Web Security Notes 5

网络安全管理

2020-12-01 00:10:03
0000-00-00 00:00:00
1147
本节完成时间:12月6日。最后更新:12月8日。

信息系统定级

工业控制系统

工业控制系统主要生产管理层现场设备层现场控制层过程监控层构成。

其中生产管理层应单独定级,其划分应遵循信息系统定级划分方法。

现场设备层现场控制层过程监控层应作为一个整体对象定级,各层次要素不单独定级。

云计算平台

在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。

对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

物联网

物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等结构组成部分。

移动互联网

采用移动互联网技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。

大数据

应将具有统一安全责任单位的大数据平台作为一个整体对象定级,或将其与责任主体相同的相关支撑平台统一定级。

其他信息系统

作为定级对象的基本特征:

(1)具有确定的主要安全责任单位。

(2)承载相对独立的业务应用。

(3)具有信息系统的基本要素。

介质访问控制

存储设备的使用人员在安装和使用时必须防止未授权的访问;介质需提供给第三方使用时,应进行审批登记。

必须对所有介质的出库与入库及其存储记录进行控制,如要从库中移出,由申请人或申请部门填写《介质进出记录表》。对标记为限制类的介质需要经过领导和该企业所属业务部门领导签字同意,对标记为涉密的介质需由高级管理层以上负责人签字同意,方可移出。该记录至少保留1年以上,以备库存管理和审计。

所有含有敏感信息的介质必须做好保密工作,禁止任何人擅自带离;如更换或维修属于合作方保修范围内损坏的介质,需要和合作方签定保密协议,以防止泄露其中的敏感信息。

访问介质需要有授权,并在介质管理人员处进行登记,填写《介质使用授权表》。

访问控制安全策略

最小特权原则

最小泄露原则

多级安全策略

安全管理人员配备要求

(1)应配备一定数量的系统管理员、网络管理员、安全管理员等。

(2)应配备专职安全管理员,不可兼任。

备份与恢复管理

备份范围

重要系统的操作系统、系统配置文件、数据文件和数据库。

备份方式

完全备份:备份全部数据。

增量备份:备份上一次备份改变的数据。

差量备份:备份上一次完全备份改变的数据。

差量备份在避免上面两种备份方式的缺陷的同时保留了它们的优点:系统无需每天做完全备份,这大大减少了备份空间和时间,并且在进行灾难恢复时非常方便,管理员只需要完全备份的数据和上一次差量备份的数据就可以完成系统的数据恢复。

存储备份系统日常管理

存储备份系统由信息安全中心安排专人负责管理和日常维护,禁止不相关人员对系统进行操作。

任何人不得随意改动,如需修改、恢复,须严格按照审批流程,经过批准后方可操作。

变更操作需要记录。

定期备份、测试、检查。

跳转到:PREV | NEXT