信息内控安全管理技术_老木一支笔专业编制可行性研究分析报告_资金项目立项申请报告

具有发改委立项用途的工程咨询资格证书,甲级资质,专业:农业_轻工_机械_建材_建筑_电子_纺织_化工_医药

老木一支笔可行性研究分析/申请报告着名品牌

农业| 林业| 轻工| 食品| 机械 | 能源 | 化工 | 医药 | 电子 | 纺织 | 汽车 | 钢铁 | 冶金 | 建筑 | 建材 | 市政 |环境 |旅游 |物流 |服务

16年来，为何全国30多个省市区上千家企业，委托我们编制可行性研究报告、资金/项目申请报告？
因为我们：有实力，品牌硬，讲信誉！因为我们：创建的历史长，全国的分部多，做过的案例多！
因为我们：资质高，专业多，业务广！因为我们：权威性高！通过率高！成功率高！更超值划算！

老木一支笔,顶级甲级资质工程咨询单位!具有发改委颁布的甲级工程咨询资质证书.
专业:农业,轻工,食品,机械,建筑,建材,医药,化工,冶金,旅游,电子,纺织,能源,市政,人防,节能,综合等.
已累计完成全国30多个省市区上千家企业项目,协助企业成功获得征地立项,政策扶持,财政资金,融资合作.

我们已经完成的可行性报告|可行性研究报告|项目申请报告|资金申请报告|项目建议书涉及行业如下：

房地产开发:住宅-写字楼-商业地产-工业地产-产业园区旅游开发:度假村-生态旅游-酒店-娱乐休闲-观光
工业制造:轻工-冶金-钢铁-机械-设备-电子-服装-纺织-建材-汽车食品饮料:食品-酒类-保健品-果蔬饮料
农业产业化:种植-种子-饲料-蔬菜-食用菌-农机-粮油-经济林-花卉-苗木-果品-畜牧加工-饲养-水产-养殖
化工医药:橡胶-塑料-轮胎-石化-润滑油-化肥农药-生物工程-医药-中草药-新药制药-保健-医疗器械-医院
能源开发:煤炭-电力-水电-火电-风电-太阳能-沼气-生物柴油-电池基础设施:市政-园林-交通-水务-环保
科技&专利:IT技术-网络产品-高科技术-专利实施贸易&服务:商业-外贸-教育-学校-金融-文化-体育-传媒

您现在的位置：首页 >> 技术标准

技术标准 --

信息内控安全管理技术

老木一支笔浏览量：1637 关键词：信息安全技术进入：http://www.baogao365.com

立足山东，联动安徽、山西、青海、新疆，服务全国！
已累计为全国30多个省市区，上千家企业及投资创业者，
协助成功获得了立项、征地、上市、资金、投资、融资！

1　范围
本标准规定了信息安全技术中用于内控安全管理的相关技术内容。
本标准适用于提供内控安全管理服务的机构及有内控安全管理需求的用户。
2　规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求
3　术语和定义
下列术语和定义适用于本文件。
3.1　
内控安全管理 internal security management
对组织内部IT系统的管理和维护人员（包括第三方IT外包服务人员）的运维行为进行的安全风险管理。
3.2　
应用发布机制 application publishing mechanism
将某些应用系统所需的客户端运维软件集中安装、部署到特定系统，实现应用软件的集中管控。
3.3　
管理员 Administrators
具有对IT系统管理职能的人员。根据职责不同分为运维管理员和密码管理员。运维管理员负责对IT系统运维权限的划分与操作员的管理；密码管理员负责IT系统账号密码的管理。
3.4　
审计员 Auditor
负责对操作员、管理员的操作行为监督审计的人员的统称。
3.5　
操作员 Operator
负责对IT系统运维的工作人员的统称。
4　缩略语
下列缩略语适用于本文件。
AD       活动目录（Active Directory）
FTP      文件传输协议（File Transfer Protocol）
HTTP     超文本传输协议（HyperText Transfer Protocol）
HTTPS    安全超文本传输协议（Hyper Text Transfer Protocol over Secure Socket Layer）
ID       标识符（IDentifier）
IP       网络协议（Internet Protocol）
IT       信息技术（Information Technology）
ITIL     信息技术基础架构库(Information Technology Infrastructure Library)
ITSS     信息技术服务标准(Information TechnologyService Standards)
KPI      关键绩效指标（Key Performance Indicator）
LDAP     轻量目录访问协议（Lightweight Directory Access Protocol）
Radius   远程用户认证系统（Remote Authentication Dial In User Service）
RDP      远程桌面协议（Remote Desktop Protocol）
SFTP     安全文件传输协议（Secure File Transfer Protocol）
SSH      安全外壳协议（Secure Shell）
SSL      安全套接层(Secure Sockets Layer)
SSO      单点登录（Single Sign On）
TELNET   远程通信协议（Telecommunications Network）
VNC      虚拟网络控制台（Virtual Network Console）
5　内控安全管理参考模型
内控安全管理参考模型如图1所示，模型中涉及人员、IT系统、流程制度三个要素，人员是指维护和管理IT系统的人员，包括第三方外包维护人员。IT系统包括但不限于主机、数据库、网络、中间件、应用程序等各类IT资源。流程制度是组织内部为规范IT运维行为、保证运维安全所制订的一系列流程化管理制度或工具。
内控安全管理是将人员对IT系统的运维过程结合组织自身的流程制度进行集中管控。包括对人员的管控和对IT系统的管控两个方面。对人员的管控采用三权分立原则。对IT系统的管控采用集中、统一的方式。

图1　内控安全管理参考模型
6　集中管控
6.1　三权分立
根据GB/T 22239-2008基本要求，信息系统管理应满足三权分立原则,分为管理员、操作员、审计员三类角色，每人分配一个唯一的身份ID。
6.2　身份ID集中管理
内控安全管理系统应支持人员身份ID的集中管理,支持分部门、分组管理人员，管理员负责操作员身份ID的创建和维护，操作员权限应与管理员、审计员的权限分开。
6.3　登录管理
6.3.1　单点登录
内控安全管理系统作为统一运维入口，操作员通过唯一身份ID认证后，能够直接访问要运维的IT系统，无需再次输入账号密码。
6.3.2　身份认证
登录内控安全管理系统时，应对人员身份ID进行认证，支持单种认证方式或多种认证方式的组合，认证方式包含但不限于：
a) 静态密码；
b) 动态密码；
c) 数字证书；
d) AD域认证；
e) LDAP认证；
f) 虹膜认证。
6.4　IT系统授权
IT系统授权应由管理员统一负责。
授权管理包括授权主体、授权客体和授权关系三个元素，内控安全管理系统应设置授权策略，包括：
a) 授权主体包括人员身份ID、人员身份ID组或者二者的组合，也包括管理员为临时授权所创建的临时人员身份ID；
b) 授权客体包括IT系统、IT系统组、访问权限或者三者的组合；
c) 授权关系支持任意授权主体对任意授权客体的授权，在授权时效上支持有固定时效的长期授权和一次性临时授权；
d) 授权策略包括时间策略（包括时间周期、时间段，可精确到秒），IP策略（包括单个IP地址、IP地址段和多个IP地址段的组合），命令策略（包括指令、指令参数和执行频次三个维度）；
e) 对IT系统的临时操作或关键操作要获得管理员的审批后才可运维。
6.5　行为管理
6.5.1　越权处置
内控安全管理系统应支持对越权访问的处置，处置方式包括阻断、告警或阻断同时告警。
6.5.2　行为识别
内控安全管理系统应对操作员的运维行为进行实时识别，对SSH、TELNET、FTP、SFTP等协议操作进行精确识别，对RDP、VNC等图形操作协议的识别应能鉴别操作步骤和目的，并能将操作行为转为文本日志，便于检索和控制。
6.5.3　行为控制
内控安全管理系统应对操作员的访问行为进行控制，对高危或非法操作实时阻断。
6.5.4　告警通知
内控安全管理系统包含以下告警通知：
a) 对IT系统的非正常状态告警；
b) 对违反安全策略的行为告警；
c) 对安全事件告警；
d) 告警方式可采取电子邮件、短信、移动APP。
6.6　IT系统账号集中管理
内控安全管理系统应支持IT系统账号的集中管理，IT系统账号包括被管辖的网络、主机、数据库、中间件等账号，IT系统账号应由密码管理员统一管理，操作员、审计员不应具有IT系统账号的管理权限。IT系统账号应采用加密方式集中存储在内控安全管理系统中。
7　行为审计
7.1　审计范围
审计管理由审计员统一负责。
审计范围包括对IT系统的访问和操作行为、内控安全管理系统自身的安全日志记录。
IT系统的审计信息包括：
——操作系统的操作行为数据；
——网络设备及其他IT系统的操作行为数据；
——数据库、中间件等应用系统的操作行为数据。
内控安全管理系统的审计信息包括：
——账号管理数据；
——访问授权数据；
——登录数据；
——平台自身管理数据。
7.2　审计分析
内控安全管理系统应提供审计分析规则管理接口，审计员可自定义分析规则，应精确审计到人、时间、IP地址、IT系统、账户、指令、参数等关联关系，并定位人员身份ID。
7.3　审计信息分类
内控安全管理系统应支持对审计信息进行分类、多维度的处理，应至少包括：
——运维会话审计；
——全文检索审计；
——行为识别审计；
——实时审计。
7.4　审计信息分级
内控安全管理系统应支持根据审计信息的严重程度进行审计分级，可分为：严重、警告、一般。
7.5　审计信息过滤
内控安全管理系统应支持对审计信息进行过滤，包括：
——源、目的IP地址；
——时间；
——人员身份ID/IT系统账号；
——操作类型/操作名称；
——其他。
7.6　审计信息查询
内控安全管理系统应支持审计信息查询、审计报表生成、审计报表处理，报表包括不限于：
——审计报表；
——趋势报表；
——KPI报表；
——知识报表。
7.7　审计预警
出现非法登录或操作时，内控安全管理系统可通过多种方式向审计员发送预警。
提供精准的审计预警规则管理功能，可根据系统特点和数据来源，对源IP、目的IP、时间范围、人员名、IT系统名、操作命令等关键字段进行设置，产生预警规则。
根据预警规则，对接收到审计信息进行分析和处理，发现符合预警规则的审计信息，则自动生成预警信息。
预警信息的参数包括但不限于预警ID、预警类型、预警级别、预警内容和生成时间。
预警信息的级别可分为严重、警告和一般。
预警信息的类型包括但不限于越权操作、敏感数据访问。
预警信息可通过多种方式通知审计员，比如：图形化界面显示、手机短信、电子邮件等。
7.8　分级审计
内控安全管理系统应支持分级审计功能，设置审计总中心和审计分中心，审计总中心对审计分中心下发数据采集策略，收集审计分中心上传的审计记录，进行集中统计分析，实现总中心对分中心的审计。
7.9　智能翻译
内控安全管理系统宜具有智能翻译功能，将操作员的英文操作指令等专业技术术语翻译成通俗的业务术语，便于非技术类审计员理解。
8　经验积累
内控安全管理系统可设置经验积累功能，将操作员的运维经验进行积累并分享，以提高操作员的技术水平。
9　IT系统管理
9.1　多网支持
内控安全管理系统在安全范围内应支持跨多个相互隔离网络的运维管理功能，相互隔离网络的集中运维不应对原有网络造成影响，支持多个不同网络的IT系统同时集中运维。
9.2　应用发布
内控安全管理系统应支持应用发布功能。
9.3　账户密码管理
9.3.1　账户密码策略管理
密码策略应由密码管理员配置，密码策略管理应实现以下功能：
——密码强度管理，对人员身份ID、IT系统账号的强度进行管理，包括密码安全设置及修改、组成规则及校验策略等；
——密码有效期管理，能安全使用和更新，具备密码有效期验证、提醒以及过期或输错次数锁定、管理员激活等功能。
——密码存储管理，提供离线电子介质和非电子介质双介质保存，如电子密函、密码信封。
——密码更新管理，使用密码链条技术，确保每次密码变更安全可靠。
9.3.2　密码自动变更
根据IT系统账号的密码变更周期和密码生成策略，自动对IT系统账号进行密码变更。
在密码变更过程中，内控安全管理系统突然崩溃的极端情况下，应提供密码应急恢复机制，使用无源接触式硬件，在离线情况下，解密获取明文密码。
9.4　配置管理
IT系统的配置文件可定期、自动备份，包括：
a) 配置文件历史查询；
b) 配置文件自动备份；
c) 配置文件人工还原；
d) 配置文件自动比较。
9.5　预警监测
内控安全管理系统应能自动监测IT系统的中央处理器利用率、内存占用率、系统进程、表空间、磁盘剩余空间等信息，当达到阀值时以电子邮件、短信方式通知操作员，在故障发生前，及时消除故障隐患。
9.6　自动巡检
内控安全管理系统应支持根据巡检模板对IT系统进行自动巡检，模板格式、巡检参数可定制，巡检后的报告以电子图标格式发给操作员。
9.7　远程运维
在突发紧急运维情况下，内控安全管理系统应能通过远程操作协助操作员解决问题，应实时监控并记录远程协助过程，便于事后审计。
10　基础支持
10.1　可靠性
内控安全管理系统本身应支持双机冗余部署，支持日志文件与系统配置文件双同步，支持IT系统密码变更密函丢失情况下的密码找回。
10.2　安全性
内控安全管理系统自身应具备安全性：
敏感信息加密传输；
操作系统加密成只读镜像；
系统与日志独立加密，双介质存储。
10.3　扩展性
内控安全管理系统应能提供扩展接口，与用户的IT运维流程系统（符合ITSS或者ITIL标准）对接，将用户的运维安全管理制度转化为实际可技术实现的运维管理策略。

我们的承诺：
16年品牌，更保证信誉；
顶级才智，更专业规范；
专家对话，更直接及时；
相比价格，更超值划算；
上千案例，更贴近实用！

[首页] [返回] [留言板] [打印]