系统安全管理包括身份鉴别、访问控制、可靠性与可用性、系统监控、日志审计、管理员行为审计、系统安全评估与加固、数据备份、系统安全应急九个部分的内容。操作系统、数据库、应用系统可以酌情裁剪。
01.身份鉴别
-
是否使用双因素认证来进行身份鉴别?
-
账号权限是否具有集中管理系统(如堡垒主机系统)?
-
是否制定了账号口令管理制度?
-
是否设置了口令复杂度策略?(三种组合、8位以上)
-
是否强制修改账号的默认口令?
-
是否定期更换口令?(每三个月)
-
是否采取了限制登录失败次数安全控制措施?
-
是否采取了连接超时等登录安全控制措施?
- 是否采取了必要措施防止鉴别信息在网络传输过程中被窃听?
02.访问控制
- 访问权限是否按照权限分离、最小权限等原则设置?
- 账号权限的开通、变更是否经过审批?
- 是否对登陆系统访问路径进行控?
- 是否修改或删除了默认帐户?
- 特权用户权限是否分离?
- 是否能够做到账号与使用人一一对应?
- 账号权限是否设置使用期限?
- 是否具有系统中所有账号的台账清单?
- 是否定期对系统账号进行审查和及时清理无用帐户?
- (数据库)数据关键字段是否支持保密性?
- (数据库)数据关键字段是否支持完整性?
- (数据库)对于数据导入导出操作,是否建立对应的管理规定?
-
(数据库)是否对敏感数据进行脱敏管理,并建立正式管理规定?
03.可靠性与可用性
-
是否集群提供高可用性?
-
重要服务器设备是否配备冷备或热备?
-
重要服务器是否配备冗余电源?
- 主机服务器是否进行时钟同步?
04.系统监控
- 是否采用集中管理监控与管理平台?
- 是否对系统运行情况进行实时监控?
- 是否对重要系统的重要指标(如CPU、内存、硬盘空间等)等指标进行监控?
- 是否对重要系统的重要指标(如线程、连接数)等指标进行监控?
- 是否对系统监控各项指标设置阈值?
- 系统监控达到阈值是否能够自动报警?
- 是否定期(每月)对系统监控状况进行总结分析?
-
是否对系统各项指标进行容量的管理与规划?
05.日志审计
-
系统是否开启了日志功能?
-
是否部署了集中日志采集设备?
-
日志记录是否包括事件的日期和时间、用户、事件类型、事件是否成功等内容?
-
日志审计记录能否生成报表?
-
日志审计记录是否采取相应的保护措施?
- 是否定期(每月)对日志审计状况进行总结分析?
06.管理员行为审计
-
是否部署统一认证、授权系统?
-
是否能够统一记录管理员权限操作行为?
- 是否能够对管理员行为进行定期(每周、每月)审计?
07.系统安全评估与加固
-
是否具备补丁管理制度及变更管理?
-
是否使用专业工具对系统进行定期扫描?扫描工具?
-
是否根据扫描结果对发现的漏洞进行加固?
-
是否定期的对系统进行补丁升级?
-
是否具备测试环境?加固前是否先进行测试环境测试?
-
升级加固是否具备升级失败回退机制与应急计划?
- 是否对数据库进行安全配置基线管理?
08.数据备份
-
是否建立正式的备份管理制度(备份方式、备份频度、存储介质、保存期等)?
-
是否制定有明确的数据备份策略?(备份周期、备份方式等)
-
管理制度是否包含特定系统的业务中断恢复时间要求?
-
重要的系统备份数据是否异地存放?
-
是否建立异地灾备中心?
-
备份介质与备份记录是否进行了妥善的保管?
-
是否对备份数据进行定期的恢复测试?
-
备份管理制度及备份恢复测试结果是否定期审查和根据实际情况更新内容?
09.系统安全应急
-
是否建立了统一的应急预案框架?
-
重要系统是否制定针对不同系统故障的应急预案?
-
是否定期对系统相关的人员进行应急预案培训?
-
是否定期对应急预案进行演练?
- 应急预案是否需定期审查和根据实际情况更新内容?