本篇為管理要求中系統(tǒng)運(yùn)維管理的部分，等級保護(hù)中內(nèi)容最多的一個章節(jié)。文中內(nèi)容都是個人觀點，如有不對的地方歡迎糾正。文章以等保三級系統(tǒng)為基礎(chǔ)，從合規(guī)角度解讀要求。

正文

本部分內(nèi)容有些地方看起來可能會和技術(shù)要求差不多，但是從管理和流程方面來約束的，主要考察管理制度的運(yùn)行情況。本部分內(nèi)容較長，建議各位分段看，全部閱讀起來可能會需要較長時間。

7.2.5 系統(tǒng)運(yùn)維管理

**a) 應(yīng)指定專門的部門或人員定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；**b) 應(yīng)指定部門負(fù)責(zé)機(jī)房安全，并配備機(jī)房安全管理人員，對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理；**c) 應(yīng)建立機(jī)房安全管理制度，對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定；**d) 應(yīng)加強(qiáng)對辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、 工作人員離開座位應(yīng)確保終端計算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等。** |

這里又把物理安全的內(nèi)容重新提了一遍，但重點是管理而非技術(shù)。

a) 機(jī)房的日常巡檢，一般是每日，也可以是三日，最多不能超過一周，不然有些說不過去；這類工作大部分是由運(yùn)維來負(fù)責(zé)，除了設(shè)備狀況和信息告警這類常規(guī)檢查外，環(huán)境和設(shè)施也要檢查，比如溫濕度是不是在合理范圍內(nèi)、滅火系統(tǒng)的壓力表是否正常（對于指針位于紅色區(qū)域的滅火器材要及時更換）、強(qiáng)電設(shè)備及UPS運(yùn)行狀況有無異常、機(jī)房內(nèi)有無凝露的情況等等。并且要有巡檢的記錄和巡檢人簽名。

b) 本條要求一般只要不是配線間級別的機(jī)房都會做得差不多，可能有些企業(yè)不會去做各種訪問記錄、操作記錄，但檢查時看的就是這些記錄文檔；從管理角度來看，這些基礎(chǔ)的工作還是要做起來的，不能偷懶。

c) 小企業(yè)可能沒有機(jī)房制度或者太簡單，大中型企業(yè)一般都有，這類制度目前大同小異，都是模板式的文檔，可以根據(jù)自身情況修改一下，做成宣傳板掛到機(jī)房或管理室的墻上。

d) 這里是一些安全意識細(xì)節(jié)，也是不好管理的點，畢竟制度和要求可以有，具體能執(zhí)行的如何沒辦法有效控制。本條只是舉了幾個例子，其實目前不是檢查，而是督促企業(yè)加強(qiáng)安全意識教育和宣傳，不要因為缺少相關(guān)意識給企業(yè)帶來損失，不只是資金上，大公司還有企業(yè)形象層面的社會影響。

這里提的就是離職人員，一定要第一時間收回各種權(quán)限，門禁、鑰匙之類物品；工作設(shè)備不用時要手動鎖屏，或設(shè)置自動鎖屏；關(guān)鍵區(qū)域外人及無關(guān)人員不得訪問；敏感類資料不要直接放在桌面，紙質(zhì)材料不能隨便至于辦公桌，會議討論的方案或系統(tǒng)架構(gòu)類的信息要及時清除（在白板上臨時寫的一些內(nèi)容）。

這類細(xì)節(jié)其實很多，標(biāo)準(zhǔn)不可能窮舉。

a) 應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；**b) 應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為；**c) 應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施；**d) 應(yīng)對信息分類與標(biāo)識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進(jìn)行規(guī)范化管理。 |

資產(chǎn)管理一直都是大事，但一直不被重視，大多數(shù)公司摸不清自己的家底，存在邊緣資產(chǎn)。這種情況無論是管理還是安全層面都是潛在風(fēng)險，等被人搞了才知道原來自己還有這么個東西在網(wǎng)絡(luò)中。

a) 由于標(biāo)準(zhǔn)比較老，這里提的還是紙質(zhì)的資產(chǎn)列表清單，當(dāng)前來看基本都是電子清單或者是資產(chǎn)統(tǒng)一管理平臺。建議如果有預(yù)算還是上一套資產(chǎn)管理系統(tǒng)，若是沒錢，那就辛苦點進(jìn)行資產(chǎn)梳理，盡可能避免存在邊緣未知資產(chǎn)。這里其實對于自己的東西還好（接觸過一個CIO，下邊每個員工的鼠標(biāo)鍵盤他都清楚，對資產(chǎn)管理非常重視，但是提到外包人員在企業(yè)內(nèi)部新建的資產(chǎn)清單情況，瞬間就心虛了），重點是第三方人員的管理，比如外包開發(fā)軟件，要利用企業(yè)資源搭建開發(fā)環(huán)境，測試環(huán)境，安服方面演練可能還會搭個靶場什么的，這幫人裝了多少個虛擬機(jī)，建了多少個數(shù)據(jù)庫，開了多少端口，哪些設(shè)備連了外網(wǎng)，這些作為甲方坑內(nèi)不可能全都弄清楚，那么項目交付后，這些臨時的資產(chǎn)（硬件、軟件、信息類）是否全部下線或卸載，以我的實際經(jīng)歷來看，大多安全主管、運(yùn)維主管都不清楚，CIO就更不知道了。所以，這里建議由系統(tǒng)去自動發(fā)現(xiàn)和管理資產(chǎn)，盡可能減少人為低級別工作的參與度。

b) 有了上述的資產(chǎn)管理系統(tǒng)，制度就相對沒那么重要了，但不代表沒用，要約束一些基本原則和流程。

c) 資產(chǎn)梳理清晰之后，就要進(jìn)行分類分級了，和數(shù)據(jù)類似，有高中低之分，目的是明確哪些是關(guān)鍵資產(chǎn)，重點保護(hù)，出現(xiàn)問題時要優(yōu)先處理；對于硬件資產(chǎn)要粘貼不易撕除的標(biāo)簽，說明資產(chǎn)類別、編號、SN號等信息，檢查時候會看。

d) 本條其實應(yīng)該在c前邊，對于資產(chǎn)分類分級的依據(jù)說明，有點像應(yīng)急預(yù)案中的安全事件等級定義；此外后邊還提到了對信息的訪問權(quán)限、傳輸和存儲管理，可以歸為數(shù)據(jù)治理范疇，本人沒有深入接觸，所以只能提一句。等級測評時，主要做到不用級別的數(shù)據(jù)有訪問權(quán)限設(shè)置，低級用戶訪問高級數(shù)據(jù)要提交申請，審批后才允許訪問，并對這個過程進(jìn)行記錄（各種日志），敏感信息存儲要加密或?qū)I(yè)的防護(hù)措施，傳輸過程要對通信加密。一般能做到這幾點，本條的要求點也就基本滿足了。

a) 應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定；**b) 應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進(jìn)行控制和保護(hù)，并實行存儲環(huán)境專人管理；**c) 應(yīng)對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進(jìn)行控制，對介質(zhì)歸檔和查詢等進(jìn)行登記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點；**d) 應(yīng)對存儲介質(zhì)的使用過程、送出維修以及銷毀等進(jìn)行嚴(yán)格的管理，對帶出工作環(huán)境的存儲介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理，對送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密性較高的存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀；**e) 應(yīng)根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)與本地相同；**f) 應(yīng)對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理。 |

介質(zhì)管理在檢查中算是一個重點，但是很多企業(yè)做得都不太好，包括一些大型知名企業(yè)，安全防護(hù)是做的不錯，但一到內(nèi)部管理流程就一塌糊涂。

a) 介質(zhì)管理制度一定要求，哪怕簡單的十幾行也可以；網(wǎng)上素材也有，參考一下結(jié)合企業(yè)實際情況進(jìn)行可落地的制度修訂。

b) 介質(zhì)要有專門的存儲空間，可以是倉庫，可以是保密室、也可以是辦公室，只要你能保證存放在此空間的介質(zhì)得到有效保護(hù)就行，并且要制定專人管理（沒說不能兼職）；一般我看到的多數(shù)就是一堆移動硬盤、U盤直接放某人的抽屜里（磁帶之類的一般還都有倉庫存放），或者放檔案柜里。別說保護(hù)了，就是當(dāng)一堆辦公用品在管。不過換個角度來看，外人也不知道這些東西會涉密，感覺就是一堆垃圾隨便亂堆。

c) 這塊我接觸到的企業(yè)沒有做到的，要求介質(zhì)在運(yùn)輸（物理傳輸太書面了）中要有相關(guān)要求和操作，保證數(shù)據(jù)安全；介質(zhì)也算資產(chǎn)，包括里邊存儲的數(shù)據(jù)，要盤點列入資產(chǎn)清單，存儲敏感信息的介質(zhì)使用和查看都要有審批和記錄。這點我印象比較深刻的好像是亞馬遜云的一個產(chǎn)品，好像叫Snowball，主要用于災(zāi)備運(yùn)輸，就是這玩意。

d) 本條就是對介質(zhì)使用、維修及銷毀的管理，對于環(huán)境外介質(zhì)使用的加密和監(jiān)控很難管理，這部分更多的還是建議制度和追責(zé)相結(jié)合，畢竟不是誰都有錢搞DLP的，而且企業(yè)越大DLP越難實施。至于送修可能不太可能，除非意外，沒做備份，介質(zhì)里的數(shù)據(jù)很重要，必須去做數(shù)據(jù)恢復(fù)，那么這又涉及到恢復(fù)人員可能讀取或竊取企業(yè)資料的問題，盡量避免這種情況發(fā)生。銷毀比較好說了，報廢的介質(zhì)，盡可能徹底銷毀，不要叫給外部專業(yè)機(jī)構(gòu)去做，除非量特別大，一般可以給員工發(fā)個錘子，拿著一堆介質(zhì)去房間里發(fā)泄一下，尤其是研發(fā)同學(xué)（開玩笑）。測評時重點會看介質(zhì)管理制度，使用、維修、銷毀、外帶的約束，此外這些操作的記錄要有。

e) 就是異地場外備份，此外某些機(jī)密信息（非數(shù)據(jù)庫、用戶信息數(shù)據(jù)）電子檔，要異地進(jìn)行備份；后邊還提到了一句備份的方式和要求必須一致，不能異地備份有另外一套策略。

f) 在前邊幾條我已經(jīng)一起啰嗦出來了，什么DLP啊，資產(chǎn)分類分級??；如果難以實施，那么最起碼的介質(zhì)分類要做，這個不費(fèi)時間，加密實在不行就用bitlocker，一人管理介質(zhì)，一人管理密鑰（雖然不是很靠譜，但沒辦法窮嘛），或者買個保險柜專門保存介質(zhì)，一人負(fù)責(zé)檔案室大門鑰匙管理，另一人負(fù)責(zé)保險箱密碼和鑰匙（不能都由一個人去管，容易出事）。這是最便宜的控制方式了，此外介質(zhì)上要有標(biāo)簽。

**a) 應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理；b) 應(yīng)建立基于申報、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理；**c) 應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等；**d) 應(yīng)對終端計算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作；**e) 應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點。** |

偏運(yùn)維的管理，包括的制度其實比較多，差不多每一條都要有一個對應(yīng)的制度，而且，最特么煩的就是沒個制度都要跟一個流程，都要有過程記錄（可以是電子流程），這就很麻煩了，不過大企業(yè)標(biāo)準(zhǔn)流程就是這么搞的，真正跑起來之后其實也不錯。

a) 機(jī)房巡檢里包括這些內(nèi)容，具體分工各企業(yè)會有不同，可以在監(jiān)控平臺進(jìn)行自動化巡檢，比當(dāng)年省心多了。

b) 設(shè)備管理制度要求，信息類物品的采購要有規(guī)范，一般是采購部的事情，所以這塊的制度我沒有寫過。

c) 這部分和巡檢有重疊，定期巡檢查看設(shè)備狀況也算是維護(hù)的一個環(huán)節(jié)，不過從后半句的描述來看，應(yīng)該是指與供應(yīng)商之間的設(shè)備維修、更換、升級一類的制度，可以簡單寫幾條。一般來說，企業(yè)申請設(shè)備維修或更換都會提審批，所以流程應(yīng)該不會少，就看有沒有人管理這些記錄。；

d) IT部門員工操作規(guī)范/手冊，呵呵，大多企業(yè)都沒有，不過也不算重點項，有最好，沒有也無妨，如果人手夠，事情不太多，可以試著做一下，好處也是有的，記得要添加主要設(shè)備的啟動/停止、加電/斷電操作方法。

e) 這點對于當(dāng)前的企業(yè)來說，我覺得是廢話，沒有誰會不打招呼直接把核心交換、防火墻或路由器拆走帶出去吧。如果真有，那這種公司我覺得就不要搞什么IT了，不適合。檢查時，一是看機(jī)房制度，二是看審批記錄。一般是設(shè)備維修或更換才會帶離機(jī)房。

另外在終端層面，做得好的公司都會有策略，確保外部辦公設(shè)備的保密性；做得不好的，壓根不擔(dān)心，因為那些東西丟了也無所謂。重點還是制度宣傳，追責(zé)和懲罰來約束。

a) 應(yīng)對通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報警，形成記錄并妥善保存；b) 應(yīng)組織相關(guān)人員定期對監(jiān)測和報警記錄進(jìn)行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，并采取必要的應(yīng)對措施；c) **應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級、安全審計等安全相關(guān)事項進(jìn)行集中管理。 |

a) 網(wǎng)絡(luò)監(jiān)控平臺，對機(jī)房所有設(shè)備進(jìn)行監(jiān)控，一般都會自帶報表生成功能；沒錢買，那就搞開源好了，也可以用，主要好安全防范，不要被當(dāng)做突破口就好。

b) 流量分析、日志審計、態(tài)勢感知，配合做好應(yīng)急預(yù)案，基本就差不多了，態(tài)勢感知可能有點扯，但是前兩個應(yīng)該問題不大。

c) 部署漏洞管理平臺，HIDS，可以參考下安騎士的那些功能，很像這種防護(hù)軟件。如果沒預(yù)算，那最基本的把補(bǔ)丁管理做好，這塊測評時也說得過去。

**a) 應(yīng)指定專人對網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報警信息分析和處理工作；b) 應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；**c) 應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份；**d) 應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時的修補(bǔ)；**e) 應(yīng)實現(xiàn)設(shè)備的最小服務(wù)配置，并對配置文件進(jìn)行定期離線備份；**f) 應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；**g) 應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入；**h) 應(yīng)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。 |

管理的東西比技術(shù)還多，全做到可能性不大，投入人力和時間太多。中小企業(yè)確實搞不起，可以選擇性來做，成熟后再逐步完善。

a) 指定網(wǎng)絡(luò)管理員（AB崗，不可與其他運(yùn)維職位兼職），做好日常運(yùn)維工作，做好巡檢記錄；

b) 已經(jīng)說的很明白了，制定一份網(wǎng)絡(luò)安全管理制度，包括配置管理（這里只提到了安全配置，其實網(wǎng)絡(luò)配置也要一起備份）、日志管理（6個月）、安全策略（根據(jù)實際情況來寫）、補(bǔ)丁管理（之前說的漏洞管理平臺）、密碼管理（一般3個月?lián)Q一次，8位以上，復(fù)雜度要求）。這只是為了應(yīng)付檢查來寫的內(nèi)容，如果認(rèn)真去搞安全運(yùn)營，還會涉及其他內(nèi)容。

c) 及時更新設(shè)備版本，規(guī)則庫，后邊很良心的還提示了，升級前做好備份工作。

d) 同樣是補(bǔ)丁管理的一個環(huán)節(jié)，定期漏掃已經(jīng)成為常態(tài)，不再是問題了。

e) 最小化安裝原則，沒必要的服務(wù)和插件、軟件一律不裝，對于系統(tǒng)配置文件定期備份（建議不要超過一周），存儲到介質(zhì)或其他存儲設(shè)備。

f) 本條強(qiáng)調(diào)私自連接外網(wǎng)的情況，現(xiàn)在手機(jī)都可以開熱點，筆記本一聯(lián)，防不勝防，考技術(shù)手段來防，策略設(shè)置比較復(fù)雜，增加額外成本，建議還是以思想教育為主，提高員工安全意識，這是最靠譜的。我說的有點引申了，其實測評主要考察的就是能夠訪問外網(wǎng)的設(shè)備，必須是經(jīng)過審批授權(quán)的。

g) 同f，加強(qiáng)安全意識，用懲罰來威懾。

h) 撥號上網(wǎng)具體指什么，這么多年一直沒有個明確的概念，個人感覺應(yīng)該就是私自連接外網(wǎng)的行為吧，技術(shù)要求中提出要能夠檢測內(nèi)部設(shè)備私接外網(wǎng)的行為，技術(shù)層面可以做，但是費(fèi)時費(fèi)力費(fèi)錢，從個人角度來看，說到底還是加強(qiáng)管理更靠譜一些。

**a) 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；**b) 應(yīng)定期進(jìn)行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進(jìn)行修補(bǔ)；**c) 應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測試環(huán)境中測試通過，并對重要文件進(jìn)行備份后，方可實施系統(tǒng)補(bǔ)丁程序的安裝；**d) 應(yīng)建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定；**e) 應(yīng)指定專人對系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個角色的權(quán)限、責(zé)任和風(fēng)險，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則；**f) 應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；**g) 應(yīng)定期對運(yùn)行日志和審計數(shù)據(jù)進(jìn)行分析，以便及時發(fā)現(xiàn)異常行為。 |

這里有點重復(fù)啰嗦了，不過也逐條說一下。

a) ACL運(yùn)維層面都會去做，安全層面也會去做，最基本的劃好安全域，做好不同組別的邏輯隔離，不同權(quán)限的訪問限制，基本也就夠了，再細(xì)的東西要看實際情況。

bc) 漏掃不再重復(fù)了。

d) 主機(jī)層面的安全管理制度，和前面的網(wǎng)絡(luò)安全管理制度其實差不多，不再重敘。

e) 指定系統(tǒng)管理員（AB崗，不能兼職其他運(yùn)維職位），要有崗位職責(zé)說明，注意做好權(quán)限分離，不要一個人擁有所有權(quán)限；系統(tǒng)同樣權(quán)限最小化原則。

f) 前邊說的操作手冊，來了吧，這里是檢查是否按照操作手冊去執(zhí)行，記錄有沒有做，對于違規(guī)操作有沒有懲罰和處置記錄。

g) 一般駐場人員會做這個事情，不過現(xiàn)在大多配備日志審計和安全設(shè)備，有問題會直接告警。如果這些設(shè)備都沒有，那要制定一個人定期查看這些日志，工作量較大。

**a) 應(yīng)提高所有用戶的防病毒意識，及時告知防病毒軟件版本，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對外來計算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查；**b) 應(yīng)指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄；**c) 應(yīng)對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定；**d) 應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進(jìn)行記錄，對主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險病毒或惡意代碼進(jìn)行及時分析處理，并形成書面的報表和總結(jié)匯報。** |

本節(jié)主要講主機(jī)層面的殺軟和網(wǎng)絡(luò)層面的防病毒設(shè)備。

a) 這條講了2點。1注意這里提的是用戶，除了員工還包括你的用戶；這就有點難搞了，內(nèi)部人員可以培訓(xùn)，外部人員可以在軟件使用幫助中加入安全意識提示標(biāo)語或描述，或者在用戶協(xié)議、操作手冊中體現(xiàn)防毒意識的內(nèi)容。2對于新的病毒和漏洞，及時告知用戶。

b) 定期殺毒，記得留記錄，檢查時要看你有沒有做過全盤掃描，周期頻率多久；對于linux這類的系統(tǒng)，有的單位裸跑，中招了手工處理，如果有這樣的團(tuán)隊能搞定這事也可以，若不是，那你想好了現(xiàn)場怎么跟對方解釋。這里還隱含了一點，記住不要用破解版，你可以用免費(fèi)版，但不能盜版，如果發(fā)現(xiàn)用盜版，本條直接就GG了。

c) 及時更新病毒庫和版本。

d) 前邊還好，殺軟本身都會記錄查殺過的病毒文件，但是對已發(fā)現(xiàn)的病毒進(jìn)行分析和整理，并記錄匯總，這點做的其實不多，一般都是中招的病毒才會去分析，如果直接被攔下的可能不太會在意。作為普通甲方來說，確實沒必要，但如果有自己的知識庫的，可以試著去做，檢查的時候不是非要去做，本項非一票否決項。

**應(yīng)建立密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。 |

這個沒必要說了，密碼學(xué)東西很多，這里提到的是符合國家規(guī)定的密碼技術(shù)和產(chǎn)品。另外對于密碼管理要有制度。

**a) 應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的變更，并制定變更方案；b) 應(yīng)建立變更管理制度，系統(tǒng)發(fā)生變更前，向主管領(lǐng)導(dǎo)申請，變更和變更方案經(jīng)過評審、審批后方可實施變更，并在實施后將變更情況向相關(guān)人員通告；**c) 應(yīng)建立變更控制的申報和審批文件化程序，對變更影響進(jìn)行分析并文檔化，記錄變更實施過程，并妥善保存所有文檔和記錄；**d) 應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序，明確過程控制方法和人員職責(zé)，必要時對恢復(fù)過程進(jìn)行演練。 |

變更管理時運(yùn)維的一個重要流程，企業(yè)應(yīng)該重視，包括乙方在內(nèi)。

a) 變更要提前申請，提交完整的變更方案，其中包括回滾方案；

b) 變更管理制度，網(wǎng)上很多，目前已經(jīng)很完善了，很多是針對項目的，運(yùn)維方面的也有。不多做解釋了，模板里寫的都不錯。

c) 變更要有流程，無論紙質(zhì)還是電子流程，要適用、合理，不能為了應(yīng)付弄個簡化流程，這樣不合適，不利于企業(yè)日后管理，留存好記錄。

d) 這點就是回滾/恢復(fù)詳細(xì)方案（中止變更流程，包含在變更流程中，是一種特殊情況），對于重要系統(tǒng)的變更，要預(yù)先進(jìn)行演練，確認(rèn)方案沒問題再予以實施。

**a) 應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；**b) 應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度，對備份信息的備份方式、備份頻度、存儲介質(zhì)和保存期等進(jìn)行規(guī)范；**c) 應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒ǎ?*d) 應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序，對備份過程進(jìn)行記錄， 所有文件和記錄應(yīng)妥善保存；**e) 應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時間內(nèi)完成備份的恢復(fù)。 |

備份和恢復(fù)是重點檢查項，總結(jié)一下，主要會關(guān)注幾個點：

首先災(zāi)難恢復(fù)計劃時針對重要關(guān)鍵業(yè)務(wù)通，不是所有系統(tǒng)，一般系統(tǒng)只要有一定備份恢復(fù)可行方案即可，分優(yōu)先級做備份恢復(fù)管理；

制度必要要有；

關(guān)鍵系統(tǒng)實時備份，場外備份，異地備份，6個月至少；

有錢的搞雙活，沒錢的搞雙機(jī)雙線；

定期進(jìn)行災(zāi)難恢復(fù)演練，驗證可行性、有效性，一般一年至少一次（建議）。

**a) 應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗證弱點；**b) 應(yīng)制定安全事件報告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)；**c) 應(yīng)根據(jù)國家相關(guān)管理部門對計算機(jī)安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計算機(jī)安全事件進(jìn)行等級劃分；**d) 應(yīng)制定安全事件報告和響應(yīng)處理程序，確定事件的報告流程，響應(yīng)和處置的范圍、程度，以及處理方法等；**e) 應(yīng)在安全事件報告和響應(yīng)處理過程中， 分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施，過程形成的所有文件和記錄均應(yīng)妥善保存；**f) 對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報告程序。** |

應(yīng)急響應(yīng)管理，目前外包形式較多，有自己應(yīng)急團(tuán)隊的沒多少。大多企業(yè)關(guān)心的還是出事了盡快搞定，別影響有任務(wù)，別影響形象，不出事的情況：跟我有毛關(guān)系，搞它干毛。

a) 滲透或無意中發(fā)現(xiàn)的漏洞，及時上報，不要去搞事，現(xiàn)在是要關(guān)小黑屋的。有些乙方的工程師，水平還可以，沒事喜歡去挖洞，挖到了還喜歡去搞事，以前可能還好，最近如果還這么玩，估計很快會被公安請去喝茶。還有一點，沒有授權(quán)，不要去搞政府網(wǎng)站，不要作死。

bc) 應(yīng)急預(yù)案，不是那種隨便寫寫的，看后邊的要求，要包括事件分級、報告流程、應(yīng)急流程、還有操作方法等。可以參考《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》。

de) 應(yīng)急預(yù)案的細(xì)節(jié)，對于一些常見的已知攻擊或病的，要在附件形式附上不同狀況的操作指導(dǎo)手冊。至于應(yīng)急響應(yīng)的流程和每步操作，建議去看下ISCCC的應(yīng)急處理資質(zhì)的要求，里邊雖然都是要求的內(nèi)容，但是對于每步該走什么，該留存什么都很詳細(xì)。官網(wǎng)可以下載《信息安全服務(wù)資質(zhì)自評估表-應(yīng)急處理類填寫指南》。

f) 這條說的有點不太理解，中斷和泄露為什么要用不同的預(yù)案和流程，這類可以定義為重大或特別重大安全事故，其實處理起來的過程差不多，只是造成的影響比較嚴(yán)重。有了解的同學(xué)可以解釋一下。

**a) 應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；**b) 應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；**c) 應(yīng)對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；**d) 應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；**e) 應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實際情況更新的內(nèi)容，并按照執(zhí)行。 |

和應(yīng)急響應(yīng)章節(jié)相關(guān)，屬于安全事件未發(fā)生前的預(yù)防措施。

a) 這條我是憑個人理解，針對不同的關(guān)鍵系統(tǒng)或基礎(chǔ)設(shè)置制定不同的應(yīng)急預(yù)案，由于業(yè)務(wù)原因應(yīng)急方式可能會存在不同，所以不是一套預(yù)案就能使用所有系統(tǒng)。一般是指較大的企業(yè)。

b) 這條純屬屁話，眾所周知，安全的預(yù)算你懂的。不過網(wǎng)安法出臺了，等保強(qiáng)制了，也可以拿這條規(guī)定試著跟領(lǐng)導(dǎo)提要求，萬一同意了呢。O(￣__,￣)o

cd) 已經(jīng)白話了，不用再解釋了；都是每年至少一次，沒如果不做，測評時會扣分，印象中。

e) 建議和演練一起搞，每年修訂一次，1-2年可能不變，要說3-5年還不變，就是扯了，一定要考慮預(yù)案的適用性，隨著系統(tǒng)和業(yè)務(wù)的變化也要及時變更。不只是應(yīng)急預(yù)案，同時也包括其他在行的制度和流程。安全是一個不斷循環(huán)的過程。

結(jié)尾

到此為止，等級保護(hù)測評介紹系列全部更新完成（說實話，我都不信我能寫完這個系列）。希望能夠幫到有需要的人，文中大多是個人經(jīng)驗和理解，肯定會有不當(dāng)?shù)牡胤剑瑲g迎隨意吐槽和糾正。

等級保護(hù)測評系列介紹

等級保護(hù)測評（一）：物理安全

等級保護(hù)測評（二）：網(wǎng)絡(luò)安全

等級保護(hù)測評（三）：主機(jī)安全

等級保護(hù)測評（四）：應(yīng)用與數(shù)據(jù)安全

等級保護(hù)測評（五）：制度與人員安全

等級保護(hù)測評（六）：系統(tǒng)建設(shè)管理

等級保護(hù)測評（七）：系統(tǒng)運(yùn)維管理