2024信息系統(tǒng)安全運(yùn)維管理規(guī)范第1部分：系統(tǒng)

信系統(tǒng) 安運(yùn)維理規(guī)第1部：通系統(tǒng)11122目??次信息系統(tǒng)安全運(yùn)維管理規(guī)范 1范圍 1規(guī)范性引用文件 1術(shù)語和定義 2縮略語 3安全運(yùn)維體系 3安全運(yùn)維原則 3安全運(yùn)維目標(biāo) 3安全運(yùn)維框架 3安全運(yùn)維策略 4安全運(yùn)維策略制定 4安全運(yùn)維策略評審 5安全運(yùn)維組織 5崗位設(shè)置 5人員配備 5授權(quán)與審批 5溝通和合作 6教育和培訓(xùn) 6人員錄用 7人員離崗 7外包運(yùn)維安全管理 7外部人員訪問管理 7績效評估 8安全運(yùn)維規(guī)程 8安全運(yùn)維管理 88.2檢查 148.3外部協(xié)同 17安全運(yùn)維支撐系統(tǒng) 19檢測識別類系統(tǒng) 19防護(hù)管理類系統(tǒng) 19監(jiān)測審計(jì)類系統(tǒng) 19響應(yīng)協(xié)同類系統(tǒng) 20系統(tǒng)自身安全要求 20附 錄 A （資料性）網(wǎng)絡(luò)安全運(yùn)維人員資質(zhì)建議 21附 錄 B （資料性）安全運(yùn)維規(guī)程涉及表單 22資產(chǎn)清單主要記錄元素 22信息系統(tǒng)訪問控制與操作 22監(jiān)測體系內(nèi)容 23監(jiān)測產(chǎn)品類別 24備份作業(yè)記錄元素 24變更控制規(guī)程 25應(yīng)急響應(yīng)工作審核 25安全配置檢查內(nèi)容 26服務(wù)類項(xiàng)目驗(yàn)收準(zhǔn)備文件 26附 錄 C （資料性）安全運(yùn)維支撐系統(tǒng)功能要求 27檢測識別類系統(tǒng) 27資產(chǎn)測繪系統(tǒng) 27安全配置核查系統(tǒng) 27漏洞掃描系統(tǒng) 28網(wǎng)站安全監(jiān)測系統(tǒng) 28違規(guī)外聯(lián)檢測系統(tǒng) 28防護(hù)管理類系統(tǒng) 29攻擊面管理系統(tǒng) 29資產(chǎn)管理系統(tǒng) 29漏洞管理系統(tǒng) 30安全合規(guī)管理系統(tǒng) 30安全運(yùn)維流程管理系統(tǒng) 31安全運(yùn)維管理系統(tǒng) 31監(jiān)測審計(jì)類系統(tǒng) 32日志審計(jì)系統(tǒng) 32主機(jī)審計(jì)系統(tǒng) 32網(wǎng)絡(luò)審計(jì)系統(tǒng) 33數(shù)據(jù)庫審計(jì)系統(tǒng) 33應(yīng)用審計(jì)系統(tǒng) 33防火墻策略審計(jì)系統(tǒng) 33監(jiān)控系統(tǒng) 34威脅信息監(jiān)測系統(tǒng) 34態(tài)勢感知系統(tǒng) 35響應(yīng)協(xié)同類系統(tǒng) 35安全服務(wù)工作臺 35信息通報(bào)系統(tǒng) 35安全編排與自動化響應(yīng) 36安全中臺 36信息系統(tǒng)安全運(yùn)維管理規(guī)范范圍本文件針對運(yùn)營單位的業(yè)務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全運(yùn)維的體系、規(guī)程、技術(shù)、團(tuán)隊(duì)、溝通協(xié)作、應(yīng)急響應(yīng)及應(yīng)急演練做出了規(guī)定。本文件適用于企事業(yè)單位信息系統(tǒng)的網(wǎng)絡(luò)安全運(yùn)維，也可作為組織開展網(wǎng)絡(luò)安全運(yùn)維的依據(jù)。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T1.1—2020標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則GB/T36626信息安全技術(shù)信息系統(tǒng)安全運(yùn)維管理指南GB/T25069信息安全技術(shù)術(shù)語GB/T4244632914GB/T31722-2015信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管GB/T51314-2018數(shù)據(jù)中心基礎(chǔ)設(shè)施運(yùn)行維護(hù)標(biāo)準(zhǔn)GB/T22081-2016信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南GB/T17901.1-2020信息安全技術(shù) 密鑰管理第1部分：框GB/43207-2023信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計(jì)指南GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T20986-2023信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南GB/T20984-2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估方法GB/T28453-2012信息安全技術(shù) 信息系統(tǒng)安全管理評估要求GB/T30276-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范GB/T22080信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T20984信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范GB/T30283信息安全技術(shù)信息安全服務(wù)分類與代碼GB/Z20985信息技術(shù)安全技術(shù)信息安全事件管理指南（所有部分）GB/Z20986信息安全技術(shù) 信息安全事件分類分級指南GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T22240信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南GB/T25058信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南GB/T25070信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T31495信息安全技術(shù)信息安全保障指標(biāo)體系及評價方法GB/T42250信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求GB/T42453信息安全技術(shù)網(wǎng)絡(luò)安全態(tài)勢感知通用技術(shù)要求GA/T1545信息安全技術(shù)網(wǎng)絡(luò)及安全設(shè)備配置檢查產(chǎn)品安全技術(shù)要求GA/T1359信息安全技術(shù)信息資產(chǎn)安全管理產(chǎn)品安全技術(shù)要求GB/T28458911信息安全技術(shù)日志分析產(chǎn)品安全技術(shù)要求GA/T1550209453664343557術(shù)語和定義GB/T25069-2022、GB/T30283-2022、GB/T32914-2023界定的術(shù)語和定義適用于本文件。GB/T25069中界定的以及下列術(shù)語和定義適用于本文件。密鑰key控制密碼變換操作的符號序列。病毒virus一種程序，即通過修改其他程序，使其他程序包含一個自身可能已發(fā)生變化的原程序副本，從而完成傳播自身程序，當(dāng)調(diào)用受傳染的程序，該程序即被執(zhí)行。APTadvancedpersistentthreat；高級持續(xù)性威脅精通復(fù)雜技術(shù)的攻擊者利用多種攻擊方式對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊。安全漏洞cybersecurityvulnerability網(wǎng)絡(luò)產(chǎn)品和服務(wù)在需求分析、設(shè)計(jì)、實(shí)現(xiàn)、配置、測試、運(yùn)行、維護(hù)等過程中，無意或有意產(chǎn)生的、有可能被利用的缺陷或薄弱點(diǎn)。安全配置cybersecurityconfiguration能滿足網(wǎng)絡(luò)安全基本要求的一組或多組核心配置項(xiàng)。拒絕服務(wù)denialofservice;DoS阻止對系統(tǒng)資源的經(jīng)授權(quán)訪問或延遲系統(tǒng)的運(yùn)行和功能，并導(dǎo)致經(jīng)授權(quán)用戶可用性受損。應(yīng)急響應(yīng)emergencyresponse組織為應(yīng)對突發(fā)／重大信息安全事件發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施。應(yīng)急演練emergencydrill為訓(xùn)練有關(guān)人員和提高應(yīng)急響應(yīng)能力而根據(jù)應(yīng)急預(yù)案和應(yīng)急響應(yīng)計(jì)劃所開展的活動。泄露disclosure違反信息安全策略，導(dǎo)致數(shù)據(jù)被未經(jīng)授權(quán)的實(shí)體使用的行為。入侵檢測系統(tǒng)intrusiondetectionsystem;IDS用于識別已嘗試、正在發(fā)生或已經(jīng)發(fā)生的入侵的信息系統(tǒng)。入侵防御系統(tǒng)intrusionpreventionsystem;IPS特別設(shè)計(jì)用來提供主動響應(yīng)能力的入侵檢測系統(tǒng)的變體。身份identity與某一實(shí)體相關(guān)的一組屬性。滲透測試penetrationtesting以未經(jīng)授權(quán)的動作繞過某一系統(tǒng)的安全機(jī)制來檢查信息系統(tǒng)的安全功能，以發(fā)現(xiàn)信息系統(tǒng)安全問題的手段。PAGEPAGE13PAGEPAGE10風(fēng)險(xiǎn)評估riskassessment風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價的整個過程。安全審計(jì)securityaudit對信息系統(tǒng)記錄與活動的獨(dú)立評審和考察，以測試系統(tǒng)控制的充分程度，確保對于既定安全策略和運(yùn)行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，并在控制、安全策略和過程三方面提出改進(jìn)建議。供應(yīng)鏈supplychain將多個資源和過程聯(lián)系在一起，并根據(jù)服務(wù)協(xié)議或其他采購協(xié)議建立起連續(xù)供應(yīng)關(guān)系的組織系流量分析trafficanalysis通過觀察通信流量來推斷所關(guān)注信息的過程?？s略語APT高級持續(xù)性威脅（advancedpersistentthreat）Modem調(diào)制解調(diào)器（Modulator-Demodulator）SD安全數(shù)字（securedigital）USB通用串行總線（universalserialbus）VPN虛擬專用網(wǎng)（virtualprivatenetwork）安全運(yùn)維體系安全運(yùn)維原則信息系統(tǒng)運(yùn)營方應(yīng)根據(jù)信息系統(tǒng)的保護(hù)等級，建立網(wǎng)絡(luò)安全運(yùn)維管理體系，并符合等級保護(hù)、密碼應(yīng)用、數(shù)據(jù)安全保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等要求。安全運(yùn)維管理體系的建立可參考GB/T36626的要求開展。安全運(yùn)維目標(biāo)安全運(yùn)維目標(biāo)應(yīng)以利益相關(guān)者的安全需求為導(dǎo)向，基本目標(biāo)應(yīng)包括：——保障信息系統(tǒng)安全性、穩(wěn)定性、可靠性；——防止信息系統(tǒng)遭到攻擊和破壞；——保障信息系統(tǒng)數(shù)據(jù)的安全性。安全運(yùn)維框架安全運(yùn)維框架（如圖1所示）中，安全運(yùn)維原則和目標(biāo)是核心，安全運(yùn)維策略、安全運(yùn)維組織、安全運(yùn)維規(guī)程、安全運(yùn)維支撐系統(tǒng)是安全運(yùn)維工作開展的基礎(chǔ)保障。在安全運(yùn)維開展過程中，需要對所有安全運(yùn)維要素進(jìn)行持續(xù)的監(jiān)測和改進(jìn)。圖1 安全運(yùn)維框架圖安全運(yùn)維策略安全運(yùn)維策略制定安全運(yùn)維策略制定要求包括：應(yīng)對當(dāng)前網(wǎng)絡(luò)安全形勢、國家網(wǎng)絡(luò)安全法律法規(guī)、組織所屬行業(yè)政策要求、組織面臨的網(wǎng)絡(luò)安全威脅等進(jìn)行調(diào)研和分析，為安全策略制定提供必要的支撐。應(yīng)制定信息系統(tǒng)安全運(yùn)維工作的總體方針和安全策略，明確組織安全運(yùn)維工作的總體目標(biāo)、范圍、原則和框架等，為信息系統(tǒng)安全運(yùn)維提供原則與指導(dǎo)。信息系統(tǒng)安全運(yùn)維策略的制定應(yīng)關(guān)注來自業(yè)務(wù)安全戰(zhàn)略、安全運(yùn)維目標(biāo)、法律法規(guī)和合同、當(dāng)前和預(yù)期的信息系統(tǒng)安全威脅環(huán)境等方面產(chǎn)生的要求。信息系統(tǒng)安全運(yùn)維策略主要包括以下內(nèi)容：1）信息系統(tǒng)安全運(yùn)維目標(biāo)和原則的定義；分層防護(hù)、最小特權(quán)、分區(qū)隔離、隱私保護(hù)和日志記錄等技術(shù)內(nèi)容；信息系統(tǒng)安全運(yùn)維管理相關(guān)的角色責(zé)任和權(quán)限分配情況；處理信息系統(tǒng)安全運(yùn)維策略的落實(shí)出現(xiàn)偏差和意外的過程。信息系統(tǒng)運(yùn)維策略應(yīng)由以下相關(guān)層面的運(yùn)維策略組成，包括但不限于：1）資產(chǎn)管理；物理環(huán)境管理；密鑰與密碼設(shè)備管理；介質(zhì)管理；終端管理；訪問與操作管理；監(jiān)測管理；日志管理；備份管理；變更管理；事件及響應(yīng)管理；安全評估管理；安全漏洞管理；安全配置管理；第三方人員管理；供應(yīng)鏈管理；安全驗(yàn)收管理。應(yīng)根據(jù)信息系統(tǒng)安全運(yùn)維策略及管理制度制定相應(yīng)的安全運(yùn)維流程，并對安全運(yùn)維的管理人員和實(shí)施人員執(zhí)行的各項(xiàng)操作建立操作規(guī)程。信息系統(tǒng)安全運(yùn)維策略應(yīng)由管理者批準(zhǔn)，并采用合適的、可訪問和可理解的形式傳達(dá)給安全運(yùn)維團(tuán)隊(duì)、組織內(nèi)部人員和外部相關(guān)方。安全運(yùn)維策略評審安全運(yùn)維策略評審要求包括：應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)信息系統(tǒng)安全運(yùn)維策略的制定、評審和評價。應(yīng)持續(xù)識別、記錄和更新與信息系統(tǒng)安全運(yùn)維相關(guān)的法律法規(guī)或技術(shù)環(huán)境、組織環(huán)境及業(yè)務(wù)狀況發(fā)生的變化情況，作為信息系統(tǒng)安全運(yùn)維策略及方法持續(xù)改進(jìn)的依據(jù)。應(yīng)定期或當(dāng)信息系統(tǒng)環(huán)境或業(yè)務(wù)安全需求發(fā)生重大改變時，對信息系統(tǒng)安全策略的適宜性、充分性、有效性進(jìn)行評審，對安全策略進(jìn)行持續(xù)改進(jìn)。信息系統(tǒng)安全運(yùn)維策略的修訂應(yīng)由管理層批準(zhǔn)。安全運(yùn)維組織崗位設(shè)置崗位設(shè)置要求包括：運(yùn)營單位應(yīng)設(shè)置網(wǎng)絡(luò)安全管理、審計(jì)、運(yùn)維等崗位，崗位可參照GB/T42446-20234.2、4.3規(guī)定的工作類別以及工作任務(wù)進(jìn)行設(shè)置；若網(wǎng)絡(luò)安全運(yùn)維組織包括外包組織的，應(yīng)設(shè)置現(xiàn)場項(xiàng)目負(fù)責(zé)人，負(fù)責(zé)項(xiàng)目的整體溝通協(xié)調(diào)；各崗位應(yīng)權(quán)責(zé)分離，相互間不得兼任。人員配備人員配備要求包括：應(yīng)配備熟悉網(wǎng)絡(luò)安全政策法規(guī)、具有扎實(shí)網(wǎng)絡(luò)安全技能的人員開展網(wǎng)絡(luò)安全運(yùn)維，技能要求GB/T42446-20235、6的規(guī)定；AB角；A。授權(quán)與審批授權(quán)與審批要求包括：應(yīng)建立安全運(yùn)維的授權(quán)機(jī)制，并對安全運(yùn)維人員的權(quán)限進(jìn)行統(tǒng)一管理和控制；授權(quán)應(yīng)遵循最小權(quán)限原則，只授予安全運(yùn)維人員完成工作所需的最小權(quán)限；安全運(yùn)維人員崗位發(fā)生變化時，應(yīng)及時收回或調(diào)整相應(yīng)權(quán)限；應(yīng)建立安全運(yùn)維活動的審批機(jī)制，安全運(yùn)維活動主要包括運(yùn)維任務(wù)下達(dá)及執(zhí)行、重要區(qū)域訪問、系統(tǒng)接入，以及對安全運(yùn)維對象及資源的變更管理等，變更包括：——安全運(yùn)維組織、人員及權(quán)限的調(diào)整；——安全運(yùn)維策略或規(guī)程的更改；——軟硬件設(shè)備更換或參數(shù)調(diào)整；——軟硬件設(shè)備版本升級或新功能開發(fā)；——新技術(shù)運(yùn)用等。應(yīng)建立突發(fā)、緊急事件的快速授權(quán)機(jī)制及審批流程，明確啟動觸發(fā)條件，避免該機(jī)制被濫用；應(yīng)定期對授權(quán)和審批進(jìn)行審計(jì)，評估授權(quán)及審批管理的有效性和合規(guī)性。審計(jì)內(nèi)容包括權(quán)限的授予、使用、變更和撤銷，以及運(yùn)維活動對應(yīng)的審批流程等。溝通和合作授權(quán)與審批要求包括：應(yīng)建立安全運(yùn)維組織的內(nèi)外部溝通合作機(jī)制，方式包括：——信息共享，如建立共享的信息平臺、知識庫等；——定期總結(jié)和匯報(bào)；——開展協(xié)同工作和應(yīng)急處置；——組織或參加會議；——組織或參加技術(shù)交流和競賽等。應(yīng)建立與上級主管部門、內(nèi)外部網(wǎng)絡(luò)安全相關(guān)單位的溝通合作，并建立聯(lián)系列表。外部聯(lián)系單位包括：——網(wǎng)絡(luò)安全主管部門；——行業(yè)主管部門、行業(yè)協(xié)會、同行業(yè)單位；——業(yè)務(wù)系統(tǒng)涉及的相關(guān)機(jī)構(gòu)，如軟硬件廠商、外包服務(wù)商、網(wǎng)絡(luò)或云服務(wù)運(yùn)營商等；——網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等。教育和培訓(xùn)教育和培訓(xùn)要求包括：應(yīng)建立安全運(yùn)維培訓(xùn)體系，保證必要的培訓(xùn)經(jīng)費(fèi)，并根據(jù)安全運(yùn)維目標(biāo)、策略或崗位設(shè)計(jì)相應(yīng)的培訓(xùn)課程（GB/T42446-20235、6的規(guī)定、制定培訓(xùn)計(jì)劃；應(yīng)確保培訓(xùn)內(nèi)容具備針對性和實(shí)用性，內(nèi)容宜包括網(wǎng)絡(luò)安全基礎(chǔ)、專業(yè)技能、安全管理、實(shí)踐案例等，并通過訓(xùn)后考試、隨機(jī)抽測、問卷調(diào)查等方式評估培訓(xùn)質(zhì)量；應(yīng)采取多樣化培訓(xùn)方式，如線上下課程、研討分享、實(shí)操演練、攻防實(shí)戰(zhàn)等；應(yīng)定期組織開展安全運(yùn)維培訓(xùn)，培訓(xùn)周期如下：——日常安全培訓(xùn)列入工作計(jì)劃，每季度宜開展1次；——專項(xiàng)安全培訓(xùn)應(yīng)列入培訓(xùn)計(jì)劃，每年宜開展1次；——重要風(fēng)險(xiǎn)預(yù)警及處置、上級主管部門組織的專題培訓(xùn)實(shí)時開展；——外部機(jī)構(gòu)組織的能力提升、資格認(rèn)證類培訓(xùn)列入培訓(xùn)計(jì)劃，每年宜開展1次。人員錄用人員錄用的要求包括：應(yīng)確保招聘錄用的安全運(yùn)維人員與崗位需求和職責(zé)相匹配；安全運(yùn)維管理、審計(jì)崗位應(yīng)由內(nèi)部人員擔(dān)任；應(yīng)對安全運(yùn)維人員的身份、背景、資質(zhì)進(jìn)行審查。當(dāng)人員的身份、安全背景等發(fā)生變化時，應(yīng)重新進(jìn)行安全背景審查；安全運(yùn)維人員應(yīng)在上崗前簽署網(wǎng)絡(luò)安全相關(guān)責(zé)任書和保密協(xié)議。人員離崗人員離崗的要求包括：重要安全運(yùn)維崗位人員離崗前，應(yīng)及時對離崗可能產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行評估，并制定相應(yīng)措施；安全運(yùn)維人員離崗時，應(yīng)在完成工作交接后及時進(jìn)行敏感信息處理，如敏感資料、權(quán)限證書、密鑰等，并收回權(quán)限，刪除或停用系統(tǒng)賬號；應(yīng)對安全運(yùn)維人員進(jìn)行離崗前安全審查，簽署書面保密協(xié)議。如果有脫密要求的，應(yīng)在規(guī)定的脫密期限后方可離崗；應(yīng)留存安全運(yùn)維人員離崗的相關(guān)記錄。外包運(yùn)維安全管理外包運(yùn)維安全管理的要求包括：GB/T32914應(yīng)與選定的外包運(yùn)維服務(wù)商簽訂相關(guān)的協(xié)議，約定的內(nèi)容包括：——外包運(yùn)維的范圍；——工作內(nèi)容；——安全要求；——保密要求；——考核機(jī)制等。d)應(yīng)保證所選擇的外包運(yùn)維服務(wù)商，在安全技術(shù)和管理方面的能力均符合系統(tǒng)相應(yīng)等級的安全要求，并將能力要求在簽訂的協(xié)議中明確，運(yùn)維外包服務(wù)商宜具備相應(yīng)的網(wǎng)絡(luò)安全服務(wù)資質(zhì)，服務(wù)資質(zhì)可參見附錄表A.2。c)應(yīng)對外包運(yùn)維過程進(jìn)行實(shí)時監(jiān)控，并定期對服務(wù)質(zhì)量進(jìn)行評價，評價內(nèi)容包括：——項(xiàng)目管理，評價項(xiàng)目的執(zhí)行情況；——組織和人員，評價崗位設(shè)置是否合理，運(yùn)維人員的能力素質(zhì)等；——服務(wù)質(zhì)量，評價運(yùn)維目標(biāo)的實(shí)現(xiàn)、運(yùn)維策略的執(zhí)行情況等；——技術(shù)和設(shè)備，評價在安全運(yùn)維過程中采用的技術(shù)和設(shè)備使用情況和運(yùn)用效果；——事件響應(yīng)，評價安全事件的響應(yīng)和處置能力；——成本效益，評價項(xiàng)目的成本支出以及所取得效益。外部人員訪問管理外部人員訪問管理的要求包括：外部人員訪問安全運(yùn)維相關(guān)的重要場所或系統(tǒng)應(yīng)通過審批；應(yīng)對外部人員明確安全及保密要求，有必要的應(yīng)簽訂安全或保密協(xié)議；應(yīng)對外部人員訪問做好記錄，并對訪問的全過程進(jìn)行監(jiān)督控制；因工作需要為外部人員臨時開放的權(quán)限，應(yīng)在工作結(jié)束后立即收回。績效評估績效評估的要求包括：應(yīng)建立運(yùn)維組織績效評估指標(biāo)，包括：——業(yè)務(wù)指標(biāo)，如運(yùn)維目標(biāo)達(dá)成、流程控制等；——財(cái)務(wù)指標(biāo)，如費(fèi)用支出、效益及風(fēng)險(xiǎn)控制等；——人力資源指標(biāo)，如團(tuán)隊(duì)協(xié)作、學(xué)習(xí)成長、人員激勵考核等。KPI（關(guān)鍵績效指標(biāo)、OKR（目標(biāo)與關(guān)鍵成果、BSC（平衡記分卡）等方法；應(yīng)定期開展績效評估，可采用自評估與外評估相結(jié)合的形式，并及時向運(yùn)維團(tuán)隊(duì)反饋評估結(jié)果。安全運(yùn)維規(guī)程安全運(yùn)維管理資產(chǎn)管理本項(xiàng)要求包括：需要首先識別其資產(chǎn)，資產(chǎn)可分為以下兩個主要類別：主要資產(chǎn)，主要資產(chǎn)包含業(yè)務(wù)過程、信息和數(shù)據(jù)資產(chǎn)。其中數(shù)據(jù)資產(chǎn)是組織擁有或者控制的，能進(jìn)行計(jì)量，為組織帶來價值的數(shù)據(jù)資源。支撐性資產(chǎn)，支撐性資產(chǎn)包含硬件、軟件、網(wǎng)絡(luò)、人員、場所及組織結(jié)構(gòu)?？赏ㄟ^主動探測、被動分析，以及信息調(diào)研的方式對資產(chǎn)進(jìn)行測繪，發(fā)現(xiàn)網(wǎng)絡(luò)中的資產(chǎn)。GB/T31722—2015B的方法計(jì)算資產(chǎn)的價值。應(yīng)對資產(chǎn)進(jìn)行分類分級，根據(jù)資產(chǎn)類型分別建立詳細(xì)的資產(chǎn)清單并采用統(tǒng)一的資產(chǎn)編碼對資產(chǎn)進(jìn)行標(biāo)識。資產(chǎn)清單應(yīng)明確資產(chǎn)的類型、資產(chǎn)所屬關(guān)系、資產(chǎn)間依賴關(guān)系、資產(chǎn)維護(hù)關(guān)系、部署關(guān)系、服務(wù)功能、基礎(chǔ)軟件版本、存放數(shù)據(jù)情況、與攻擊目標(biāo)相連情況、開放端口/服務(wù)、可訪問位BB.1。對于資產(chǎn)的變更應(yīng)根據(jù)組織安全策略及時對資產(chǎn)清單進(jìn)行更新。應(yīng)通過技術(shù)手段實(shí)現(xiàn)對資產(chǎn)屬性變更的監(jiān)控、感知和預(yù)警。應(yīng)根據(jù)組織安全策略定期對資產(chǎn)清單進(jìn)行更新和維護(hù)，保證資產(chǎn)與目標(biāo)保持一致，確保資產(chǎn)記錄的真實(shí)性、一致性、正確性。應(yīng)通過安全評估確認(rèn)資產(chǎn)全生命周期中的安全風(fēng)險(xiǎn)并采取相應(yīng)的安全措施保障資產(chǎn)完整性、機(jī)密性和可用性。本項(xiàng)要求包括：GB/T5131420183.1要求應(yīng)包括電氣系統(tǒng)、通風(fēng)空調(diào)系統(tǒng)、消防系統(tǒng)和智能化系統(tǒng)。GB/T5131420184.15.1的要求。物理環(huán)境電氣系統(tǒng)包括供配電系統(tǒng)、不間斷電源和后備電源系統(tǒng)以及照明系統(tǒng)，該系統(tǒng)的運(yùn)GB/T51314-20184.25.2的要求。GB/T51314-2018中4.3和5.3的要求。物理環(huán)境消防系統(tǒng)包括各類滅火系統(tǒng)、支撐消防機(jī)制運(yùn)行的其它相關(guān)附屬設(shè)施，該系統(tǒng)的運(yùn)GB/T51314-20184.45.4的要求。GB/T5131420184.55.5的要求。辦公環(huán)境宜建立和具備防盜竊、防破壞、防火以及安全監(jiān)控的物理安全機(jī)制與措施。消防安全重點(diǎn)單位應(yīng)當(dāng)按照滅火和應(yīng)急疏散預(yù)案，至少每半年進(jìn)行一次演練，并結(jié)合實(shí)際，不斷完善預(yù)案。其他單位應(yīng)當(dāng)結(jié)合本單位實(shí)際，參照制定相應(yīng)的應(yīng)急方案，至少每年組織一次演練。本項(xiàng)要求包括：應(yīng)指派經(jīng)受保密上崗培訓(xùn)的專人負(fù)責(zé)密鑰和密碼設(shè)備的管理。密鑰的管理按GB/T22081—201610.1.2GB/T17901.1-2020的要求。GB/43207-2023C的要求。GB/T39786-2021B。密碼設(shè)備應(yīng)放置在安全、保密的網(wǎng)絡(luò)環(huán)境中。網(wǎng)絡(luò)環(huán)境須采取有效隔離措施，避免無關(guān)人員接觸。密碼設(shè)備的操作和參數(shù)設(shè)置，應(yīng)在有專人監(jiān)督情況下由專業(yè)技術(shù)人專職進(jìn)行操作并作記錄。密碼設(shè)備的維修、定期維護(hù)應(yīng)由專業(yè)技術(shù)人專職負(fù)責(zé)。密碼設(shè)備的銷毀應(yīng)遵照相關(guān)法規(guī)及內(nèi)外部監(jiān)管要求。介質(zhì)管理本項(xiàng)要求包括：基本要求：對脫機(jī)存放的各類介質(zhì)（包括信息資產(chǎn)和軟件資產(chǎn)的介質(zhì)）根據(jù)存儲信息的類別和重要級別進(jìn)行分類分級與控制和保護(hù)，以防止被盜、被毀、被修改以及信息的非法泄漏。介質(zhì)的歸檔和查詢應(yīng)有記錄，對存檔介質(zhì)的目錄清單應(yīng)定期盤點(diǎn)；介質(zhì)應(yīng)儲放在安全的環(huán)境中防止損壞；查詢應(yīng)有審批，明確使用人和傳播范圍的限定。應(yīng)采取安全措施對介質(zhì)的運(yùn)輸和傳遞過程進(jìn)行保護(hù)。對于需要送出維修或銷毀的介質(zhì)，應(yīng)防止信息的非法泄漏。移動介質(zhì)應(yīng)要求專用。每次使用移動介質(zhì)（含軟盤、U盤、移動硬盤、存儲卡等）時，應(yīng)先進(jìn)行病毒安全查殺后才可以進(jìn)行使用。異地存放要求：對介質(zhì)進(jìn)行標(biāo)識和分類，存放在由專人管理的介質(zhì)庫中，防止被盜、被毀以及信息的非法泄漏。對存儲保密性要求較高的信息的介質(zhì)，其借閱、拷貝、傳輸須經(jīng)相應(yīng)級別的領(lǐng)導(dǎo)批準(zhǔn)后方可執(zhí)行，并登記在冊。存儲介質(zhì)的銷毀必須經(jīng)批準(zhǔn)并按指定方式進(jìn)行，不得自行銷毀。2個以上的副本，而且要求介質(zhì)異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)與本地相同。完整性要求：對重要介質(zhì)的數(shù)據(jù)和軟件必要時可加密存儲。對重要的信息介質(zhì)的借閱、拷貝、分發(fā)傳遞須經(jīng)相應(yīng)級別領(lǐng)導(dǎo)的書面審批后方可執(zhí)行，各種處理過程應(yīng)登記在冊，介質(zhì)的分發(fā)傳遞采取保護(hù)措施。對于需要送出維修或銷毀的介質(zhì)，應(yīng)首先刪除信息，再重復(fù)寫操作進(jìn)行覆蓋，防止數(shù)據(jù)恢復(fù)和信息泄漏；對于存儲過重要信息的介質(zhì)宜進(jìn)行不低于310和隨機(jī)數(shù)據(jù)的數(shù)據(jù)寫入覆蓋。需要帶出工作環(huán)境的介質(zhì)，其信息應(yīng)受到保護(hù)；宜采用小型密碼箱存儲、信息加密、介質(zhì)本身加密等保護(hù)措施。 對存放在介質(zhì)庫中的介質(zhì)應(yīng)定期進(jìn)行完整性和可用性檢查，確認(rèn)其數(shù)據(jù)或軟件沒有受到損壞或丟失。加密存儲的要求對介質(zhì)中的重要數(shù)據(jù)必須使用符合加密強(qiáng)度要求的加密技術(shù)或數(shù)據(jù)隱藏技術(shù)進(jìn)行存儲。介質(zhì)的保存和分發(fā)傳遞應(yīng)有嚴(yán)格的規(guī)定并進(jìn)行登記。介質(zhì)受損但無法執(zhí)行刪除操作的，必須銷毀。介質(zhì)銷毀在經(jīng)主管領(lǐng)導(dǎo)審批后應(yīng)由兩人完成，一人執(zhí)行銷毀一人負(fù)責(zé)監(jiān)銷，銷毀過程應(yīng)做記錄。終端管理本項(xiàng)要求包括：用戶在使用自己的終端計(jì)算機(jī)時，應(yīng)設(shè)置開機(jī)、屏幕保護(hù)、目錄共享口令。非組織機(jī)構(gòu)配備的終端計(jì)算機(jī)未獲批準(zhǔn)，不能在辦公、生產(chǎn)場所使用。因工作需要的情況，應(yīng)在接入本地網(wǎng)絡(luò)進(jìn)行必要的安全檢查，確認(rèn)該終端計(jì)算機(jī)符合組織安全策略要求。原則上組織機(jī)構(gòu)配備的終端計(jì)算機(jī)不可以接入非辦公生產(chǎn)用網(wǎng)絡(luò)環(huán)境。因工作需要的情況，應(yīng)確認(rèn)終端計(jì)算機(jī)已滿足組織安全策略要求，具備相應(yīng)安全防護(hù)機(jī)制并得到批準(zhǔn)許可。及時安裝經(jīng)過許可的軟件和補(bǔ)丁程序，不得自行安裝及使用其它軟件和自由下載軟件。Modem撥號、無線網(wǎng)卡等方式或另辟通路接入其它網(wǎng)絡(luò)。應(yīng)根據(jù)組織管理要求，合理合規(guī)使用終端自帶攝像頭、拾音硬件、集成無線網(wǎng)卡、藍(lán)牙通信組件、紅外通訊組件、設(shè)備硬件擴(kuò)展塢、USB接口、SD讀卡器等嵌入式硬件及接口。8.1.6訪問與操作管理章節(jié)內(nèi)容。重要部門的終端計(jì)算機(jī)應(yīng)要求對磁盤存儲采取加密措施保護(hù)存儲數(shù)據(jù)的機(jī)密性。重要部門的終端計(jì)算機(jī)應(yīng)有措施對硬件本身實(shí)現(xiàn)物理保護(hù)，防止發(fā)生終端丟失、機(jī)箱違規(guī)開啟、內(nèi)部組件的違規(guī)拆卸和添置安裝。應(yīng)安裝統(tǒng)一的防病毒軟件使終端具備對惡意程序、代碼的檢測和清除機(jī)制。應(yīng)及時和定期升級反病毒軟件。應(yīng)定期對終端和相關(guān)軟件進(jìn)行安全漏洞掃描，并根據(jù)掃描結(jié)果及時安裝補(bǔ)丁程序。應(yīng)定期對終端和相關(guān)軟件進(jìn)行安全配置基線檢查，并根據(jù)檢查結(jié)果及時進(jìn)行配置加固。終端的使用、借用、維修和報(bào)廢應(yīng)遵循組織管理要求并做記錄。終端的維修和報(bào)廢過程中應(yīng)對存儲的敏感信息進(jìn)行備份、刪除等操作，避免發(fā)生數(shù)據(jù)泄露的風(fēng)險(xiǎn)。本項(xiàng)要求包括：應(yīng)為組織自有資源的所有訪問者確定適當(dāng)?shù)脑L問及操作控制規(guī)則、訪問與操作權(quán)及限制，其詳細(xì)程度和控制的嚴(yán)格程度應(yīng)反映監(jiān)管及組織的安全要求，并能應(yīng)對相關(guān)的信息安全風(fēng)險(xiǎn)。ID管理，網(wǎng)絡(luò)及系統(tǒng)訪問控制以及數(shù)據(jù)訪問控制，具體要求詳見本規(guī)范附錄B中B.2。監(jiān)測管理本項(xiàng)要求包括：應(yīng)根據(jù)資產(chǎn)情況，確定監(jiān)控管理的對象和級別，以發(fā)現(xiàn)異常行為實(shí)施有效預(yù)警，并采取適當(dāng)措施評價潛在的信息安全事件。監(jiān)控對象可包括：應(yīng)用系統(tǒng)。支撐應(yīng)用系統(tǒng)運(yùn)行的系統(tǒng)軟件、工具軟件。網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備。安全設(shè)備。主機(jī)、存儲、外設(shè)、終端等設(shè)備。電力、空調(diào)、消防等基礎(chǔ)環(huán)境。業(yè)務(wù)數(shù)據(jù)。BB.3：應(yīng)具備和使用安全產(chǎn)品監(jiān)控工具作為監(jiān)控管理的技術(shù)支撐，主要的安全監(jiān)控產(chǎn)品分類和參考BB.4。監(jiān)控工具應(yīng)具備預(yù)定義閾值功能，具備數(shù)據(jù)統(tǒng)計(jì)分析能力，根據(jù)預(yù)定義閾值生成告警信息，可將告警信息通過管理控制臺、電子郵件或即時通信系統(tǒng)等方式發(fā)送給指定人員，工具宜包括處理大量數(shù)據(jù)、適應(yīng)不斷變化的威脅形勢及允許實(shí)時通知的能力。宜配置專人，開展實(shí)時或定期監(jiān)控，接收告警信息并做出響應(yīng)。宜建立識別和處理誤報(bào)的規(guī)程，包括調(diào)整監(jiān)視軟件以減少未來誤報(bào)的數(shù)量。宜建立含監(jiān)控、告警、處置、信息上報(bào)的工作機(jī)制。日志管理本項(xiàng)要求包括：設(shè)備、系統(tǒng)應(yīng)具備日志記錄功能，可記錄驗(yàn)證、修改、控制、傳輸?shù)热罩拘畔?，信息?yīng)至少包括時間、事件類型、操作主體、事件內(nèi)容、操作結(jié)果（成功或失?。┑葍?nèi)容。對已記錄的日志信息應(yīng)做好保護(hù)，用戶不宜有修改、刪除等權(quán)限，防止發(fā)生日志信息未經(jīng)授權(quán)變更和銷毀等情況。NTP服務(wù)器，以保證各種數(shù)據(jù)的管理和分析在時間上的一致性。日志收集需保障及時性，避免過渡采集導(dǎo)致系統(tǒng)運(yùn)行異常，信息傳輸過程中要確保日志信息的完整性和準(zhǔn)確性。對分散在各個設(shè)備上的日志數(shù)據(jù)宜進(jìn)行收集匯總和集中分析。設(shè)備、系統(tǒng)應(yīng)配置足夠的日志存儲空間，保證信息存儲的安全性、完整性，日志記錄應(yīng)至少6個月。包含敏感數(shù)據(jù)和個人可識別信息，宜采取適當(dāng)?shù)碾[私保護(hù)措施。應(yīng)啟用日志審計(jì)功能，審計(jì)覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)，應(yīng)保證審計(jì)措施的有效性和時效性。審計(jì)記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)6個月。日志審計(jì)宜跟進(jìn)業(yè)務(wù)重要程度定期開展：1次審計(jì)。1次審計(jì)。日志審計(jì)宜重點(diǎn)關(guān)注以下信息：實(shí)時監(jiān)控和告警，關(guān)鍵業(yè)務(wù)系統(tǒng)和設(shè)備宜通過監(jiān)控和告警機(jī)制，及時發(fā)現(xiàn)安全事件并觸發(fā)響應(yīng)。異常行為分析，發(fā)現(xiàn)異常行為或可疑事件，如未經(jīng)授權(quán)的訪問、數(shù)據(jù)泄露等。安全事件調(diào)查，當(dāng)發(fā)現(xiàn)安全事件時，進(jìn)行深入的調(diào)查和分析，以確定事件的原因、范圍和影響。修復(fù)和加固，對發(fā)現(xiàn)的安全問題進(jìn)行修復(fù)和加固，以消除安全隱患。審計(jì)報(bào)告和記錄，對發(fā)生的安全事件進(jìn)行報(bào)告和記錄，以便對安全問題進(jìn)行跟蹤和管理。日志分析宜覆蓋對事態(tài)的分析和解釋，以幫助識別異?；顒踊虍惓Ｐ袨椤Ｒ送ㄟ^日志審計(jì)系/軟件、網(wǎng)絡(luò)安全管理平臺等工具輔助人工開展日志檢索、內(nèi)容關(guān)聯(lián)分析、圖表呈現(xiàn)、報(bào)告生成與導(dǎo)出等功能提升日志分析工作效率。日志的銷毀應(yīng)符合監(jiān)管要求及組織的安全策略要求。備份管理本項(xiàng)要求包括：制定備份計(jì)劃和時間表；運(yùn)維備份的作業(yè)對象主要包括如下：業(yè)務(wù)系統(tǒng)運(yùn)行產(chǎn)生的信息數(shù)據(jù)。支撐業(yè)務(wù)系統(tǒng)運(yùn)行的外部信息數(shù)據(jù)。支撐業(yè)務(wù)系統(tǒng)運(yùn)行的業(yè)務(wù)軟件本身及其它支撐應(yīng)用軟件（如操作系統(tǒng)、數(shù)據(jù)庫軟件、中間件等。支撐業(yè)務(wù)系統(tǒng)運(yùn)行的其它支撐性設(shè)施的（如網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）運(yùn)行配置信息。應(yīng)根據(jù)備份對象、備份時間、備份頻率、備份方式、備份介質(zhì)、備份模式等制定備份策略。應(yīng)根據(jù)數(shù)據(jù)大小、保留時間和恢復(fù)速度等因素進(jìn)行選擇合適的備份媒介。應(yīng)制定數(shù)據(jù)備份、恢復(fù)規(guī)范和操作流程及管理指導(dǎo)文檔，保障不同數(shù)據(jù)存儲過程的保密性，完整性、可用性和可追溯性。B中表B.5。應(yīng)啟用數(shù)據(jù)備份產(chǎn)品存儲空間使用監(jiān)控功能，當(dāng)存儲空間已滿或達(dá)到閾值時，告警提示。180天。應(yīng)考慮和提供足夠數(shù)量的備份拷貝，以確保在災(zāi)難和備份介質(zhì)本身故障之后仍可以恢復(fù)業(yè)務(wù)信息和軟件。備份拷貝應(yīng)分別存儲在主要場地和備份場地。備份拷貝要存儲在有足夠距離的遠(yuǎn)程地點(diǎn)，避免主要場地災(zāi)難時受到一并損壞。對于重要的業(yè)務(wù)應(yīng)用至少要保留三代或若干周期的備份信息。對重要的業(yè)務(wù)信息數(shù)據(jù)可采取存儲至少三份備份拷貝，使用兩種類型的存儲介質(zhì)，并將一份備份拷貝存放到遠(yuǎn)程地點(diǎn)的備份方式。應(yīng)對備份介質(zhì)提供包括防盜、防火、防潮、防電磁輻射等在內(nèi)的物理環(huán)境保護(hù)。應(yīng)對備份拷貝進(jìn)行安全管理并宜采用加密機(jī)制防止未經(jīng)授權(quán)的訪問和篡改、避免由于管理不善造成數(shù)據(jù)損壞、信息泄露等安全風(fēng)險(xiǎn)。應(yīng)根據(jù)備份信息的重要性定期檢查和測試恢復(fù)規(guī)程，確保備份拷貝的有效性。建立備份策略的監(jiān)控機(jī)制，及時發(fā)現(xiàn)備份故障和異常，生成備份報(bào)告，以供分析和改進(jìn)備份策略。安全應(yīng)急演練中應(yīng)包含數(shù)據(jù)安全演練內(nèi)容，檢驗(yàn)和保障備份與恢復(fù)機(jī)制和策略的有效性。備份介質(zhì)的使用、利舊及報(bào)廢應(yīng)遵從組織的安全管理策略。對于超出組織明確保存期的備份拷貝，應(yīng)根據(jù)組織的安全管理策略在進(jìn)行安全評估后及時恰當(dāng)?shù)匿N毀這些備份拷貝。變更管理宜將變更控制規(guī)程文件化，并強(qiáng)制實(shí)施，以確保從早期設(shè)計(jì)到后續(xù)維護(hù)中整個系統(tǒng)開發(fā)生存周期內(nèi)，信息處理設(shè)施和信息系統(tǒng)中信息的保密性、完整性和可用性。可納入變更管理的安全運(yùn)維工作主要包括：IT基礎(chǔ)設(shè)施的擴(kuò)容或縮減。軟件或硬件的升級或降級。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的調(diào)整。安全策略的調(diào)整。軟件或硬件系統(tǒng)的配置更改。應(yīng)用程序的代碼更改。系統(tǒng)補(bǔ)丁更新。外部接口的變更等。應(yīng)建立變更控制規(guī)程，且嚴(yán)格按照規(guī)程執(zhí)行變更并對變更情況進(jìn)行記錄。建立變更控制的規(guī)BB.6。變更應(yīng)加強(qiáng)風(fēng)險(xiǎn)評估，評估應(yīng)考慮以下內(nèi)容：數(shù)據(jù)泄露風(fēng)險(xiǎn)。服務(wù)中斷風(fēng)險(xiǎn)。安全漏洞風(fēng)險(xiǎn)。配置錯誤風(fēng)險(xiǎn)。兼容性問題風(fēng)險(xiǎn)。4個級別：初級變更，針對一些較低風(fēng)險(xiǎn)或影響較小的變更，可以由業(yè)務(wù)部分負(fù)責(zé)人審批以及運(yùn)維團(tuán)隊(duì)中的初級成員或系統(tǒng)管理員進(jìn)行變更授權(quán)和執(zhí)行；中級變更，針對一些中等風(fēng)險(xiǎn)或有一定影響的變更，需要由運(yùn)維團(tuán)隊(duì)中的中級成員或高級系統(tǒng)管理員進(jìn)行變更授權(quán)和執(zhí)行；高級變更，針對一些高風(fēng)險(xiǎn)或影響較大的變更，需要由運(yùn)維團(tuán)隊(duì)負(fù)責(zé)人或資深技術(shù)專家進(jìn)行變更授權(quán)和執(zhí)行；特別授權(quán)，針對一些特殊情況或緊急情況下的變更，可以由公司高層領(lǐng)導(dǎo)或跨部門協(xié)作小組進(jìn)行特別授權(quán)和執(zhí)行。本項(xiàng)要求包括：網(wǎng)絡(luò)安全事件是由于人為原因、網(wǎng)絡(luò)遭受攻擊、網(wǎng)絡(luò)存在漏洞隱患、軟硬件缺陷或故障、不可抗力等因素，對網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造成危害，對國家、社會、經(jīng)濟(jì)造成負(fù)面影響的事件。GB/T20986-20235的規(guī)定。GB/T20986-20236.2的規(guī)定。應(yīng)建立網(wǎng)絡(luò)安全事件預(yù)警、處置、上報(bào)的安全管理策略、制度、機(jī)制和流程。應(yīng)建立事件響應(yīng)小組。事件響應(yīng)小組團(tuán)隊(duì)成員應(yīng)由組織領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人、以及外部響應(yīng)支撐機(jī)構(gòu)相關(guān)人員組成?？善刚埾嚓P(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家組。應(yīng)根據(jù)應(yīng)急事件的級別和應(yīng)急響應(yīng)的場景制定應(yīng)急響應(yīng)預(yù)案。應(yīng)急響應(yīng)預(yù)案可以分為總體預(yù)案和針對某個核心系統(tǒng)、某個響應(yīng)場景的專項(xiàng)預(yù)案。應(yīng)急響應(yīng)預(yù)案應(yīng)包含以下主要內(nèi)容：1）應(yīng)急響應(yīng)具體的組織體系結(jié)構(gòu)及人員職責(zé)。應(yīng)急響應(yīng)的監(jiān)測和預(yù)警機(jī)制。應(yīng)急響應(yīng)預(yù)案的啟動。應(yīng)急事件級別及對應(yīng)的處置流程、方法。應(yīng)急響應(yīng)的保障措施。應(yīng)急預(yù)案的附則。應(yīng)制定應(yīng)急響應(yīng)培訓(xùn)計(jì)劃，并組織相關(guān)人員參與。培訓(xùn)應(yīng)使參訓(xùn)人員明確其在應(yīng)急響應(yīng)過程中的責(zé)任范圍、接口關(guān)系，明確應(yīng)急處置的操作規(guī)范和操作流程。培訓(xùn)應(yīng)至少每年舉辦一次。為驗(yàn)證應(yīng)急響應(yīng)預(yù)案的有效性，使相關(guān)人員了解預(yù)案的目標(biāo)和內(nèi)容，熟悉應(yīng)急響應(yīng)的操作規(guī)演練開始前應(yīng)確認(rèn)演練活動的開展和保障條件。演練的整個過程應(yīng)進(jìn)行全程監(jiān)控，應(yīng)有詳細(xì)記錄，并形成報(bào)告。演練應(yīng)不影響業(yè)務(wù)的正常運(yùn)行。對于確有可能影響業(yè)務(wù)正常運(yùn)行的情況，應(yīng)提前進(jìn)行風(fēng)險(xiǎn)評估，并向相關(guān)利益方進(jìn)行預(yù)警或通告。演練結(jié)束后應(yīng)進(jìn)行活動總結(jié)，并將演練情況納入應(yīng)急響應(yīng)工作評審。應(yīng)定期針對應(yīng)急響應(yīng)工作進(jìn)行評審，評審至少每年舉行一次。審核的內(nèi)容及審核時應(yīng)考慮的BB.7。檢查本項(xiàng)要求包括：運(yùn)行維護(hù)階段安全評估是掌握和控制信息系統(tǒng)及其支撐軟硬件系統(tǒng)運(yùn)行過程中的安全風(fēng)險(xiǎn)。評估內(nèi)容包括在線運(yùn)行信息系統(tǒng)及其支撐軟硬件系統(tǒng)資產(chǎn)、面臨威脅、自身脆弱性以及已有安全措施等各方面。安全評估的評估形式包括自評估、第三方評估和檢查評估。自評估：由信息系統(tǒng)所有者自身發(fā)起，組成組織機(jī)構(gòu)內(nèi)部的評估機(jī)構(gòu)，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)安全管理進(jìn)行的評估活動。第三方評估：由信息系統(tǒng)所有者委托商業(yè)評估機(jī)構(gòu)或其它評估機(jī)構(gòu)，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)安全管理進(jìn)行的評估活動。檢查評估：由被評估信息系統(tǒng)所有者的上級主管部門、業(yè)務(wù)部門或國家相關(guān)監(jiān)管部門發(fā)起的，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)安全管理進(jìn)行的評估活動。安全評估的范圍應(yīng)結(jié)合已確定的評估目標(biāo)和組織的信息系統(tǒng)建設(shè)情況，合理定義評估對象和評估范圍邊界，可以參考以下依據(jù)作為評估范圍邊界的劃分原則：業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界。網(wǎng)絡(luò)及設(shè)備載體邊界。物理環(huán)境邊界。組織管理權(quán)限邊界。其它。安全評估的具體場景除傳統(tǒng)IT外，應(yīng)包括可能涉及的云計(jì)算、移動互聯(lián)，物聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)應(yīng)用、跨國業(yè)務(wù)運(yùn)維等場景。安全評估的方法主要包括：文檔檢查：檢查被評估單位提交的有關(guān)文檔（如系統(tǒng)配置文檔、安全防護(hù)方案、自評估報(bào)告等）是否符合相關(guān)標(biāo)準(zhǔn)和要求；人工核查：根據(jù)評估方案和評估指導(dǎo)書，在合理的評估環(huán)境下，核查各項(xiàng)安全功能和防護(hù)能力是否與提交文檔一致，是否符合相關(guān)標(biāo)準(zhǔn)和要求等；工具檢查：根據(jù)評估方案，在被評估單位授權(quán)的前提下，選擇適用的評估工具實(shí)施評估，工具可包括網(wǎng)絡(luò)評估工具、主機(jī)評估工具、資產(chǎn)識別工具等。GB/T209842022C。運(yùn)行維護(hù)的評估內(nèi)容包含：運(yùn)行維護(hù)階段的組織及人員，安全管理文件體系等保障措施。運(yùn)行維護(hù)階段的環(huán)境與資源管理、運(yùn)行操作管理、系統(tǒng)維護(hù)管理、安全狀態(tài)監(jiān)控、密碼與數(shù)據(jù)安全管理、業(yè)務(wù)連續(xù)性管理、變更控制與外包管理（包括供應(yīng)鏈、安全檢查和持續(xù)改進(jìn)等日常措施。運(yùn)行維護(hù)階段的監(jiān)管合規(guī)性符合、風(fēng)險(xiǎn)管理、監(jiān)督與檢查等監(jiān)督措施。GB/T2098420225的要求。運(yùn)行維護(hù)階段的安全評估應(yīng)常態(tài)化開展。具體要求如下：運(yùn)營單位對本單位安全保護(hù)等級為第三級和第四級的信息系統(tǒng)定期組織開展自評估，評估周期原則上不超過一年；安全保護(hù)等級為第二級的信息系統(tǒng)定期開展自評估，評估周期原則上不超過二年。運(yùn)營單位自行組織或委托評估機(jī)構(gòu)開展的評估工作，評估周期原則上不超過二年；委托評估機(jī)構(gòu)定期開展的第三方安全評估工作可結(jié)合等級保護(hù)工作進(jìn)行。當(dāng)信息系統(tǒng)業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變更時，需及時進(jìn)行安全評估。重大變更包括但不限于：增加新的應(yīng)用或應(yīng)用發(fā)生較大變更。網(wǎng)絡(luò)結(jié)構(gòu)和連接狀況發(fā)生較大變更。技術(shù)平臺大規(guī)模更新。系統(tǒng)擴(kuò)容或改造。系統(tǒng)運(yùn)行維護(hù)管理機(jī)構(gòu)或人員發(fā)生較大規(guī)模調(diào)整。本項(xiàng)要求包括：應(yīng)建立漏洞發(fā)現(xiàn)和報(bào)告、漏洞接收、漏洞驗(yàn)證、漏洞處置和漏洞跟蹤的漏洞管理流程和機(jī)制。應(yīng)通過漏洞掃描工具根據(jù)組織安全策略要求定期開展網(wǎng)絡(luò)安全漏洞掃描，發(fā)現(xiàn)信息系統(tǒng)及其支撐軟硬件系統(tǒng)中的脆弱性或漏洞。涉及的信息系統(tǒng)和其支撐軟硬件系統(tǒng)具體包括：基礎(chǔ)架構(gòu)（含操作系統(tǒng)、數(shù)據(jù)庫、中間件、通信協(xié)議。應(yīng)用系統(tǒng)（含通用軟件、應(yīng)用系統(tǒng)、虛擬化系統(tǒng)、大數(shù)據(jù)組件等。硬件設(shè)備（含網(wǎng)絡(luò)設(shè)備、安全設(shè)備、辦公自動化產(chǎn)品、云平臺及組件、物聯(lián)網(wǎng)設(shè)備等。網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)活動應(yīng)包含以下原則：實(shí)施漏洞發(fā)現(xiàn)活動應(yīng)遵循國家相關(guān)的法律法規(guī)；實(shí)施漏洞發(fā)現(xiàn)活動時，應(yīng)主動評估可能存在對業(yè)務(wù)系統(tǒng)及其支撐軟硬件運(yùn)行的風(fēng)險(xiǎn)；實(shí)施漏洞發(fā)現(xiàn)活動時，活動覆蓋的范圍宜包括自有網(wǎng)絡(luò)中和部署于外部網(wǎng)絡(luò)中的信息系統(tǒng)及其支撐軟硬件系統(tǒng)；宜采用單獨(dú)、或者組合使用主動漏洞掃描、被動漏洞掃描，以及代理漏洞掃描等漏洞發(fā)現(xiàn)技術(shù)。應(yīng)建立來自外部的網(wǎng)絡(luò)安全漏洞信息接收渠道，接收渠道包括：信息系統(tǒng)及其支撐軟硬件生產(chǎn)商；上級組織。監(jiān)管機(jī)構(gòu)。國家互聯(lián)網(wǎng)應(yīng)急中心。第三方安全運(yùn)維機(jī)構(gòu)。第三方威脅情報(bào)通告。在進(jìn)行漏洞驗(yàn)證活動時，應(yīng)主動評估可能存在對業(yè)務(wù)系統(tǒng)及其支撐軟硬件運(yùn)行的風(fēng)險(xiǎn)并建立可行的應(yīng)急處置預(yù)案，漏洞驗(yàn)證宜通過仿真環(huán)境或備份環(huán)境來進(jìn)行安全驗(yàn)證。GB/T30276-20205.4的要求進(jìn)行。此外，網(wǎng)絡(luò)安全漏洞處置的優(yōu)先級別宜采取以下順序：外網(wǎng)可探查、可利用。內(nèi)網(wǎng)可探查、可利用。監(jiān)管和輿情關(guān)注。尚不可探查、利用。應(yīng)對網(wǎng)絡(luò)安全漏洞的處置情況和結(jié)果進(jìn)行跟蹤以實(shí)現(xiàn)管理閉環(huán)。對于不能通過補(bǔ)丁加固方式消除的網(wǎng)絡(luò)安全漏洞威脅應(yīng)采取其它補(bǔ)償措施/機(jī)制將該威脅降至組織可接受的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)程度。應(yīng)根據(jù)漏洞掃描工具生產(chǎn)商的建議定期/及時對漏洞掃描工具進(jìn)行系統(tǒng)和漏洞規(guī)則庫的升級，以保持掃描工具處于最佳工作狀態(tài)。本項(xiàng)要求包括：應(yīng)建立符合監(jiān)管要求和組織內(nèi)部安全策略要求的安全配置要求。應(yīng)建立安全配置檢查和報(bào)告、安全配置處置、安全配置跟蹤的運(yùn)維管理流程和機(jī)制。通過技術(shù)手段定期對信息系統(tǒng)及其支撐軟硬件開展安全配置檢查工作。涉及的信息系統(tǒng)和其支撐軟硬件系統(tǒng)具體包括：基礎(chǔ)架構(gòu)（含操作系統(tǒng)、數(shù)據(jù)庫、中間件、通信協(xié)議。應(yīng)用系統(tǒng)（含通用軟件、應(yīng)用系統(tǒng)、虛擬化系統(tǒng)、大數(shù)據(jù)組件等。硬件設(shè)備（含網(wǎng)絡(luò)設(shè)備、安全設(shè)備、辦公自動化產(chǎn)品、云平臺及組件、物聯(lián)網(wǎng)設(shè)備等。BB.8。在安全配置處置階段，要求如下：應(yīng)與業(yè)務(wù)部門、系統(tǒng)開發(fā)部門、第三方運(yùn)維機(jī)構(gòu)協(xié)同開展安全配置處置工作。在安全配置處置過程中應(yīng)與業(yè)務(wù)部門進(jìn)行深入分析，判斷安全配置的修改是否影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。對于已經(jīng)確認(rèn)的安全配置不合規(guī)項(xiàng)，在考慮了相關(guān)風(fēng)險(xiǎn)影響因素的基礎(chǔ)上，應(yīng)立即進(jìn)行安全配置加固。應(yīng)對安全配置的處置情況和結(jié)果進(jìn)行跟蹤以實(shí)現(xiàn)管理閉環(huán)。對于不能通過配置加固方式消除的安全威脅項(xiàng)應(yīng)采取其它補(bǔ)償措施/機(jī)制將威脅降至組織可接受的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)程度。應(yīng)定期對組織內(nèi)部制定的安全配置基線要求進(jìn)行審核，以保持該安全配置要求符合最新的監(jiān)管要求及組織安全策略要求。外部協(xié)同本項(xiàng)要求包括：對第三方人員的管理可包含人員入場前，人員入場工作以及人員離場三個階段。在第三方人員入場前階段，應(yīng)開展以下工作內(nèi)容，但不限于這些內(nèi)容：確認(rèn)與供應(yīng)商簽署的合同，檢查第三方人員是否符合約定的人員本身、人員數(shù)量、人員技術(shù)資格證明、人員能力以及人員背景要求；與供應(yīng)商及第三方人員簽署工作保密協(xié)議；向第三方人員進(jìn)行安全管理相關(guān)培訓(xùn)，讓其了解組織安全制度、安全要求、法律責(zé)任和安全處理程序；與第三方人員開展工作涉及的其它內(nèi)部部門共同確認(rèn)其開展工作需具備的工作方式、工作時間、工作位置、工作流程、訪問資源、訪問操作權(quán)限。識別第三方人員安全管理風(fēng)險(xiǎn)來源，確定其影響區(qū)域、對象、事件及原因，并制定相關(guān)風(fēng)險(xiǎn)處置預(yù)案，建立第三方人員違規(guī)處置機(jī)制；如第三方人員使用自有計(jì)算機(jī)終端開展工作，應(yīng)檢查其計(jì)算機(jī)終端，使其符合組織內(nèi)部計(jì)算機(jī)終端的安全管理要求并滿足開展工作過程中的相關(guān)網(wǎng)絡(luò)安全要求。第三方供應(yīng)商應(yīng)提供己方相應(yīng)的安全保障制度與措施說明。在第三方人員入場展開工作階段過程中，應(yīng)開展以下工作內(nèi)容，但不限于這些內(nèi)容：宜要求第三方人員在工作環(huán)境中佩戴胸卡或胸牌，表明其身份。對于通過QQ、微信等網(wǎng)絡(luò)交流工具進(jìn)行工作溝通交流的情況，應(yīng)要求用戶ID名稱能被識別為第三方人員；通過管理和技術(shù)手段對第三方人員的工作過程進(jìn)行安全監(jiān)測和安全審計(jì)；定期回顧和評估第三方人員的工作情況；如工作過程中發(fā)生第三方人員更迭的情況，應(yīng)刪除/中止原有人員的賬戶和訪問權(quán)限，對更迭人員應(yīng)重新開展入場前安全管理工作。重要信息系統(tǒng)的系統(tǒng)管理員賬戶原則上不應(yīng)提供給第三方人員。在第三方人員離場階段，應(yīng)開展以下工作內(nèi)容，但不限于這些內(nèi)容：在確認(rèn)第三方工作已完成的情況下，需要與第三方人員開展工作涉及的其它內(nèi)部部門共同確認(rèn)刪除第三方人員的賬戶及密碼、訪問操作權(quán)限；檢查第三方人員的計(jì)算機(jī)工作終端，確定計(jì)算機(jī)終端存儲數(shù)據(jù)符合保密要求及組織數(shù)據(jù)安全管理的要求；檢查并按監(jiān)管要求和組織安全管理要求妥善保管第三方人員的工作記錄及相關(guān)電子/紙質(zhì)工作文檔。對符合失效要求的記錄和文檔應(yīng)及時采取脫敏/銷毀措施。供應(yīng)鏈管理提供網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的供應(yīng)商應(yīng)滿足以下要求，包括但不限于，GB/T22080建立信息安全管理體系。設(shè)置與網(wǎng)絡(luò)安全服及和產(chǎn)品安裝維護(hù)規(guī)模相適應(yīng)的專業(yè)部門或團(tuán)隊(duì)。2年以上相應(yīng)網(wǎng)絡(luò)安全服務(wù)項(xiàng)目經(jīng)驗(yàn)。GB/T42446規(guī)定的網(wǎng)絡(luò)安全服務(wù)相關(guān)知識與技能；熟練掌握《國家網(wǎng)絡(luò)安網(wǎng)絡(luò)安全產(chǎn)品應(yīng)由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測符合要求后，方可銷售或者提供。應(yīng)根據(jù)具體業(yè)務(wù)系統(tǒng)及其支撐軟硬件系統(tǒng)的生命周期向產(chǎn)品和服務(wù)供應(yīng)商購買售后維保服務(wù)，使產(chǎn)品和服務(wù)在維護(hù)、返回等服務(wù)運(yùn)維階段獲得連續(xù)性、及時性的服務(wù)支撐保障。應(yīng)對供應(yīng)商及售后人員的應(yīng)急事件的響應(yīng)能力提出符合組織業(yè)務(wù)連續(xù)性需求的管理要求。對于發(fā)生故障的硬件產(chǎn)品，在返回維護(hù)前應(yīng)檢查產(chǎn)品內(nèi)置存儲介質(zhì)是否存儲了記錄組織敏感信息的數(shù)據(jù)，應(yīng)根據(jù)組織的數(shù)據(jù)安全管理策略采取包括數(shù)據(jù)備份、數(shù)據(jù)擦除、存儲介質(zhì)拆卸等安全措施避免發(fā)生數(shù)據(jù)泄露風(fēng)險(xiǎn)。對于維修后返回的硬件產(chǎn)品，宜檢查產(chǎn)品軟、硬件是否存在被替換、被植入、被篡改以及功能失效的情況。對用于升級更新的軟件程序應(yīng)確認(rèn)其來源于供應(yīng)商官方渠道，在安裝前可通過計(jì)算哈希值并與官方公布哈希值進(jìn)行比對，確認(rèn)軟件程序未遭受被替換和被篡改。對升級后的軟件產(chǎn)品和返修后的硬件產(chǎn)品宜開展網(wǎng)絡(luò)安全漏洞掃描工作，確認(rèn)軟硬件產(chǎn)品是否因升級和返修產(chǎn)生新的網(wǎng)絡(luò)安全漏洞。應(yīng)建立和供應(yīng)商的信息通告和溝通聯(lián)系方式，及時了解供應(yīng)商發(fā)布的產(chǎn)品更新、產(chǎn)品缺陷及漏洞通告、應(yīng)急處置措施等信息，在發(fā)生故障時能正確、及時聯(lián)系供應(yīng)商。在供應(yīng)商售后人員到場維護(hù)過程中，應(yīng)確認(rèn)沒有非合理改動硬件、改動系統(tǒng)軟件配置、盜竊數(shù)據(jù)及預(yù)裝程序等安全隱患發(fā)生。本項(xiàng)要求包括：安全驗(yàn)收可分為安全驗(yàn)收準(zhǔn)備、安全驗(yàn)收評估和安全驗(yàn)收確認(rèn)三個階段。安全驗(yàn)收可采用自驗(yàn)收和第三方驗(yàn)收。自驗(yàn)收是系統(tǒng)的擁有、運(yùn)營或使用單位發(fā)起的對本得系統(tǒng)進(jìn)行的驗(yàn)收。第三方驗(yàn)收是委托第三方負(fù)責(zé)實(shí)施的驗(yàn)收。服務(wù)類項(xiàng)目是包括由第三方機(jī)構(gòu)開展的咨詢、評估、培訓(xùn)、現(xiàn)場運(yùn)維等類型的項(xiàng)目。該類項(xiàng)目在安全驗(yàn)收工作前，供應(yīng)商應(yīng)已完成所有的服務(wù)內(nèi)容和內(nèi)部評估、并提供可供復(fù)查的測試B中表B.9列出常見文件清單，清單內(nèi)容可根據(jù)實(shí)際情況進(jìn)行多方協(xié)商、取舍和增減。服務(wù)類項(xiàng)目在安全驗(yàn)收評估中應(yīng)評估以下內(nèi)容，但不限于這些內(nèi)容：1）3）評估服務(wù)內(nèi)容及服務(wù)交付物，確認(rèn)是否已滿足合同約定的服務(wù)交付質(zhì)量。在安全驗(yàn)收確認(rèn)階段，驗(yàn)收結(jié)論應(yīng)包含以下方面：安全驗(yàn)收評估階段的內(nèi)容和結(jié)論。驗(yàn)收不符合項(xiàng)。不符合內(nèi)容對系統(tǒng)信息安全能力的影響分析。是否通過驗(yàn)收的建議。安全運(yùn)維支撐系統(tǒng)檢測識別類系統(tǒng)識別類工具包括并不限于：應(yīng)采用資產(chǎn)測繪系統(tǒng)主動探測和被動流量監(jiān)測獲取資產(chǎn)指紋、網(wǎng)站、蜜罐、地理信息、DNS等信息；可采用安全配置核查系統(tǒng)自動獲取網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)的配置，比對配置基線要求生成配置差距分析清單；應(yīng)采用漏洞掃描系統(tǒng)對主機(jī)漏洞、網(wǎng)站漏洞、弱密碼等進(jìn)行探測；可采用網(wǎng)站安全監(jiān)測系統(tǒng)對重要網(wǎng)站的可用性、安全性和性能進(jìn)行監(jiān)測和告警；應(yīng)采用違規(guī)外聯(lián)檢測系統(tǒng)識別違規(guī)外聯(lián)、違規(guī)內(nèi)聯(lián)、內(nèi)外網(wǎng)交替使用等違規(guī)行為。防護(hù)管理類系統(tǒng)防護(hù)管理類系統(tǒng)包括并不限于：應(yīng)采用攻擊面管理系統(tǒng)對潛在攻擊者開展網(wǎng)絡(luò)安全攻擊時可能利用的所有數(shù)字資產(chǎn)、外部信息、脆弱性風(fēng)險(xiǎn)等數(shù)據(jù)集合進(jìn)行攻擊暴露面發(fā)現(xiàn)、判別、確認(rèn)、管理，并協(xié)調(diào)內(nèi)、外第三方對攻擊面進(jìn)行持續(xù)收斂；應(yīng)采用資產(chǎn)管理系統(tǒng)同步資產(chǎn)測繪系統(tǒng)自動發(fā)現(xiàn)的資產(chǎn)指紋信息，結(jié)合人工補(bǔ)全信息，維護(hù)用途清晰、分類清晰、價值清晰、責(zé)任清晰的資產(chǎn)清單；可采用漏洞管理系統(tǒng)，對漏洞掃描、威脅情報(bào)及外部通報(bào)發(fā)現(xiàn)的漏洞信息，關(guān)聯(lián)資產(chǎn)進(jìn)行漏洞研判、處置、工單下發(fā)、復(fù)查、歸檔的全生命周期管理過程，形成持續(xù)管理的漏洞臺賬；應(yīng)采用安全合規(guī)管理系統(tǒng)，對國家網(wǎng)絡(luò)安全法律法規(guī)、政策、標(biāo)準(zhǔn)規(guī)范，以及區(qū)域、行業(yè)、企業(yè)的安全管理制度進(jìn)行解讀后生成合規(guī)控制點(diǎn)、檢查點(diǎn)知識庫，提供合規(guī)自評差距分析和整改跟蹤功能，支撐風(fēng)險(xiǎn)評估、入網(wǎng)安評、等保差距分析、綜合安全檢查等場景；可采用安全運(yùn)維流程管理系統(tǒng)，對網(wǎng)絡(luò)數(shù)據(jù)安全管理制度中人員管理、安全建設(shè)管理、安全運(yùn)維管理等環(huán)節(jié)要求的規(guī)范流程提供支撐表單和審批流程；應(yīng)采用安全運(yùn)維管理系統(tǒng)，為運(yùn)維用戶提供統(tǒng)一資源訪問入口，借助身份認(rèn)證接口實(shí)現(xiàn)對運(yùn)維用戶的身份鑒別，對資產(chǎn)及其賬戶等進(jìn)行集中管理和授權(quán)，監(jiān)控和審計(jì)運(yùn)維操作過程，并對違規(guī)操作行為進(jìn)行報(bào)警、阻斷。監(jiān)測審計(jì)類系統(tǒng)監(jiān)測審計(jì)類系統(tǒng)包括并不限于：應(yīng)采用日志審計(jì)系統(tǒng)對信息系統(tǒng)中各類資產(chǎn)的關(guān)鍵日志進(jìn)行集中采集、存儲、分析；應(yīng)采用主機(jī)審計(jì)系統(tǒng)對主機(jī)操作系統(tǒng)的關(guān)鍵行為進(jìn)行審計(jì)；應(yīng)采用網(wǎng)絡(luò)審計(jì)系統(tǒng)對網(wǎng)絡(luò)邊界處網(wǎng)絡(luò)通信中的協(xié)議、應(yīng)用訪問、網(wǎng)絡(luò)流量等進(jìn)行審計(jì)；應(yīng)采用數(shù)據(jù)庫審計(jì)系統(tǒng)對數(shù)據(jù)庫的用戶授權(quán)、數(shù)據(jù)操作系統(tǒng)進(jìn)行審計(jì)；可采用應(yīng)用審計(jì)系統(tǒng)對特定應(yīng)用的用戶登錄、重要操作進(jìn)行審計(jì)；可采用防火墻策略審計(jì)系統(tǒng)集中采集多臺防火墻的策略配置，審計(jì)策略用途和變化情況，并分析策略合理性提供策略優(yōu)化建議；應(yīng)采用監(jiān)控系統(tǒng)對基礎(chǔ)設(shè)施、軟硬件、數(shù)據(jù)的可用性、性能指標(biāo)進(jìn)行監(jiān)測，支持對監(jiān)控?cái)?shù)據(jù)分析告警；應(yīng)采用威脅信息監(jiān)測系統(tǒng)采集大規(guī)模、多渠道的碎片式攻擊或異常數(shù)據(jù),集中地進(jìn)行深度融合、歸并和分析,形成與網(wǎng)絡(luò)安全防護(hù)有關(guān)的威脅信息線索，并在此基礎(chǔ)上進(jìn)行主動、協(xié)同式的網(wǎng)絡(luò)安全威脅預(yù)警、檢測和響應(yīng)；應(yīng)采用態(tài)勢感知系統(tǒng)采集網(wǎng)絡(luò)流量、資產(chǎn)信息、日志、漏洞信息、告警信息、威脅信息等數(shù)據(jù)，分析和處理網(wǎng)絡(luò)行為及用戶行為等因素，掌握網(wǎng)絡(luò)資產(chǎn)狀況、流量變化、資產(chǎn)運(yùn)行指標(biāo)、脆弱性分布、攻擊、異常行為、安全事件等安全態(tài)勢，預(yù)測網(wǎng)絡(luò)安全趨勢，并進(jìn)行展示和監(jiān)測預(yù)警。響應(yīng)協(xié)同類系統(tǒng)響應(yīng)處置類系統(tǒng)包括并不限于：可采用安全服務(wù)工作臺，建立一個集中的信息系統(tǒng)運(yùn)行狀態(tài)收集、處理、顯示及報(bào)警的系統(tǒng)，并統(tǒng)一收集與處理信息系統(tǒng)用戶問題反饋。應(yīng)采用信息通報(bào)系統(tǒng)，對安全事件的事前進(jìn)行應(yīng)急預(yù)案管理、事前預(yù)警、事中進(jìn)行報(bào)送和跟蹤管理、事后進(jìn)行總結(jié)管理，建立應(yīng)急響應(yīng)培訓(xùn)計(jì)劃臺賬、應(yīng)急響應(yīng)培訓(xùn)記錄臺賬、應(yīng)急演練活動記錄臺賬；可采用安全編排與自動化響應(yīng)系統(tǒng)將工作流程中涉及不同系統(tǒng)或一個系統(tǒng)內(nèi)部的不同安全能力通過可編程接口（API）封裝后形成安全能力接口、人工處理節(jié)點(diǎn)、邏輯判斷等各類型流程節(jié)點(diǎn)，并按照一定的邏輯組合到一起形成劇本，完成某個特定安全事件響應(yīng)操作；宜采用安全中臺為安全能力的實(shí)現(xiàn)統(tǒng)一標(biāo)準(zhǔn)，將用戶現(xiàn)在的網(wǎng)絡(luò)設(shè)備、安全能力、業(yè)務(wù)系統(tǒng)、管理平臺進(jìn)行標(biāo)準(zhǔn)化整合，讓安全能力以約定形式進(jìn)行封裝，并在此基礎(chǔ)上支持不同種類安全能力的協(xié)同、不同性質(zhì)平臺系統(tǒng)的聯(lián)動與不同崗位工作人員的協(xié)同。系統(tǒng)自身安全要求各項(xiàng)安全運(yùn)維支撐系統(tǒng)的自身安全保障要求包括：標(biāo)識和鑒別、自身訪問控制、自身安全審計(jì)、通信安全、支撐系統(tǒng)安全、產(chǎn)品升級、用戶信息安全、密碼要求等，應(yīng)滿足GB/T42250和及GB/T222397.1.4節(jié)安全計(jì)算環(huán)境中的規(guī)定。附 錄 A（資料性）網(wǎng)絡(luò)安全運(yùn)維人員資質(zhì)建議各崗位類別的網(wǎng)絡(luò)安全運(yùn)維人員資質(zhì)建議如表A.1所示：表A.1網(wǎng)絡(luò)安全運(yùn)維人員資質(zhì)建議表崗位類別資質(zhì)建議網(wǎng)絡(luò)安全管理類CISSP（國際信息系統(tǒng)安全專業(yè)認(rèn)證）CISA（國際信息系統(tǒng)審計(jì)師）CISP（注冊信息安全專業(yè)人員，管理、數(shù)據(jù)治理、應(yīng)急響應(yīng)領(lǐng)域）CNSE（注冊網(wǎng)絡(luò)安全防護(hù)專家）CNSP（注冊網(wǎng)絡(luò)安全防護(hù)高級工程師）CDSP（數(shù)據(jù)安全認(rèn)證專家）信息安全工程師（計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)資格）CCSC（網(wǎng)絡(luò)安全能力認(rèn)證II級）網(wǎng)絡(luò)安全運(yùn)維工程師（昆明市網(wǎng)絡(luò)安全協(xié)會培訓(xùn)認(rèn)證）網(wǎng)絡(luò)安全運(yùn)營維護(hù)類Security+（信息安全技術(shù)專家）CISP（注冊信息安全專業(yè)人員，滲透測試、電子取證、個人信息保護(hù)、密碼技術(shù)領(lǐng)域）CISM（注冊信息安全全員）CNSA（注冊網(wǎng)絡(luò)安全防護(hù)工程師CDSP（數(shù)據(jù)安全認(rèn)證專家）信息安全工程師（計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)資格）CCSC（網(wǎng)絡(luò)安全能力認(rèn)證I級）網(wǎng)絡(luò)安全運(yùn)維工程師（昆明市網(wǎng)絡(luò)安全協(xié)會培訓(xùn)認(rèn)證）網(wǎng)絡(luò)安全審計(jì)評估類CISA（國際信息系統(tǒng)審計(jì)師）CISP（注冊信息安全專業(yè)人員，系統(tǒng)審計(jì)領(lǐng)域）CISM（注冊信息安全全員）CNSA（注冊網(wǎng)絡(luò)安全防護(hù)工程師）信息安全工程師（計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)資格）CCSC（網(wǎng)絡(luò)安全能力認(rèn)證I級）各網(wǎng)絡(luò)安全運(yùn)維單位資質(zhì)建議如表A.2所示：A.2網(wǎng)絡(luò)安全運(yùn)維服務(wù)公司資質(zhì)建議表服務(wù)類型資質(zhì)建議網(wǎng)絡(luò)安全運(yùn)維服務(wù)類CCRC（信息安全服務(wù)資質(zhì)認(rèn)證）網(wǎng)絡(luò)安全測評類等級保護(hù)測評資質(zhì)網(wǎng)絡(luò)安全密碼測評資質(zhì)質(zhì)量管理體系類ISO27001（信息安全管理體系）ISO20000（信息技術(shù)服務(wù)管理體系）附 錄 B（資料性）安全運(yùn)維規(guī)程涉及表單資產(chǎn)清單主要記錄元素如表B.1所示：資產(chǎn)清單主要記錄元素編號主要記錄元素1資產(chǎn)編碼及名稱2資產(chǎn)類別/類型3資產(chǎn)的業(yè)務(wù)屬性4資產(chǎn)重要性/級別5資產(chǎn)擁有部門/人員6資產(chǎn)使用部門/人員7資產(chǎn)管理部門/人員8資產(chǎn)維護(hù)部門/人員9資產(chǎn)部署/存放位置10資產(chǎn)的TCP/IP信息（IP、MAC、端口、服務(wù)）11資產(chǎn)型號/硬件配置信息12資產(chǎn)軟件及版本信息13資產(chǎn)的維護(hù)/更新信息14資產(chǎn)對應(yīng)的開放端口/服務(wù)用戶ID管理要求建議如表B.2所示：信息系統(tǒng)訪問控制與操作用戶ID管理編號要求1用戶賬戶可根據(jù)管理權(quán)限、訪問操作的重要性、被訪問系統(tǒng)及數(shù)據(jù)的重要性劃分為重要賬戶和普通賬戶2賬戶可根據(jù)其生存周期分為永久賬戶和臨時賬戶3用戶ID的建立和使用應(yīng)與用戶身份進(jìn)行唯一對應(yīng)4應(yīng)遵循最小授權(quán)和最小需知的原則對用戶ID的權(quán)限進(jìn)行分配5應(yīng)維護(hù)一份完整的用戶ID及授權(quán)文檔，并根據(jù)情況進(jìn)行及時和定期的更新6賬戶分配時必須同時生成相應(yīng)的密碼賬戶和密碼應(yīng)采取安全的傳輸方式和途經(jīng)移交給使用人員7應(yīng)建立技術(shù)措施或啟用設(shè)備/系統(tǒng)本身的安全機(jī)制在用戶第一次登錄賬戶時修改密碼88用字母或數(shù)字的密碼登錄場景，應(yīng)通過雙因子/多因子方式，保障登錄的安全性9宜通過技術(shù)機(jī)制要求在第一次登錄賬戶時修改密碼10密碼應(yīng)根據(jù)賬戶的重要性設(shè)定強(qiáng)制更改的時間間隔，密碼的更新周期最低不應(yīng)低于6個月11應(yīng)通過技術(shù)措施實(shí)現(xiàn)對口令的重復(fù)使用檢測，密碼嘗試登錄次數(shù)限制及錯誤登錄達(dá)到上限后的賬戶/權(quán)限鎖定12應(yīng)限制匿名用戶連接權(quán)限，禁用自動登錄、禁用共享賬戶13應(yīng)定期對賬戶的登錄情況、賬戶和權(quán)限的變更以及賬戶的生命周期進(jìn)行審計(jì)和檢查14應(yīng)通過管理制度和安全培訓(xùn)使賬戶使用人知曉組織對賬戶使用的要求網(wǎng)絡(luò)及系統(tǒng)訪問控制編號要求1組織內(nèi)部的網(wǎng)絡(luò)可根據(jù)組織的部門架構(gòu)、物理位置、業(yè)務(wù)系統(tǒng)的分類及重要性劃分為不同的網(wǎng)絡(luò)區(qū)域應(yīng)在網(wǎng)絡(luò)設(shè)備及安全設(shè)備上設(shè)置不同的網(wǎng)絡(luò)區(qū)域間的訪問控制策略，策略的設(shè)定應(yīng)遵循最小授權(quán)的原則2應(yīng)通過安全通信協(xié)議、VPN安全網(wǎng)關(guān)、堡壘機(jī)等實(shí)現(xiàn)對網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)的安全的登錄訪問3應(yīng)根據(jù)業(yè)務(wù)的需求進(jìn)行安全評估后確定向包含互聯(lián)網(wǎng)在內(nèi)的外部網(wǎng)絡(luò)開放對外服務(wù)訪問的IP地址、TCP/IP端口以及開放的時間周期4應(yīng)限制網(wǎng)絡(luò)中特定端口的訪問權(quán)限，應(yīng)關(guān)閉高危、不必要的端口，防止未經(jīng)授權(quán)的用戶或惡意軟件利用開放端口進(jìn)行攻擊或非法訪問5應(yīng)通過網(wǎng)絡(luò)審計(jì)、行為審計(jì)等技術(shù)措施實(shí)現(xiàn)對網(wǎng)絡(luò)訪問活動的監(jiān)測和審計(jì)6應(yīng)對接入網(wǎng)絡(luò)的運(yùn)維工具進(jìn)行安全評估和安全控制7應(yīng)定期對網(wǎng)絡(luò)設(shè)備、安全設(shè)備的訪問控制策略配置進(jìn)行備份8宜維護(hù)一份對外提供開放服務(wù)的文檔，并根據(jù)情況進(jìn)行定期的更新9宜針對每個業(yè)務(wù)系統(tǒng)維護(hù)一份訪問控制及授權(quán)的文檔，并根據(jù)情況進(jìn)行定期的更新10應(yīng)定期開展安全評估，檢測和發(fā)現(xiàn)網(wǎng)絡(luò)及系統(tǒng)訪問過程中可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)數(shù)據(jù)訪問控制編號要求1應(yīng)根據(jù)監(jiān)管要求及組織自身數(shù)據(jù)安全策略目標(biāo)對組織內(nèi)的數(shù)據(jù)進(jìn)行分類分級,并根據(jù)業(yè)務(wù)需求及數(shù)據(jù)安全策略設(shè)置用戶權(quán)限2應(yīng)通過數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、數(shù)據(jù)加密、隱私計(jì)算、加密通訊等技術(shù)措施實(shí)現(xiàn)對數(shù)據(jù)的安全訪共享和訪問3應(yīng)使用數(shù)據(jù)庫審計(jì)系統(tǒng)實(shí)現(xiàn)對數(shù)據(jù)庫的訪問操作審計(jì)監(jiān)控體系內(nèi)容建議表B.3所示：監(jiān)測體系內(nèi)容編號監(jiān)測內(nèi)容1系統(tǒng)運(yùn)行狀態(tài)監(jiān)測2設(shè)備狀態(tài)監(jiān)測3設(shè)備與系統(tǒng)配置監(jiān)測4設(shè)備性能監(jiān)測5設(shè)備故障監(jiān)測6網(wǎng)絡(luò)流量監(jiān)測7通信鏈路監(jiān)測8脆弱性監(jiān)測9網(wǎng)絡(luò)行為監(jiān)測10認(rèn)證與授權(quán)監(jiān)測11網(wǎng)絡(luò)攻擊監(jiān)測12病毒與木馬等惡意程序監(jiān)測13拒絕服務(wù)攻擊監(jiān)測14業(yè)務(wù)應(yīng)用監(jiān)測15運(yùn)維審計(jì)監(jiān)測16數(shù)據(jù)安全監(jiān)測監(jiān)測產(chǎn)品類別如表B.4所示：監(jiān)測產(chǎn)品類別編號監(jiān)測產(chǎn)品類別1系統(tǒng)運(yùn)行狀態(tài)監(jiān)測類產(chǎn)品IT資源管理系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、系統(tǒng)日志軟件2設(shè)備狀態(tài)監(jiān)測產(chǎn)品網(wǎng)絡(luò)管理系統(tǒng)、安全管理系統(tǒng)、終端管理系統(tǒng)、資產(chǎn)管理系統(tǒng)3設(shè)備與系統(tǒng)配置監(jiān)測產(chǎn)品配置核查系統(tǒng)、安全基線系統(tǒng)、漏洞掃描系統(tǒng)、日志審計(jì)/分析系統(tǒng)4設(shè)備性能監(jiān)測產(chǎn)品網(wǎng)絡(luò)管理系統(tǒng)、安全管理系統(tǒng)、終端管理系統(tǒng)、資產(chǎn)管理系統(tǒng)5設(shè)備故障監(jiān)測產(chǎn)品網(wǎng)絡(luò)管理系統(tǒng)、安全管理系統(tǒng)、日志審計(jì)/分析系統(tǒng)6網(wǎng)絡(luò)流量監(jiān)測產(chǎn)品流量監(jiān)測系統(tǒng)、流量控制系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、APT檢測系統(tǒng)7通信鏈路監(jiān)測產(chǎn)品流量監(jiān)測系統(tǒng)、協(xié)議分析系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、設(shè)備日志軟件、負(fù)載均衡設(shè)備8脆弱性監(jiān)測產(chǎn)品漏洞掃描系統(tǒng)9網(wǎng)絡(luò)行為監(jiān)測產(chǎn)品上網(wǎng)行為監(jiān)控系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、WEB應(yīng)用防火墻、終端安全管理系統(tǒng)、入侵檢測/防御系統(tǒng)10認(rèn)證與授權(quán)監(jiān)測產(chǎn)品系統(tǒng)日志軟件、堡壘機(jī)、身份認(rèn)證與授權(quán)系統(tǒng)、4A系統(tǒng)11網(wǎng)絡(luò)攻擊監(jiān)測產(chǎn)品防火墻、WEB應(yīng)用防火墻、入侵檢測/防御系統(tǒng)、流量監(jiān)測系統(tǒng)、防病毒軟件、終端安全管理系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、日志審計(jì)/分析系統(tǒng)12病毒與木馬等惡意程序監(jiān)測產(chǎn)品防病毒網(wǎng)關(guān)、防病毒軟件、入侵檢測/防御系統(tǒng)、APT檢測系統(tǒng)13拒絕服務(wù)攻擊監(jiān)測產(chǎn)品流量清洗設(shè)備、抗拒絕服務(wù)攻擊系統(tǒng)14網(wǎng)站業(yè)務(wù)應(yīng)用監(jiān)測產(chǎn)品WEB應(yīng)用防火墻、網(wǎng)頁防篡改系統(tǒng)、網(wǎng)站安全監(jiān)測系統(tǒng)/服務(wù)15運(yùn)維審計(jì)監(jiān)測產(chǎn)品堡壘機(jī)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、終端管理系統(tǒng)、4A系統(tǒng)16數(shù)據(jù)安全監(jiān)測產(chǎn)品數(shù)據(jù)庫審計(jì)系統(tǒng)、數(shù)據(jù)防泄露系統(tǒng)、互聯(lián)網(wǎng)輿情/數(shù)據(jù)泄露監(jiān)控系統(tǒng)/服務(wù)備份作業(yè)記錄表單主要記錄元素建議如表B.5所示：備份作業(yè)記錄元素編號記錄元素1備份作業(yè)執(zhí)行人2備份作業(yè)審核人3備份作業(yè)成功與否4備份時間5備份方式6備份介質(zhì)7備份模式8備份文件名稱9存儲空間使用情況變更控制規(guī)程的考慮、環(huán)節(jié)及變更記錄表單記錄元素建議參考B.6表變更控制規(guī)程變更控制規(guī)程的考慮編號考慮內(nèi)容1考慮所有依賴關(guān)系，規(guī)劃和評估變更的潛在影響2變更的授權(quán)3向相關(guān)方傳達(dá)變更4變更測試和驗(yàn)收5變更實(shí)施，包括部署計(jì)劃6緊急情況和應(yīng)急考慮，包括回退規(guī)程7維護(hù)包含上述內(nèi)容的變更記錄變更控制規(guī)程的環(huán)節(jié)編號環(huán)節(jié)內(nèi)容1變更需求，包括變更的目的、涉及的范圍、所需的資源等2變更方案，包括變更的實(shí)施步驟、影響范圍、風(fēng)險(xiǎn)評估等3變更申報(bào)，運(yùn)維人員或相關(guān)責(zé)任方根據(jù)變更需求向變更管理團(tuán)隊(duì)提交變更申報(bào)4變更審批，包括對變更方案的業(yè)務(wù)評審、技術(shù)評審、風(fēng)險(xiǎn)評估等5變更執(zhí)行，經(jīng)過審批后，運(yùn)維人員按照變更方案執(zhí)行變更操作6變更監(jiān)控，在變更執(zhí)行過程中，對變更的執(zhí)行情況進(jìn)行監(jiān)控，發(fā)現(xiàn)和解決問題7變更記錄，對變更執(zhí)行的全過程進(jìn)行記錄，包括變更時間、執(zhí)行人員、狀態(tài)等8變更審計(jì)，定期對變更管理過程進(jìn)行審計(jì)，檢查變更方案的執(zhí)行情況、記錄的完整性等變更記錄表的記錄元素編號元素內(nèi)容1變更原因2變更內(nèi)容3變更計(jì)劃時間4變更申請人5變更審核和審批情況6變更實(shí)施人7變更實(shí)施時間8變更實(shí)施結(jié)果9驗(yàn)收意見和結(jié)論10存檔確認(rèn)信息審核的內(nèi)容及審核時考慮因素建議參考B.7表應(yīng)急響應(yīng)工作審核審核內(nèi)容編號內(nèi)容1最新的監(jiān)管要求與組織安全目標(biāo)2應(yīng)急響應(yīng)制度與流程3事件的分類與定級4應(yīng)急響應(yīng)小組人員和能力5應(yīng)急響應(yīng)預(yù)案的制定與修編6應(yīng)急響應(yīng)執(zhí)行過程和執(zhí)行結(jié)果審核時考慮因素編號因素內(nèi)容1相關(guān)利益方的要求和反饋2支持應(yīng)急響應(yīng)的資源及流程3響應(yīng)處置后的結(jié)果及組織可接受的風(fēng)險(xiǎn)水平4應(yīng)急預(yù)案的測試效果及實(shí)際執(zhí)行效果5可能影響應(yīng)急響應(yīng)的各類變更，如業(yè)務(wù)變更、基礎(chǔ)設(shè)施環(huán)境變更、人員變更等6近期處置應(yīng)急事件過程中總結(jié)的經(jīng)驗(yàn)和教訓(xùn)7上次評審活動的后繼活動跟蹤情況安全配置檢查項(xiàng)建議如B.8表安全配置檢查內(nèi)容編號檢查內(nèi)容1網(wǎng)絡(luò)通信協(xié)議的安全設(shè)置2TCP/UDP端口管理3進(jìn)程與服務(wù)管理4登錄管理5賬戶及權(quán)限管理6密碼管理7訪問控制管理8系統(tǒng)資源管理9安全策略管理10事件告警管理11日志管理12審計(jì)策略管理13入侵防護(hù)管理服務(wù)類項(xiàng)目驗(yàn)收準(zhǔn)備文件建議參考B.9服務(wù)類項(xiàng)目驗(yàn)收準(zhǔn)備文件供應(yīng)商通常準(zhǔn)備文件編號文件內(nèi)容1服務(wù)設(shè)計(jì)方案2服務(wù)實(shí)施方案3服務(wù)內(nèi)容輸出物（如會議紀(jì)要、工作記錄表單、測評報(bào)告、咨詢建議、運(yùn)維報(bào)告、運(yùn)維技術(shù)文檔、工單審批記錄、服務(wù)整改記錄、總結(jié)報(bào)告等）項(xiàng)目發(fā)起方通常準(zhǔn)備文件編號文件內(nèi)容1項(xiàng)目預(yù)算審批文件2項(xiàng)目設(shè)計(jì)/規(guī)劃文件3招標(biāo)文件4中標(biāo)通知書5采購合同6定期監(jiān)測和評估文件7服務(wù)質(zhì)量評估報(bào)告8驗(yàn)收要求/方案附 錄 C（資料性）安全運(yùn)維支撐系統(tǒng)功能要求檢測識別類系統(tǒng)資產(chǎn)測繪系統(tǒng)資產(chǎn)測繪系統(tǒng)功能要求應(yīng)包括：應(yīng)通過主動探測掃描聯(lián)網(wǎng)資產(chǎn)獲取資產(chǎn)信息，資產(chǎn)信息包含但不限于：IP地址、MAC地址、端口、服務(wù)，信息類型包含但不限于：系統(tǒng)軟件、操作系統(tǒng)及版本、數(shù)據(jù)庫及版本號、軟件組件、軟件框架、開發(fā)語言、域名、證書、網(wǎng)站標(biāo)題、備案信息、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、視頻監(jiān)控、物聯(lián)網(wǎng)設(shè)備、工控設(shè)備、辦公外設(shè)、企業(yè)應(yīng)用等信息；http協(xié)議的信息抓取，采集的信息包括訪問路徑、域名、請求頭、服務(wù)、網(wǎng)站源碼、標(biāo)題等，保留原始數(shù)據(jù)信息；應(yīng)識別常用協(xié)議，包含但不限于http、https、ftp、ssh、pop3、telnet、mysql、apf、stun、pptp、printer-job-language、irc、ndmp、netbus、nntp、vnc等協(xié)議；http/https協(xié)議的進(jìn)行網(wǎng)站爬蟲信息抓取，采集的信息包括訪問路徑、域名、請求頭、服務(wù)、網(wǎng)站源碼、標(biāo)題等，并保留原始數(shù)據(jù)信息；應(yīng)支持網(wǎng)頁圖標(biāo)自動識別資產(chǎn)；應(yīng)支持蜜罐資產(chǎn)識別，包括低交互蜜罐；json類型蜜罐、高交互類型蜜罐、定制化類型蜜罐等；應(yīng)支持地理位置信息識別，包括IP地址與地理位置映射定位（經(jīng)緯度、國家、城市等，IPASN號關(guān)聯(lián)；IP地址自動與組織關(guān)聯(lián)；DNSIPIPDNS組件；可支持國內(nèi)云服務(wù)商識別；CDNCDN廠商識別；應(yīng)支持自定義資產(chǎn)指紋規(guī)則管理，能對特有資產(chǎn)指紋信息進(jìn)行自定義，并識別資產(chǎn)成功；支持根據(jù)資產(chǎn)指紋規(guī)則名稱、內(nèi)容、類型、廠商查詢規(guī)則。安全配置核查系統(tǒng)安全配置核查系統(tǒng)功能要求應(yīng)包括：核查對象應(yīng)包括并不限于網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、Web等；核查內(nèi)容應(yīng)包括并不限于網(wǎng)絡(luò)通信協(xié)議的安全設(shè)置、TCP/UDP錄管理、賬戶及權(quán)限管理、密碼管理、訪問控制管理、系統(tǒng)資源管理、安全策略管理、事件告警管理、日志管理、審計(jì)策略管理、入侵防護(hù)管理；GA/T1545應(yīng)支持安全配置閉環(huán)管理，對不符合內(nèi)容通過工單下發(fā)給相關(guān)責(zé)任人督促整改，跟蹤過程支持狀態(tài)標(biāo)簽形成跟蹤臺賬；應(yīng)支持導(dǎo)出配置核查合規(guī)情況報(bào)告。漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)的功能要求應(yīng)包括：a）應(yīng)支持自動更新和維護(hù)漏洞庫的能力，確保能及時檢測到最新的安全漏洞；b）漏洞庫應(yīng)覆蓋各類操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、中間件、應(yīng)用程序和服務(wù)；應(yīng)提供對操作系統(tǒng)、應(yīng)用軟件和服務(wù)的安全漏洞深入檢測能力，包括但不限于緩沖區(qū)溢出、注入攻擊、配置錯誤、弱密碼等；應(yīng)支持主動和被動兩種檢測模式，并可根據(jù)策略進(jìn)行模擬攻擊以驗(yàn)證漏洞存在；應(yīng)對發(fā)現(xiàn)的漏洞進(jìn)行風(fēng)險(xiǎn)等級評估和分類，提供CVSS評分或其他行業(yè)認(rèn)可的風(fēng)險(xiǎn)評估體系；f）應(yīng)支持按計(jì)劃定期執(zhí)行掃描任務(wù)，具備靈活的任務(wù)調(diào)度功能；掃描結(jié)果應(yīng)以直觀易讀的格式輸出，包含詳細(xì)報(bào)告和可視化圖表，同時可導(dǎo)出為PDF、CSV等多種格式；應(yīng)支持根據(jù)組織的具體需求定制掃描策略，包括掃描速度、并發(fā)數(shù)量、告警閾值等參數(shù)；i）提供API接口以便于與其他安全系統(tǒng)對接。網(wǎng)站安全監(jiān)測系統(tǒng)網(wǎng)站安全監(jiān)測系統(tǒng)功能要求應(yīng)包括：httphttpsGA/T1550應(yīng)支持網(wǎng)站漏洞檢測；應(yīng)支持對網(wǎng)站訪問時延、DNS應(yīng)支持監(jiān)測網(wǎng)站可用性。違規(guī)外聯(lián)檢測系統(tǒng)違規(guī)外聯(lián)檢測系統(tǒng)功能要求應(yīng)包括：IP，給掃描目標(biāo)發(fā)送掃描報(bào)文，掃描目標(biāo)收到報(bào)文后，會向源地址即偽造的外網(wǎng)服務(wù)器地址回報(bào)文，外網(wǎng)服務(wù)器收到報(bào)文并解析，顯示外聯(lián)主機(jī)信息；違規(guī)內(nèi)聯(lián)設(shè)備檢測，支持基于掃描方式檢測網(wǎng)絡(luò)中私自擴(kuò)展的非法內(nèi)聯(lián)設(shè)備，可識別類型包APWi-Fi、BYOD路由器設(shè)備、雙網(wǎng)卡等；IPIP地址、外聯(lián)時間、外聯(lián)次數(shù)等。防護(hù)管理類系統(tǒng)攻擊面管理系統(tǒng)網(wǎng)絡(luò)資產(chǎn)攻擊面管理系統(tǒng)功能要求應(yīng)包括：應(yīng)識別對象涵蓋資產(chǎn)實(shí)體和資產(chǎn)屬性，包括并不限于：硬件資產(chǎn)：服務(wù)器、云主機(jī)、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、物聯(lián)網(wǎng)設(shè)備、終端設(shè)備等；資產(chǎn)屬性：IP地址、域名、子域名、端口、API、應(yīng)用系統(tǒng)、證書等；軟件資產(chǎn)：操作系統(tǒng)、數(shù)據(jù)庫、中間件、郵件系統(tǒng)、辦公軟件、安全軟件等；移動資產(chǎn)·：APP、公眾號、生活號、小程序等；數(shù)字資產(chǎn)：源代碼、文檔、賬號、客戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等；脆弱性風(fēng)臉：漏洞、弱口令、配置核查、供應(yīng)鏈安全、非法數(shù)據(jù)販賣等；應(yīng)具備多源資產(chǎn)數(shù)據(jù)接入能力。包括但不限于CMDB、資產(chǎn)測繪系統(tǒng)、終端管理平臺、ADNDR、EDR、HDR（HIDS）等具備資產(chǎn)發(fā)現(xiàn)能力的安全產(chǎn)品，支持持續(xù)交叉驗(yàn)證、去重/擴(kuò)充、屬性補(bǔ)全、標(biāo)記等操作；支持結(jié)合業(yè)務(wù)數(shù)據(jù)流、網(wǎng)絡(luò)流量、訪問拓?fù)涞榷鄠€維度，綜合描繪出資產(chǎn)之間的關(guān)系鏈，將原本不同組織的資產(chǎn)臺賬融合為統(tǒng)一的資產(chǎn)視圖；應(yīng)支持基于業(yè)務(wù)視角的資產(chǎn)屬性完善與關(guān)聯(lián)。通過“標(biāo)簽”對資產(chǎn)所屬的業(yè)務(wù)線、系統(tǒng)應(yīng)用、相關(guān)負(fù)責(zé)人等屬性進(jìn)行關(guān)聯(lián)補(bǔ)充，體現(xiàn)出資產(chǎn)的業(yè)務(wù)價值等級、業(yè)務(wù)連續(xù)性要求等重要屬性；每個屬性的“標(biāo)簽”支持自定義添加；應(yīng)支持收斂優(yōu)先級提示，結(jié)合資產(chǎn)價值、業(yè)務(wù)權(quán)重、告警可信度、漏洞優(yōu)先級等維度，提示攻擊暴露面中的收斂優(yōu)先級；應(yīng)支持異常資產(chǎn)分析，包括資產(chǎn)異常上線、特定資產(chǎn)異常離線、開放高危端口、應(yīng)用高危服務(wù)、使用高危軟硬件產(chǎn)品等監(jiān)控并告警；應(yīng)支持對資產(chǎn)信息變化發(fā)現(xiàn)，并以時間軸的形式記錄資產(chǎn)變化生命周期，記錄信息包括但不MAC地址、端口、協(xié)議、服務(wù)、負(fù)責(zé)人、漏洞信息、地理位置、網(wǎng)站快照等；支持記錄變化時間、變化前后信息、新增、減少；f)應(yīng)支持風(fēng)險(xiǎn)要素收斂生命周期管理，將需要收斂的風(fēng)險(xiǎn)要素向相關(guān)負(fù)責(zé)人或維護(hù)人下發(fā)處置工單，跟蹤事件的處置過程直至風(fēng)險(xiǎn)要素歸檔，歸檔狀態(tài)包括并不限于關(guān)閉、接受、忽略等。資產(chǎn)管理系統(tǒng)資產(chǎn)管理系統(tǒng)功能要求應(yīng)包括：應(yīng)支持關(guān)聯(lián)資產(chǎn)測繪、攻擊面管理等系統(tǒng)自動發(fā)現(xiàn)的信息，支持手工錄入未能自動識別的資產(chǎn)信息，包括屬性補(bǔ)全、價值判斷、分類標(biāo)記等；應(yīng)能將資產(chǎn)數(shù)據(jù)編制成資產(chǎn)清單，信息資產(chǎn)的相關(guān)屬性至少包括信息資產(chǎn)的名稱、資產(chǎn)類型、登記時間、區(qū)域或位置、重要程度等；GB/T22240規(guī)定的定級信息，以及信息系統(tǒng)涵蓋的軟硬件資產(chǎn)信息、備案編號、測評結(jié)果等信息；應(yīng)支持維護(hù)安全產(chǎn)品、商用密碼產(chǎn)品的相關(guān)資質(zhì)信息；GB/T20984進(jìn)行分類分級和計(jì)算資產(chǎn)價值；支持根據(jù)業(yè)務(wù)需要自定義資產(chǎn)模型，并為每個資產(chǎn)模型自定義資產(chǎn)屬性； 支持自定義資產(chǎn)模型之間的關(guān)系，包括并不限于隸屬、包含和一對一、多對多關(guān)系，支持自動生成資產(chǎn)關(guān)聯(lián)關(guān)系拓?fù)?；支持資產(chǎn)分布的拓?fù)鋱D繪制，支持拓?fù)鋱D元素的增加、修改、刪除；能在拓?fù)鋱D上實(shí)時顯示資產(chǎn)的分布狀態(tài)、運(yùn)行狀態(tài)、故障報(bào)警等信息； 應(yīng)能實(shí)時監(jiān)測資產(chǎn)運(yùn)行狀態(tài)：硬件資產(chǎn)狀態(tài)至少包括在線狀態(tài)、CPU使用率、內(nèi)存占用率、存儲空間使用情況等；軟件資產(chǎn)狀態(tài)至少包括被管理主機(jī)安裝的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用軟件等軟件資產(chǎn)的進(jìn)程、服務(wù)運(yùn)行狀態(tài)等；應(yīng)支持對資產(chǎn)數(shù)據(jù)進(jìn)行產(chǎn)品類型、廠商統(tǒng)計(jì)、關(guān)鍵屬性統(tǒng)計(jì)； 應(yīng)提供報(bào)警方式，通知授權(quán)管理員，報(bào)警內(nèi)容包括并不限于資產(chǎn)安全策略不生效、資產(chǎn)運(yùn)行CPU使用率/內(nèi)存占用率/存儲空間使用情況等超過設(shè)定的閾值、用戶鑒別失敗的次數(shù)達(dá)到或超過指定閾值等；GA/T1359要求。漏洞管理系統(tǒng)漏洞管理系統(tǒng)功能要求應(yīng)包括：應(yīng)支持多對源異構(gòu)的開源和商業(yè)版本漏洞掃描系統(tǒng)的任務(wù)調(diào)度，支持漏洞數(shù)據(jù)的標(biāo)準(zhǔn)化處CVE、CNVD、CNNVD進(jìn)行歸一化去重處理，降低漏洞數(shù)量和數(shù)據(jù)噪音；應(yīng)支持導(dǎo)入或錄入滲透測試數(shù)據(jù)；GB/T28458的規(guī)范；應(yīng)支持發(fā)現(xiàn)不合規(guī)定的弱口令，支持自定義弱口令字典；POC的漏洞進(jìn)行驗(yàn)證和標(biāo)記，支持自定義漏洞驗(yàn)證插件；應(yīng)支持將漏洞與資產(chǎn)測繪數(shù)據(jù)關(guān)聯(lián)，根據(jù)資產(chǎn)價值、被利用性、影響程度、環(huán)境等因素評估漏洞分級，分級指標(biāo)及分級方法遵循GB/T30279-20206章的要求；應(yīng)支持漏洞生命周期跟蹤，支持將漏洞下發(fā)工單給相關(guān)責(zé)任人，跟蹤狀態(tài)包括并不限于未處理、待修復(fù)、待核查、已修復(fù)、忽略、誤報(bào)、復(fù)現(xiàn)等；宜支持聯(lián)動安全設(shè)備或網(wǎng)絡(luò)設(shè)備，在不影響業(yè)務(wù)連續(xù)性的清下，對部分資產(chǎn)做臨時下線處理；可支持對已修復(fù)漏洞進(jìn)行修復(fù)自檢；應(yīng)支持對資產(chǎn)漏洞進(jìn)行多種維度統(tǒng)計(jì)，如各標(biāo)記數(shù)量統(tǒng)計(jì)、已修復(fù)漏洞數(shù)量、未修復(fù)漏洞數(shù)量、修復(fù)周期等；應(yīng)支持導(dǎo)出漏洞整改、漏洞處置進(jìn)展等報(bào)告。安全合規(guī)管理系統(tǒng)安全合規(guī)管理系統(tǒng)功能要求應(yīng)包括：應(yīng)具備合規(guī)知識庫管理功能，依據(jù)國家網(wǎng)絡(luò)安全法律法規(guī)、政策、標(biāo)準(zhǔn)規(guī)范以及區(qū)域、行業(yè)、企業(yè)的安全監(jiān)管要求分解合規(guī)控制項(xiàng)，并支持自定義維護(hù)知識庫信息；應(yīng)支持基于關(guān)鍵字對網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)、制度進(jìn)行全文檢索，支持維護(hù)添加制度文件；應(yīng)支持維護(hù)內(nèi)部制度的修訂記錄、評審記錄；應(yīng)支持維護(hù)檢查模版，從合規(guī)知識庫中抽取合規(guī)控制項(xiàng)形成檢查模板；內(nèi)置支持風(fēng)險(xiǎn)評估、入網(wǎng)檢查、等保差距分析等模板，支持自定義新增模板，支持為每個模版配置各自的評分方法；應(yīng)檢查模板中的調(diào)研類信息支持配置與資產(chǎn)庫的關(guān)聯(lián)關(guān)系，實(shí)現(xiàn)完成填報(bào)時信息自動回填資產(chǎn)庫；應(yīng)支持同時向同類型的多個對象下發(fā)檢查任務(wù)，應(yīng)對抽查和精準(zhǔn)檢查情況，支持關(guān)聯(lián)資產(chǎn)和不關(guān)聯(lián)資產(chǎn)兩個模式；應(yīng)支持情況描述示例知識庫，在檢查填報(bào)時給予填報(bào)人員提示；應(yīng)支持生成單個對象檢查報(bào)告、同批次多個對象檢查報(bào)告；應(yīng)支持不合規(guī)內(nèi)容的閉環(huán)管理，通過工單通知相關(guān)負(fù)責(zé)人，跟蹤狀態(tài)包括并不限于未下發(fā)、整改中、待復(fù)查、已整改、