電信網和互聯網管理安全等級保護要求
1范圍
本標準規定了公眾電信網和互聯網的管理安全等級保護要求。
本標準適用于電信網和互聯網安全防護體系中的各種網絡和系統。
2規范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本標準。然而,鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本.凡是不注日期的引用文件,其最新版本適用于本標準。
3術語和定義
下列術語和定義適用于本標準。
3.1
電信網telecom network
利用有線和,或無線的電磁、光電網絡,進行文字、聲音、數據、圖像或其他任何媒體的信息傳遞的網絡,包括固定通信網、移動通信網等。
3.2
互聯網internet
泛指由多個計算機網絡相互連接而形成的網絡,它是在功能和邏輯上組成的大型計算機網絡。
3.3
安全等級security classification
安全重要程度的表征.重要程度可從網絡受到破壞后,對國家安全、社會秩序、經濟運行、公共利益、網絡和業務運營商造成的損害來衡量。
4管理安全等級保護要求
4.1第1級要求
不作要求。
4.2第2級要求
4.2.1安全管理制度
4.2.1.1管理制度
a)? 應制定安全工作的總體方針和安全策略,說明機構安全工作的總體目標、范圍、原則和安全框架等;
b)? 應對安全管理活動中重要的管理內容建立安全管理制度;
c)? 應對安全管理人員或操作人員執行的重要管理操作建立操作規程。
4.2.1.2制定和發布
a)? 應指定或授權專門的部門或人員負責安全管理制度的制定;
b)? 應組織相關人員對制定的安全管理制度進行論證和審定;
c)? 應將安全管理制度以某種方式發布到相關人員手中。
4.2.1.3評審和修訂
應定期對安全管理制度進行評審,對存在不足或需要改進的安全管理制度進行修訂。
4.2.2安全管理機構
4.2.2.1崗位設置
a)? 應設立安全主管、安全管理各個方面的負責人崗位,定義各負責人的職責;
b)? 應設立系統管理人員、網絡管理人員、安全管理員崗位,定義各個工作崗位的職責。
4.2.2.2人員配備
應配備一定數量的系統管理人員、網絡管理人員、安全管理員等。
4.2.2.3授權和審批
a)? 應根據各個部門和崗位的職責明確授權審批部門及批準人,對系統投入運行、網絡系統接入和重要資源的訪問等關鍵活動進行審批;
b)? 應針對關鍵活動建立審批流程,并由批準人簽字確認。
4.2.2.4溝通和合作
a)? 應加強各類管理人員之間、組織內部機構之間以及網絡安全職熊部門內部的合作與溝通;
b)? 應加強與相關外部單位的合作與溝通。
4.2.2.5審核和檢查
應由安全管理人員定期進行安全檢查,檢查內容包括用戶賬號情況、系統漏洞情況、數據備份等情況。
4.2.3人員安全管理
4.2.3.1人員錄用
a)? 應指定或授權專門的部門或人員負責人員錄用;
b)? 應規范人員錄用過程,對被錄用人員的身份、背景和專業資格等進行審查,對其所具有的技術技能進行考核;
c)? 應與從事關鍵崗位的人員簽署保密協議。
4.2.3.2人員離崗
a)應規范人員離崗過程,及時終止離崗員工的所有訪問權限;
b)對于離崗人員,應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備;
c)對于離崗人員,應辦理嚴格的調離手續。
4.2.3.3人員考核
應定期對各個崗位的人員進行安全技能及安全認知的考核。
4.2.3.4安全意識教育和培訓
a)? 應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓;
b)? 應告知人員相關的安全責任和懲戒措施,并對違反違背安全策略和規定的人員進行懲戒;
c)? 應制定安全教育和培訓計劃,對網絡安全基礎知識、崗位操作規程等進行培訓.
4.2.3.5外部人員訪問管理
應確保在外部人員訪問受控區域前得到授權或審批,批準后由專人全程陪同或監督,并登記備案。
4.2.4安全建設管理
4.2.4.1定級
a)? 應明確網絡的邊界和安全保護等級
b)? 應以書面的形式說明網絡確定為某個安全等級的方法和理由;
c)? 應確保網絡的定級結果經過相關部門的批準。
4.2.4.2安全方案設計
a)? 應根據網絡的安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施;
b) ?應以書面形式描述對網絡的安全保護要求、策略和措施等內容,形成網絡的安全方案;
c)? 應對安全方案進行細化,形成能指導安全系統建設、安全產品采購和使用的詳細設計方案;
d)? 應組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定,并且經過批準后,才能正式實施。
4.2.4.3產品采購和使用
a)? 應確保安全產品采購和使用符合固家的有關規定;
b)? 應確保密碼產品采購和使用符合國家密碼主管部門的要求;
c)? 應指定或授權專門的部門負責產品的采購。
4.2.4.4自行軟件開發
a)? 應確保開發環境與實際運行環境物理分開;
b)應制定軟件開發管理制度,明確說明開發過程的控制方法和人員行為準則;
c)應確保提供軟件設計的相關文檔和使用指南,并由專人負責保管。
4.2.4.5外包軟件開發
a)? 應根據開發需求檢測軟件質量;
b)? 應要求開發單位提供軟件設計的相關文檔和使用指南;
c)? 應在軟件安裝之前檢測軟件包中可能存在的惡意代碼。
4.2.4.6工程實施
a)? 應指定或授權專門的部門或人員負責工程實施過程的管理;
b)? 應制定詳細的工程實施方案,控制工程實施過程。
4.2.4.7測試驗收
a)? 應對系統進行安全性測試驗收:
b)? 在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案,在測試驗收過程中應詳細記錄測試驗收結果,并形成測試驗收報告;
c)? 應組織相關部門和相關人員對網絡測試驗收報告進行審定,并簽字確認。
4.2.4.8交付
a)? 應制定網絡交付清單,并根據交付清單對所交接的設備、軟件和文檔等進行清點;
b)? 應對負責網絡運行維護的技術人員進行相應的技能培訓;
c)? 應確保提供網絡建設過程中的文檔和指導用戶進行網絡運行維護的文檔。
4.2.4.9安全服務商的選擇
a)? 應確保安全服務商的選擇符合國家的有關規定;
b)? 應與選定的安全服務商簽訂與安全相關的協議,明確約定相關責任;
c)? 應確保選定的安全服務商提供技術支持和服務承諾,必要時與其簽訂服務合同。
4.2.4.10備案
應將網絡的定級、屬性等資料指定專門的人員或部門負責管理,并控制這些材料的使用。
4.2.5安全運維管理
4.2.5.1環境管理
a)?? 應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護管理;
b)? 應配備機房安全管理人員,對機房的出入、服務器的開機或關機等工作進行管理;
c)? 應建立機房安全管理制度,對有關機房物理訪問,物品帶進、帶出機房和機房環境安全等方面的管理作出規定;
d)? 應加強對辦公環境的保密性管理,包括工作人員調離辦公室應立即交還該辦公室鑰匙和不在辦公區接待來訪人員等。
4.2.5.2資產管理
a)? 應編制與網絡相關的資產清單,包括資產責任部門、重要程度和所處位置等內容;
b)? 應建立資產安全管理制度-規定資產管理的責任人員或責任部門,并規范資產管理和使用的行為。
4.2.5.3介質管理
a)? 應確保介質存放在安全的環境中,對各類介質進行控制和保護,并實行存儲環境專人管理;
b)? 應對介質歸檔和查詢等過程進行記錄,并根據存檔介質的目錄清單定期盤點;
c)? 應對需要送出維修或銷毀的介質,首先清除其中的敏感數據,防止信息的非法泄漏;
d)? 應根據所承載數據和軟件的重要程度對介質進行分類和標識管理。
4.2.5.4設備管理
a)? 應對網絡相關的各種設備(包括備份和冗余設備)、線路等指定專門的部門或人員定期進行維護管理;
b)應建立基于申報、審批和專人負責的設備安全管理制度,對各種軟硬件設備的選型、采購、發放和領用等過程進行規范化管理;
c)? 應對終端計算機、工作站、便攜機、系統和網絡等設備的操作和使用進行規范化管理,按操作規程實現關鍵設備(包括備份和冗余設備)的啟動,停止、加電,斷電等操作;
d) ?應確保信息處理設備必須經過審批才能帶離機房或辦公地點。
4.2.5.5網絡安全管理
a)? 應指定人員對網絡進行管理,負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作;
b)? 應建立網絡安全管理制度,對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規定;
c)? 應根據廠家提供的軟件升級版本對網絡設備進行更新,并在更新前對現有的重要文件進行備份;
d)? 應定期對網絡系統進行漏洞掃描,對發現的網絡系統安全漏洞進行及時的修補;
e)? 應對網絡設備的配置文件進行定期備份;
f)? 應保證所有與外部系統的連接均得到授權和批準。
4.2.5.6系統安全管理
a)? 應根據業務需求和系統安全分析確定系統的訪問控制策略;
b)? 應定期進行漏洞掃描,對發現的系統安全漏洞及時進行修補;
c)? 應安裝系統的最新補丁程序,在安裝系統補丁前,應首先在測試環境中測試通過,并對重要文件進行備份后,方可實施系統補丁程序的安裝;
d)? 應建立系統安全管理制度,對系統安全策略、安全配置、日志管理和日常操作流程等方面作出規定;
e)? 應依據操作手冊對系統進行維護,詳細記錄操作日志,包括重要的日常操作、運行維護記錄、參數的設置和修改等內容,嚴禁進行未經授權的操作;
f)? 應定期對運行日志和審計數據進行分析,以便及時發現異常行為。
4.2.5.7惡意代碼防范管理
a)? 應提高所有用戶的防病毒意識,告知及時升級防病毒軟件,在讀取移動存儲設備上的數據以及從網絡上接收文件或郵件之前,先進行病毒檢查,對外來計算機或存儲設備接入網絡系統之前也,直進行病毒檢查;
b)? 應指定專人對網絡和主機進行惡意代碼檢測并保存檢測記錄;
c)? 應對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確規定。
4.2.5.8密碼管理
應使用符合國家密碼管理規定的密碼技術和產品。
4.2.5.9變更管理
a)? 應確認網絡中要發生的重要變更,并制定相應的變更方案;
b)? 網絡發生重要變更前,應向主管領導申請,審批后方可實施變更,并在實施后向相關人員通告。
