标准规范下载简介
DB37/T 3303-2018 信息安全技术 内控安全管理技术规范简介:
DB37/T 3303-2018《信息安全技术 内控安全管理技术规范》是中国山东省地方标准,它是在信息安全领域中关于内控安全管理的具体技术指导文件。该规范的主要目的是为了帮助企业、组织和个人建立和实施有效的内控安全管理体系,以保护其信息资产免受各种威胁,如内部欺诈、数据泄露、操作失误等。
该规范详细规定了内控安全管理体系的架构、管理流程、风险评估、控制措施、审计与监控等方面的要求。它强调了内控在信息安全中的重要性,要求组织在业务流程、人员行为、技术和管理等多个层面实施内控措施,以确保信息资产的安全。
内容可能包括但不限于:内控制度的设计和实施、权限管理、数据访问控制、安全审计与报告、应急预案与演练、信息安全培训、合规性审计等。该标准适用于各类组织,尤其是处理大量敏感信息的企业,以提高其信息安全管理水平,防范和减少信息安全风险。
DB37/T 3303-2018 信息安全技术 内控安全管理技术规范部分内容预览:
DB37/T33032018
图1内控安全管理参考
6.2身份ID集中管理
内控安全管理系统应支持人员身份ID的集 分部门、分组管理人员,管理员负责操作员 身份ID的创建和维护,操作员权限应与管理员、 审计员的权限分开
内控安全管理系统作为统一运维入口,操作员通过唯一身份ID认证后,能够直接访问要运维的I? 系统《中小学体育器材和场地 第1部分:健身器材 GB/T 19851.1-2005》,无需再次输入账号密码。
6. 3. 2身份认证
登录内控安全管理系统时,应对人员身份ID进行认证,支持单种认证方式或多种认证方式的组合! 认证方式包含但不限于: a)静态密码; b)动态密码:
6. 4IT 系统授权
6.4.1IT系统授权应由管理员统一负责
DB37/T33032018
4.2授权管理包括授权主体、授权客体和授权关系三个元素,内控安全管理系统应设置授权策 :
6.4.2授权管理包括授权主体、授权客体和授权关系三个元素,内控安全管理系统应设置授权策略:
a)授权主体: 1)人员身份ID、人员身份ID组或者二者的组合; 2)管理员为临时授权所创建的临时人员身份ID。 授权客体:IT系统、IT系统组、访问权限或者三者的组合; 授权关系支持任意授权主体对任意授权客体的授权,在授权时效上支持有固定时效的长期授权 和一次性临时授权; d 授权策略: 1)时间策略(包括时间周期、时间段,可精确到秒); 2)IP策略(包括单个IP地址、IP地址段和多个IP地址段的组合); 3)命令策略(包括指令、指令参数和执行频次三个维度) e 对IT系统的临时操作或关键操作要获得管理员的审批后才可运维,
内控安全管理系统应支持对越权访间 括阻断、告警或阻断同时告整。
6. 5. 2 行为识别
内控安全管理系统应对操作员的运维行为进行实时识别,对SSH、TELNET、FTP、SFTP等协议携 精确识别,对RDP、VNC等图形操作协议的识别应能鉴别操作步骤和目的,并能将操作行为转为文 ,便于检索和控制。
6. 5. 3 行为控制
6IT系统账号集中管理
DB37/T33032018
内控安全管理系统应支持IT系统账号的集中管理,IT系统账号包括被管辖的网络、主机、数据库、 中间件等账号,IT系统账号应由密码管理员统一管理,操作员、审计员不应具有IT系统账号的管理权限。 IT系统账号应采用加密方式集中存储在内控安全管理系统中
7.1.1审计管理由审计员统一负责
操作系统的操作行为数据; 网络设备及其他IT系统的操作行为数据; 数据库、中间件等应用系统的操作行为数据。
操作系统的操作行为数据; 网络设备及其他IT系统的操作行为数据; 数据库、中间件等应用系统的操作行为数
内控安全管理系统应提供审计分析规则管理接口,审计员可自定义分析规则,应精确审计到人 IP地址、IT系统、账户、指令、参数等关联关系,并定位人员身份ID。
内控安全管理系统应支持对审计信息进行分类、多维度的处理,应至少包括: 运维会话审计; 方标准 全文检索审计; 行为识别审计: 实时审计。
内控安全管理系统应支持根据审计信息的严重程度进行审计分级,可分为:严重、警告、二
内控安全管理系统应支持对审计信息进行过滤,包括: 源、目的IP地址; A 时间; 人员身份ID/IT系统账号: 操作类型/操作名称; 其他。
DB37/T33032018
内控安全管理系统应支持审计信息查询、审计报表生成、审计报表处理,报表包括不限于: 审计报表; 一趋势报表; KPI报表; 知识报表。
7.7.1出现非法登录或操作时,内控安全管理系统可通过多种方式向审计员发送预警。 7.7.2提供精准的审计预警规则管理功能,可根据系统特点和数据来源,对源IP、目的IP、时间范围、 人员名、IT系统名、操作命令等关键字段进行设置,产生预警规则。 7.7.3根据预警规则,对接收到审计信息进行分析和处理,发现符合预警规则的审计信息,则自动生 成预警信息。 7.7.4预警信息的参数包括但不限于预警ID、预警类型、预警级别、预警内容和生成时间。 7.7.5预警信息的级别可分为严重、警告和一般。 7.7.6预警信息的类型包括但不限于越权操作、敏感数据访问。
内控安全管理系统应支持分级审计功能,设置审计总中心和审计分中心,审计总中心对审计分 发数据采集策略,收集审计分中心上传的审计记录,进行集中统计分析,实现总中心对分中心的
内控安全管理系统宜具有智能翻译功能,将操作员的英文操作指令等专业技术术语翻译成通 术语,便于非技术类审计员理解
内控安全管理系统可设置经验积累功能,将操作员的运维经验进行积累并分享,以提高操作员 水平。
内控安全管理系统在安全范围内应支持跨多个相互隔离网络的运维管理功能,相互隔离网络的 维不应对原有网络造成影响,支持多个不同网络的IT系统同时集中运维。
内控安全管理系统应支持应用发布功能
内控安全管理系统应支持应用发布功能。
9.3.1账户密码策略管理
DB37/T33032018
密码策略应由密码管理员配置,密码策略管理应实现以下功能: 密码强度管理,对人员身份ID、IT系统账号的强度进行管理,包括密码安全设置及修改、组 成规则及校验策略等; 密码有效期管理,能安全使用和更新,具备密码有效期验证、提醒以及过期或输错次数锁定 管理员激活等功能; 密码存储管理,提供离线电子介质和非电子介质双介质保存,如电子密函、密码信封: 密码更新管理,使用密码链条技术,确保每次密码变更安全可靠。
9. 3. 2 密码自动变更
系统账号进行密码安更。 在密码变更过程中,内控安全管理系统突然崩溃的极端情况下,应提供密码应急恢复机制, 接触式硬件,在离线情况下,解密获取明文密码
IT系统的配置文件可定期、自动备份,包括: a) 配置文件历史查询; 配置文件自动备份: 配置文件人工还原; d)配置文件自动比较,
IT系统的配置文件可定期、自动备份,包括: a) 配置文件历史查询; 配置文件自动备份: 配置文件人工还原; d)配置文件自动比较
内控安全管理系统应支持根据巡检模板对IT系统进行自动巡检GY/T 303.3-2018标准下载,模板格式、巡检参数可定制,巡检 后的报告以电子图标格式发给操作员,
在突发紧急运维情况下,内控安全管理系统应能通过远程操作协助操作员解决问题,应实时监控并 记录远程协助过程,便于事后审计
内控安全管理系统本身应支持双机元余部署,支持日志文件与系统配置文件双同步,支持IT系 变更密函丢失情况下的密码找回
内控安全管理系统自身应具备安全性: a)敏感信息加密传输:
DB37/T33032018
b)操作系统加密成只读镜像; c)系统与日志独立加密GB∕T 31265-2014 混凝土模板用木工字梁,双介质存储
b)操作系统加密成只读镜像; c)系统与日志独立加密,双介质存储
内控安全管理系统应能提供扩展接口 用户的IT运维流程系统(符合ITSS或者ITIL标准)对接, 将用户的运维安全管理制度转化为实际可技术实现的运维管理策略,