DB37-T 3303-2018 信息安全技術(shù) 內(nèi)控安全管理技術(shù)規(guī)范

ICS35.020L70

DB37山 東 省 地 方 標(biāo) 準(zhǔn)DB37/T3303—2018信息安全技術(shù)內(nèi)控安全管理技術(shù)規(guī)范20182018061220180712山東省質(zhì)量技術(shù)監(jiān)督局發(fā)布前言本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由濰坊市質(zhì)量技術(shù)監(jiān)督局提出并歸口。（國家超級計算濟南中心本標(biāo)準(zhǔn)主要起草人：胡延年、李剛、漢京寧、畢建秀、周鳴樂、朱秀美、朱珊珊、李旺、馮正乾、李波、李敏、王超逸、李強、張玉瑞、張建成、徐兵、劉波、戚元華、王瑋、劉一鳴、王麗君。本標(biāo)準(zhǔn)為首次發(fā)布。信息安全技術(shù)內(nèi)控安全管理技術(shù)規(guī)范范圍本標(biāo)準(zhǔn)規(guī)定了信息安全技術(shù)中用于內(nèi)控安全管理的相關(guān)技術(shù)內(nèi)容。本標(biāo)準(zhǔn)適用于提供內(nèi)控安全管理服務(wù)的機構(gòu)及有內(nèi)控安全管理需求的用戶。規(guī)范性引用文件（包括所有的修改單）適用于本文件。GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求術(shù)語和定義下列術(shù)語和定義適用于本文件。3.13.1內(nèi)控安全管理internalsecuritymanagement對組織內(nèi)部IT系統(tǒng)的管理和維護人員（包括第三方IT外包服務(wù)人員）的運維行為進行的安全風(fēng)險管理。3.2應(yīng)用發(fā)布機制applicationpublishingmechanism將某些應(yīng)用系統(tǒng)所需的客戶端運維軟件集中安裝、部署到特定系統(tǒng)，實現(xiàn)應(yīng)用軟件的集中管控。3.3管理員Administrators具有對ITIT系統(tǒng)運維權(quán)限的劃分與操作員的管理；密碼管理員負責(zé)IT系統(tǒng)賬號密碼的管理。3.4審計員Auditor負責(zé)對操作員、管理員的操作行為監(jiān)督審計的人員的統(tǒng)稱。3.5操作員Operator負責(zé)對IT系統(tǒng)運維的工作人員的統(tǒng)稱?？s略語下列縮略語適用于本文件。AD 活動目錄（ActiveDirectory）FTP 文件傳輸協(xié)議（FileTransferProtocol）HTTP 超文本傳輸協(xié)議（HyperTextTransferProtocol）HTTPS 安全超文本傳輸協(xié)議（HyperTextTransferProtocoloverSecureSocketLayer）ID 標(biāo)識符（IDentifier）IP 網(wǎng)絡(luò)協(xié)議（InternetProtocol）IT 信息技術(shù)（InformationTechnology）ITIL 信息技術(shù)基礎(chǔ)架構(gòu)庫(InformationTechnologyInfrastructureLibrary)ITSS 信息技術(shù)服務(wù)標(biāo)準(zhǔn)(InformationTechnologyServiceStandards)KPI 關(guān)鍵績效指標(biāo)（KeyPerformanceIndicator）LDAP 輕量目錄訪問協(xié)議（LightweightDirectoryAccessProtocol）Radius 遠程用戶認證系統(tǒng)（RemoteAuthenticationDialInUserService）RDP 遠程桌面協(xié)議（RemoteDesktopProtocol）SSL 安全套接層(SecureSocketsLayer)SSO 單點登錄（SingleSignOn）TELNET 遠程通信協(xié)議（TelecommunicationsSSL 安全套接層(SecureSocketsLayer)SSO 單點登錄（SingleSignOn）TELNET 遠程通信協(xié)議（TelecommunicationsNetwork）VNC 虛擬網(wǎng)絡(luò)控制臺（VirtualNetworkConsole）5內(nèi)控安全管理參考模型1ITITITITITITITIT圖1內(nèi)控安全管理參考模型6集中管控6集中管控三權(quán)分立根據(jù)GB/T22239-2008基本要求，信息系統(tǒng)管理應(yīng)滿足三權(quán)分立原則,分為管理員、操作員、審計員三類角色，每人分配一個唯一的身份ID。ID內(nèi)控安全管理系統(tǒng)應(yīng)支持人員身份ID的集中管理,支持分部門、分組管理人員，管理員負責(zé)操作員身份ID的創(chuàng)建和維護，操作員權(quán)限應(yīng)與管理員、審計員的權(quán)限分開。登錄管理單點登錄內(nèi)控安全管理系統(tǒng)作為統(tǒng)一運維入口，操作員通過唯一身份ID認證后，能夠直接訪問要運維的IT系統(tǒng)，無需再次輸入賬號密碼。身份認證登錄內(nèi)控安全管理系統(tǒng)時，應(yīng)對人員身份ID進行認證，支持單種認證方式或多種認證方式的組合，認證方式包含但不限于：靜態(tài)密碼；動態(tài)密碼；數(shù)字證書；ADLDAP虹膜認證。ITIT授權(quán)管理包括授權(quán)主體、授權(quán)客體和授權(quán)關(guān)系三個元素，內(nèi)控安全管理系統(tǒng)應(yīng)設(shè)置授權(quán)策略，包括：授權(quán)主體：IDIDID。授權(quán)客體：ITIT授權(quán)策略：時間策略（包括時間周期、時間段，可精確到秒）；IP（IPIPIP）；e)對IT系統(tǒng)的臨時操作或關(guān)鍵操作要獲得管理員的審批后才可運維。行為管理越權(quán)處置內(nèi)控安全管理系統(tǒng)應(yīng)支持對越權(quán)訪問的處置，處置方式包括阻斷、告警或阻斷同時告警。e)對IT系統(tǒng)的臨時操作或關(guān)鍵操作要獲得管理員的審批后才可運維。行為管理越權(quán)處置內(nèi)控安全管理系統(tǒng)應(yīng)支持對越權(quán)訪問的處置，處置方式包括阻斷、告警或阻斷同時告警。行為識別SSHTELNETFTPSFTP等協(xié)議操作進RDPVNC行為控制內(nèi)控安全管理系統(tǒng)應(yīng)對操作員的訪問行為進行控制，對高?；蚍欠ú僮鲗崟r阻斷。告警通知內(nèi)控安全管理系統(tǒng)包含以下告警通知：IT對違反安全策略的行為告警；對安全事件告警；APP。6.6IT系統(tǒng)賬號集中管理內(nèi)控安全管理系統(tǒng)應(yīng)支持IT系統(tǒng)賬號的集中管理，IT系統(tǒng)賬號包括被管轄的網(wǎng)絡(luò)、主機、數(shù)據(jù)庫、IT系統(tǒng)賬號的管理權(quán)限。IT系統(tǒng)賬號應(yīng)采用加密方式集中存儲在內(nèi)控安全管理系統(tǒng)中。行為審計審計范圍審計管理由審計員統(tǒng)一負責(zé)。ITIT——操作系統(tǒng)的操作行為數(shù)據(jù)；——網(wǎng)絡(luò)設(shè)備及其他IT系統(tǒng)的操作行為數(shù)據(jù)；——數(shù)據(jù)庫、中間件等應(yīng)用系統(tǒng)的操作行為數(shù)據(jù)。內(nèi)控安全管理系統(tǒng)的審計信息包括：——賬號管理數(shù)據(jù)；——訪問授權(quán)數(shù)據(jù)；——登錄數(shù)據(jù)；審計分析內(nèi)控安全管理系統(tǒng)應(yīng)提供審計分析規(guī)則管理接口，審計員可自定義分析規(guī)則，應(yīng)精確審計到人、時間、IP地址、IT系統(tǒng)、賬戶、指令、參數(shù)等關(guān)聯(lián)關(guān)系，并定位人員身份ID。審計分析內(nèi)控安全管理系統(tǒng)應(yīng)提供審計分析規(guī)則管理接口，審計員可自定義分析規(guī)則，應(yīng)精確審計到人、時間、IP地址、IT系統(tǒng)、賬戶、指令、參數(shù)等關(guān)聯(lián)關(guān)系，并定位人員身份ID。審計信息分類內(nèi)控安全管理系統(tǒng)應(yīng)支持對審計信息進行分類、多維度的處理，應(yīng)至少包括：——運維會話審計；——全文檢索審計；——行為識別審計；——實時審計。審計信息分級內(nèi)控安全管理系統(tǒng)應(yīng)支持根據(jù)審計信息的嚴(yán)重程度進行審計分級，可分為：嚴(yán)重、警告、一般。審計信息過濾內(nèi)控安全管理系統(tǒng)應(yīng)支持對審計信息進行過濾，包括：——源、目的IP地址；——時間；——人員身份ID/IT系統(tǒng)賬號；——操作類型/操作名稱；——其他。審計信息查詢內(nèi)控安全管理系統(tǒng)應(yīng)支持審計信息查詢、審計報表生成、審計報表處理，報表包括不限于：——審計報表；——趨勢報表；——KPI報表；——知識報表。審計預(yù)警出現(xiàn)非法登錄或操作時，內(nèi)控安全管理系統(tǒng)可通過多種方式向?qū)徲媶T發(fā)送預(yù)警。IPIP根據(jù)預(yù)警規(guī)則，對接收到審計信息進行分析和處理，發(fā)現(xiàn)符合預(yù)警規(guī)則的審計信息，則自動生成預(yù)警信息。ID、預(yù)警類型、預(yù)警級別、預(yù)警內(nèi)容和生成時間。預(yù)警信息的級別可分為嚴(yán)重、警告和一般。預(yù)警信息的類型包括但不限于越權(quán)操作、敏感數(shù)據(jù)訪問。預(yù)警信息可通過多種方式通知審計員，比如：圖形化界面顯示、手機短信、電子郵件等。分級審計下發(fā)數(shù)據(jù)采集策略，收集審計分中心上傳的審計記錄，進行集中統(tǒng)計分析，實現(xiàn)總中心對分中心的審計。7.9智能翻譯下發(fā)數(shù)據(jù)采集策略，收集審計分中心上傳的審計記錄，進行集中統(tǒng)計分析，實現(xiàn)總中心對分中心的審計。7.9智能翻譯務(wù)術(shù)語，便于非技術(shù)類審計員理解。8經(jīng)驗積累內(nèi)控安全管理系統(tǒng)可設(shè)置經(jīng)驗積累功能，將操作員的運維經(jīng)驗進行積累并分享，以提高操作員的技術(shù)水平。9IT多網(wǎng)支持運維不應(yīng)對原有網(wǎng)絡(luò)造成影響，支持多個不同網(wǎng)絡(luò)的IT系統(tǒng)同時集中運維。應(yīng)用發(fā)布內(nèi)控安全管理系統(tǒng)應(yīng)支持應(yīng)用發(fā)布功能。賬戶密碼管理賬戶密碼策略管理密碼策略應(yīng)由密碼管理員配置，密碼策略管理應(yīng)實現(xiàn)以下功能：ID、IT——密碼有效期管理，能安全使用和更新，具備密碼有效期驗證、提醒以及過期或輸錯次數(shù)鎖定、管理員激活等功能；——密碼存儲管理，提供離線電子介質(zhì)和非電子介質(zhì)雙介質(zhì)保存，如電子密函、密碼信封；——密碼更新管理，使用密碼鏈條技術(shù)，確保每次密碼變更安全可靠。密碼自動變更ITIT在密碼變更過程中，內(nèi)控安全管理系統(tǒng)突然崩潰的極端情況下，應(yīng)提供密碼應(yīng)急恢復(fù)機制，使用無源接觸式硬件，在離線情況下，解密獲取明文密碼。配置管理IT系統(tǒng)的配置文件可定期、自動備份，包括：配置文件歷史查詢；配置文件自動備份；配置文件人工還原；配置文件自動比較。預(yù)警監(jiān)測內(nèi)控安全管理系統(tǒng)應(yīng)能自動監(jiān)測IT系統(tǒng)的中央處理器利用率、內(nèi)存占用率、系統(tǒng)進程、表空間、磁內(nèi)控安全管理系統(tǒng)應(yīng)能自動監(jiān)測IT系統(tǒng)的中央處理器利用率、內(nèi)存占用率、系統(tǒng)進程、表空間、磁自動巡檢內(nèi)控安全