流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责。
简单说就是发现安全漏洞或可疑事件(如服务器被尝试登录、异常流量)要及时报告。要有制度规定:出了事谁负责处理、谁负责报告、谁负责恢复。最低要求有安全事件报告机制(知道找谁报告)有明确的处置流程(发现→报告→处理→恢复)
我总结了所有控制点的具体内容,表格如下所示
| 序号 | 控制点 | 要求简述(标准原文精简) | 第一级底线(最低要求) | 为什么会这样规定 |
|---|---|---|---|---|
| 1 | 环境管理 6.1.9.1 | a) 指定专人负责机房安全,对出入进行管理,定期对供配电、空调、温湿度、消防等设施维护; b) 对机房安全管理做出规定(物理访问、物品进出、环境安全)。 | • 指定了机房负责人 • 有出入管理(门禁或登记) • 定期检查基础设施(有记录最好) • 有书面机房管理规定 | 机房是系统的心脏。无人管理、随意进出、设施故障都可能直接导致系统宕机或数据丢失。最基本的物理环境管理是系统稳定运行的前提。 |
| 2 | 介质管理 6.1.9.2 | 将介质存放在安全环境中,实行专人管理,根据目录清单定期盘点。 | • 介质存放在带锁柜子等安全处 • 指定专人负责 • 有介质清单 • 定期盘点(核对在册) | 介质(U盘、光盘、移动硬盘)是数据泄露的高风险载体。不锁、不管、不盘,介质丢失或被偷,数据就跟着丢。第一级要求“管住物理存放”。 |
| 3 | 设备维护管理 6.1.9.3 | 对各类设备(包括备份和冗余设备)、线路等指定专人定期维护。 | • 指定设备维护负责人 • 定期进行检查维护(有记录更佳) | 设备老化、灰尘堆积、线路松动都会引发故障。定期维护是为了提前发现隐患,避免突发崩溃。 |
| 4 | 漏洞和风险管理 6.1.9.4 | 采取必要措施识别安全漏洞和隐患,及时修补或评估影响后修补。 | • 主动识别漏洞(如看公告、用基础扫描工具) • 发现漏洞后及时打补丁 | 漏洞是攻击者进入系统的“门”。知道有漏洞却不补,等于敞着门。第一级要求“有漏洞就补”,不要求复杂评估。 |
| 5 | 网络和系统安全管理 6.1.9.5 | a) 划分不同管理员角色,明确责任和权限; b) 指定专人进行账户管理,控制申请、建立、删除账户。 | • 区分了管理员角色(职责分开描述) • 明确各角色权限 • 有账户申请/创建/删除的流程控制 | 一人用所有高权限账号,出事无法追溯。账号管理失控(离职账号未删、临时账号不销)是常见内部风险。第一级要求“职责有分工、账号有流程”。 |
| 6 | 恶意代码防范管理 6.1.9.6 | a) 提高用户防恶意代码意识,外来设备接入前检查; b) 对防恶意代码软件授权使用、库升级、定期查杀等做出规定。 | • 有防病毒意识教育 • 有制度规定杀毒软件授权、升级、查杀 • 外来U盘/电脑接入前先查毒 | 恶意代码(病毒、木马)是最常见的威胁。有杀毒软件但不升级、不查杀,等于没有。制度确保杀毒措施真正落地。 |
| 7 | 备份与恢复管理 6.1.9.7 | a) 识别需要定期备份的重要数据; b) 规定备份方式、频度、存储介质、保存期。 | • 明确了哪些数据要备份 • 有备份策略(怎么备、多久备、存哪、存多久) | 备份是数据安全的最后一道防线。没有备份,硬盘坏了或系统被黑,数据就永久丢失。第一级要求“知道备什么、怎么备”。 |
| 8 | 安全事件处置 6.1.9.8 | a) 及时向安全管理部门报告安全弱点和可疑事件; b) 明确安全事件的报告和处置流程,规定现场处理、报告、恢复职责。 | • 有安全事件报告渠道(知道找谁) • 有明确的处置流程(发现→报告→处理→恢复) | 没有流程,出事就乱成一锅粥。第一级至少要有“出事找谁、怎么处理”的基本套路,防止延误和推诿。 |
小结:这个层面是系统上线后的“日常管护”第一级的要求集中在最基础的日常运维活动上——机房谁管、设备谁修、漏洞怎么补、备份怎么做、出事了找谁。
主要需要做到六件事机房设备有人治(环境管理+设备维护管理),介质存放要锁死(介质管理),漏洞补丁及时止(漏洞和风险管理),账号权限分开使(网络和系统安全管理),杀毒备份写纸字(恶意代码防范管理+备份与恢复管理),出事报告有机制(安全事件处置)。
//注:五一结束了,下一张是等保2.0安全通用要求的终篇,我将汇总文章给出表格,和我自己总结的模型划分,敬请期待。
)
