安全基线管理规范

安全基线管理是为了规范系统安全基线配置过程,加强系统安全配置的强度与质量,防止未经授权的访问、黑客攻击等造成的系统故障与业务中断,保证系统运行安全。

▼▼安全配置基线定义

安全配置基线是指系统实现安全运行所需要的最低安全配置,是系统所要达到的安全基本要求。

系统安全配置管理

通用安全配置技术规范涉及五个方面,包括账号管理、认证授权、审计日志、访问控制和服务配置,是编制各类系统安全配置技术规范的依据。
▼▼账号管理方面的要求包括:
  • 应按照用户分配账号;
  • 避免不同用户间共享账号;
  • 避免员工用户账号和系统间通信使用的账号共享;
  • 应删除或锁定与系统运行、维护等工作无关的账号。

▼▼认证授权方面的要求包括:

  • 对于采用静态口令认证技术的系统,口令长度至少10位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类;

  • 账号口令输入错误超过5次自动锁定一定时间;

  • 账号口令的生存期不长于90天;

  • 系统权限应遵循“最小权限”原则,在系统配置能力内,根据用户需要,配置其所需的最小权限。
▼▼审计日志方面的要求包括:

  • 应配置日志功能对普通用户登录进行记录,记录内容包括但不限于用户登录使用的账号,登录是否成功,登录时间;

  • 应配置日志功能记录管理员对系统的操作,包括但不限于以下内容:账号创建、删除和权限修改,口令修改,读取和修改系统配置;日志记录中需要包含用户账号,操作时间,操作内容以及操作结果;

  • 系统应配置权限,控制对日志文件读取、修改和删除权限操作。

▼▼访问控制方面的要求包括:

  • 网络系统应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量;

  • 对于使用IP协议远程维护的系统,系统应配置使用SSH等加密协议。

▼▼服务配置方面的要求包括:

  • 系统中应关闭不必要的服务,卸载不必要的组件;

  • 对于具有交互界面的系统,应开启操作空闲超时退出功能。

安全配置基线说明

系统安全配置基线涉及操作系统、数据库、中间件和应用、网络设备四类系统,详细如下:

  • 操作系统:包括Windows、Linux、AIX、Solaris等操作系统;
  • 数据库:包括Oracle、DB2、MySQL、SQL Server等数据库;
  • 中间件和应用:包括Tomcat、Weblogic、Websphere等中间件;Apache、IIS等Web应用;
  • 网络设备:包括Cisco防火墙、Juniper防火墙等防火墙;Cisco、华为路由器/交换机等路由交换设备等。
配置基线的配置项按必要性分为基本配置项和可选配置项。其中有“基本”字样的配置项,均为对此类系统的基本安全配置要求;未涉及“基本”字样的配置项,各系统管理岗位人员可视实际需求酌情遵从。
配置基线中配置项内容包含配置项描述、检查方法、操作步骤、回退操作和操作风险说明。

  • 配置项描述:描述该配置项的目的和执行该配置项可以降低的安全风险;

  • 检查方法:描述如何检查该配置项是否已经符合;

  • 操作步骤:描述如何进行操作可以完成该项安全配置,即该项如何进行安全加固;

  • 回退操作:描述配置过程中或完成后系统可用性或服务受到影响,如何进行回退;

  • 操作风险:描述执行该配置项可能给信息系统带来的风险隐患,系统管理岗位人员应谨慎实施操作高风险配置项。

增加新的系统类型时,应根据系统安全基线配置需求,制定新的安全配置规范。

所有系统安全配置规范应根据系统最新的安全要求,定期(每年一次)进行修订。

安全基线配置管理

▼▼制定安全配置基线

信息安全管理岗位人员负责识别新增加的系统类型,并参考系统基线安全管理工作准则和信息安全最佳实践制定系统安全配置规范。

在制定系统安全配置规范时,应将配置基线的配置项按必要性分为基本配置项和可选配置项,并详细写明配置项描述、检查方法、操作步骤、回退操作和操作风险说明等内容。

在制定系统安全配置规范时,应组织系统管理岗位人员、开发管理岗位人员、信息安全管理岗位人员等共同参与讨论,必要时可寻求系统厂商及信息安全机构的协助。

系统安全配置规范初稿制定完成后,由信息安全管理岗位人员牵头组织信息技术部门相关领导进行规范评审,评审通过后在信息技术部范围内进行发布。

系统安全配置规范发布后,由信息安全管理岗位人员组织各系统管理岗位人员对系统安全配置规范进行宣讲及培训,并传达系统安全配置的要求。

▼▼安全配置项的实施评估

对于新上线的系统,各系统管理岗位人员应根据系统安全配置规范中的配置基线要求,对系统进行检查和加固。系统上线实施前,信息安全管理岗位人员应对系统安全配置进行合规检查,如不符合系统安全配置规范中的配置基线要求,系统不能进行上线实施。

对于已经上线的系统,各系统管理岗位人员应按系统的重要程度逐步对系统进行加固,以使系统配置满足系统安全配置规范中的配置基线要求。

在对已上线系统安全配置加固时,系统管理岗位人员应按照系统变更管理的要求进行审批,进行严格的系统测试,并事先做好系统配置和数据的备份工作,保证加固过程中对系统影响控制到最小。

由于业务功能的需要某些配置项无法实施,应综合评估影响且采取适当的补偿性控制措施。

▼▼更新安全配置基线

如果发现系统安全配置规范中的安全基线配置要求无法进行实施,或实施后对系统产生不可接受的影响,各系统管理岗位人员可以向信息安全管理岗位人员提出修订系统安全配置规范的需求。

如果系统的功能、版本升级,或系统出现重大安全漏洞,系统安全配置规范不再适用或需要修订时,各系统管理岗位人员应及时通知信息安全管理岗位人员,并应主动提出系统安全配置规范修订要求。

信息安全管理岗位人员在进行信息安全工作过程中,如发现现有系统安全配置规范需要进行修订,也应将发现的情况及时通知各系统管理员,并牵头组织系统安全配置规范的修订工作。

信息安全管理岗位人员牵头组织系统安全配置规范的修订更新工作,协调各相关岗位人员进行系统安全配置基线要求的讨论评审,评审内容包括基线配置项及基线配置要求两部分内容。

在对系统安全配置规范的修订更新过程中,必须评估对配置项的调整所产生的信息安全风险,配置项删除或配置基线要求降低时,应综合评估影响且采取适当的补偿性控制措施。

▼▼安全配置基线检查

信息安全管理岗位人员应定期(每年至少一次)或不定期地对系统安全配置进行检查,及时发现系统安全配置不符合项。

对于发现的系统安全配置不符合项,如果是违反系统安全配置规范中安全基线配置要求的,应要求相应的系统管理员进行必要的整改,并对系统安全配置的加固整改进行必要的验证。

扩展  ·  本文相关链接

· 防病毒管理规范

·系统运维中安全控制要求落地(上)

·访问控制安全管理策略

· 通信与操作安全控制要点与管理策略

·信息系统开发与维护安全控制要点与管理策略

(0)

相关推荐