标准规范下载简介
SL_T 803-2020 水利网络安全保护技术规范(清晰无水印)8.5.2统一容灾备份应满足如下要求
a)应按照GB/T20988一2007中第3级及以上灾难恢复能力的要求,选择灾难备份中心,避免 灾难备份中心与主中心同时遭受同类风险(包括同城和异地两种类型),以规避不同影响范围 的灾难风险: b)应控制灾难备份中心位置信息的知悉范围; c)应实现对重要系统和数据库进行容灾备份,完全数据备份至少每天1次;可在1天内多次利 用通信网络,将关键数据定时批量传送至备用场地; d)建设灾难备份中心,计算机机房应符合GB/T50174一2017的要求,工作辅助设施和生活设 施,应符合灾难恢复目标的要求; e)灾难备份中心应提供与主场所同等的网络安全措施; f)灾难备份中心应位于中华人民共和国境内。 853恢复和重应满足加下要求,
8.5.3恢复和重构应满足如下要求:
a)在信息系统遭到破坏或发生故险 障后,应及时恢复信息系统业务功能; b)根据数据的重要性和数据对系统运行的影响,应制定数据的备份策略和恢复策略、备份流 和恢复流程等; c)应为信息系统中基于事务的系统(如数据库管理系统和事务处理系统等)执行事务恢复 括事务回滚、事务日志等; d)应具有在指定的恢复时间内,根据完整性得到保护的磁盘映像,重构信息系统部件的功能
JGJ/T 449-2018 民用建筑绿色性能计算标准(完整正版、清晰无水印)8.5.4业务连续性应满足如下要求
安全运营应建立在纵深防御、监测预警、决策指挥等安全技术要素基础之上,应在运营中实现对 各类安全资源的管理控制,使其发挥应有的作用。应从威胁预防、威胁防护、安全监测、响应处置等 方面,建立闭环的安全运营体系。
SL/T 8032020
图3安全运营流程示例
9. 2. 3响应处置
9. 2. 4威胁预防
威胁预防应满足如下要求: a)应从攻击预测的角度进行资产发现,梳理基础设备信息、基础设备开放端口信息、基础设备 部署应用类型等,掌握信息资产运行情况; b)应通过威胁情报收集安全漏洞、风险预警等信息,经审核验证确认后,应及时推送给相关用 户,实现安全威胁预警; c)在重大会议等活动时期前应加强开展主机、网络、应用、终端的安全检查,发现问题及时整 改,并在重要时期安排技术人员安全值守保障全程安全: d)在重大会议等活动时期前宜开展攻防演练、渗透测试等演练,检验安全技术、管理、运营体 系的健壮性,应对重点时期安全保障要求; e)在实际运营活动中,应不断优化分析研判支撑能力,引入相关的分析数据源; f)在实际运营活动中,应在应急预案管理、应急演练、综合研判等方面不断优化应急决策指挥 系统
网络安全监督检查内容宜包括:责任落实及制度建立情况、日常管理情况、信息系统等级保 实情况、安全运维管理情况、应急及安全培训情况、门户网站安全情况、网络及数据安全的防护 况、终端安全防护情况等。
监督检查可采用攻防演练、渗透测试、在线监测、现场检查等方式,进行水利网络安全监 检查。
10.3监督检查风险防控
监督检查风险防控应包括以下内容: a)在监督检查实施过程中,应对实施人员进行身份背景、专业资格和资质的审查;应使用经相 关部门认证和认可的专业工具,具有相应的过程控制规程和质量保证; b)应与监督检查实施人员签署保密协议,对监督检查工作中产生的过程数据和结果数据严格保
密,未经授权不应泄露和利用; c)应在与被检查方约定的监督检查范围和检查内容内进行全面检查; d)应降低对被检查方网络安全保护对象正常运行可能造成的影响或干扰
0.4关键信息基础设施增强要求
10.4.1自查关键信息基础设施自查应满足下列要求: a)应自行或委托网络安全服务机构对关键信息基础设施的安全性每年进行至少1次安全评估。 b)应从合规检查、技术检测和分析评估3个主要环节开展安全评估。 c)检测内容可包括但不限于网络安全制度落实情况、组织机构建设情况、人员和经费投人情况、 教育培训情况、安全防护情况、风险评估情况、应急演练情况、网络安全等级保护落实情 况等。 d)应根据安全评估情况,对关键信息基础设施进行安全整改,降低风险水平。 e)应编制检测评估报告,内容包括: 1)检查对象基本情况,可包含关键信息基础设施的定义描述、主要核心资产情况、核心业务 情况、面临的主要威胁和系统安全能力的描述等; 2)检查评估结果,应对发现的关键信息基础设施存在的主要问题进行分析说明。 f)应将检测评估报告及时发送至关键信息基础设施网络安全保护责任部门。 10.4.2安全检测应选取关键信息基础设施网络安全保护责任部门认可的网络安全服务机构进行检测 评估。信息系统应在检测评估发现的安全问题得到整改后方可上线运行, 10.4.3安全抽查被抽检方应提供安全风险抽查检测所必需的资料和技术支持,包括网络安全管理制 度、网络拓扑图、重要资产清单、关键业务介绍等;应针对抽查检测中发现的安全问题和风险进行及 时整改。 注:安全监督检查流程可参见附录B.3、B.4
附录A (资料性) 网络安全区域划分说明 网络区域划分可根据业务系统的保护等级、业务属性、业务功能、数据流量、访问主体和安全风 险等综合分析进行划分,具有相同等级、相似的业务属性、同等级数据流向和相似安全风险的业务可 划分为同一区域,不同等级、不同业务属性、不同数据流向和访问主体的业务划分成不同区域。网络 言息系统可结合实际情况划分为内部业务区、接人区、前置交换区、公众服务区、数据区和安全管理 区。 例如,根据网络接人的边界不同可划分不同的网络接人区,包括互联网接入区、业务网接人区 城域网接人区以及电子政务外网等外联网接人区;根据提供服务类型、用户类型、业务属性等可划分 业务服务区,进一步分成互联网服务区(公众服务区)、应用服务区(内部业务区)、数据库服务区 (数据区)、视频会议区以及终端区,同时针对不同等级的保护对象应对应用服务区、数据库服务区进 一步划分成二级系统区域以及三级系统区域,区域之间应该进行逻辑隔离;满足第三级安全保护要求 应独立划分安全管理区;关键信息基础设施可设置独立的网络区域,并与二级、三级系统进行逻辑或 物理隔离
B. 1. 1. 1演练组织
SL/T 8032020
附录B (资料性) 检查过程
攻防演练组成单位一般包括组织单位、攻击单位和防守单位,攻击单位和防守单位由组织单位 确定, 组织单位应负责演练总体把控、工作协调、制定规则、过程监督、风险控制、成果评判、问题通 报和核查组织,并根据国家网络安全主管部门以及水利部要求进行备案。组织单位应成立演练总指挥 部,具体负责攻防演练的组织实施。 攻击单位应根据组织单位授权,组建攻击队伍对演练目标系统进行网络攻击测试。 防守单位应组建防守队伍,对所负责的水利网络安全保护对象进行防护,并对网络攻击进行监 测、溯潮源、处置。 组织单位和攻击单位双方应签署保密协议,攻击队伍成员应签署保密承诺书
B.1.1.2确定规模
B.1.1.3制定方案
组织单位应制定攻击演练方案,方案的内容宜包括以下内容: a)演练目标:包括目标系统、交付成果等内容: b)人员组织:包括组织单位、攻击单位、防守单位等单位成员组成、成员角色与定义、成员职 责等内容; c)时间进度:攻防演练各阶段的时间进度安排; d)演练规则:包括攻击规则、防守规则、成果评判标准、沟通协调机制、风险控制措施等内容
B. 1. 2. 1演练启动
东应由演练总指挥宣布演
B.1.2. 2组织单位任务
组织单位应对演练全过程进行监督和评估。应对攻击队伍操作行为、攻击成果进行监督,对防守 单位监测预警情况、应急处置情况、被攻击目标的运行状态进行监督。应研判并控制攻击对演练目标 及相关水利网络安全保护对象所造成的危害,评估攻击的准确性、有效性,评估防等监测能力、预警 响应能力、应急处置能力。 组织单位应建立演练指挥渠道。通过指挥渠道指挥演练活动,接收攻击单位、防守单位等单位的 演练成果。
B.1.2.3攻击单位任务
行安全的前提下,采取限制攻击目标、不限攻击路径的方式,利用演练目标及相关水利网络安 保护对象的安全防护薄弱环节,进行真实环境下有组织的网络攻击测试。攻击不应采用DDoS 击、恶意蠕虫攻击等行为。攻击单位应通过演练指挥渠道及时向组织单位上报攻击成果。
B.1.2.4防守单位任务
防守单位应根据演练规则,以日常安全运维为基础组建防守队伍,明确分工及职责,以实战思 强化安全防护措施,完善监测预警,加强应急处置。防守单位应通过演练指挥渠道及时向组织单位 报防守成果
B. 1. 2. 5演练终正
演练结束,演练参与各方应及时进行总结评估。 组织单位应对攻击成果、防守成果及所有演练活动进行评估,对演练进行系统和全面的总结。演 东总结报告宜包括:演练目的、时间和地点、演练范围、演练组织情况、攻击成果分析、防守成果分 析、演练方案概要、发现的问题及原因分析、意见和建议等内容。 攻击单位应对整个演练活动的攻击组织情况、攻击技战法、攻击成果进行梳理,提出合理的 整改建议,形成总结报告并上报组织单位。报告内容宜包括:攻击测试目的、测试范围、测试时 间、实施流程、攻击队伍成员情况、攻击手段、风险漏洞及整改建议、成果汇总分析、问题及建 议等内容。 防守单位应对整个演练活动的防守组织情况、防守技战法、防守成果进行梳理,形成总结报告并 上报组织单位。报告内容宜包括:防守目的、时间和地点、防守范围、应急预案、防守队伍成员情 况、防守措施、防守成果、汇总分析、问题及建设等内容
组织单位应对演练暴露出来的风险漏洞进行整理分析,提出整改建议,并根据《水利网络安全信 息通报工作规范》要求,通报相关单位限期整改。相关单位应及时采取有效措施予以整改,并反馈整 改情况。组织单位应要求攻击单位对相关单位整改情况进行核查。
B.2.1.1明确职责
渗透测试组成单位一般包括组织单位、测试单位和被测试单位,测试单位和被测试单位由组织单 位确定。 组织单位应负责渗透测试的总体把控、工作协调、过程监督、风险控制、成果评判、问题通报和 该查组织,并根据国家网络安全主管部门以及水利部要求进行备案。 测试单位应根据组织单位授权,组建测试队伍对测试目标自身存在的可利用漏洞进行渗透 采用白盒测试时,被测试单位应协助完成测试目标的漏洞挖掘,采用黑盒测试时,不要求被测试
单位协助。 组织单位和测试单位双方应签署保密协议,测试队伍成员应签署保密承诺书
B, 2. 1. 2 确定规模
组织单位应明确测试时长,明确测试单位数量及测试队伍人数,明确计划测试的水利网络安全 护对象数量及相关单位数量
B.2.1.3制定方案
组织单位应指定渗透测试方案,方案的内容宜包括以下内容: a)渗透目标:包括测试范围、交付成果等内容; b)实施组织:包括组织单位、测试单位、被测试单位等单位成员组成、成员角色与定义、成员 职责等内容: c)时间进度:包括渗透测试各阶段的时间进度安排等内容; d)测试规则:包括测试方式、风险控制措施等内容
B. 2. 2实施阶段
B.2.2.1组织单位任务
B.2.2.2测试单位任务
测试单位应组建攻击队伍,在受约束的测试路径与测试范围内,采用自动化及手工测试方法木 合的方式,发现测试目标自身存在的脆弱性及安全风险,
B.2.2.3被测试单位任务
测试方式为白盒测试时,被测试单位应提供测试目标相关资料,包括网络拓扑、接口文档、代 等,配合完成指定为测试目标的水利网络安全保护对象的漏洞挖掘。测试方式为黑盒测试时,渗透 试将在不通知被测试单位的情况下完成
B.2.2.4测试终止
组织单位应对测试成果及所有渗透测试活动进行评估,对渗透测试进行系统和全面的总结。测试 总结报告的内容包括:测试目的、时间和地点、测试范围、测试方式、测试组织情况、成果分析、发 现的问题及原因分析、意见和建议等。 测试单位应对整个渗透测试活动的组织情况、测试成果进行梳理,提出合理的整改建议,形成总 结报告并上报组织单位。报告内容包括:攻击测试目的、测试范围、测试时间、实施流程、测试队伍 成员情况、测试方法、风险漏洞及整改建议、成果汇总分析、问题及建议等
组织单位应对渗透测试暴露出来的风险漏洞进行整理分析,提出整改建议,并根据《水利网络安 全信息通报工作规范》要求,通报相关单位限期整改。相关单位应及时采取有效措施予以整改,并反 馈整改情况。组织单位应对整改情况进行核查
在监督检查活动正式实施前做好前期准备,包括: a)确定监督检查的目标; b)确定监督检查的范围; c)组建监督检查管理与实施团队; d)开展前期系统调研。
在监督检查活动正式实施前做好前期准备,包括: a)确定监督检查的目标; b)确定监督检查的范围; c)组建监督检查管理与实施团队; d)开展前期系统调研。
监督检查范围可以是一个单位整体网络安全情况,也可以一个具体的水利网络安全保护对象网络 安全情况:可以是技术方面情况,也可以是管理方面情况
监督检查小组应进行充分的系统调研,确定监督检查依据、方法和检查内容。调研内容至少应 包: a)主要业务功能、业务范围和业务流程: b)网络结构与网络区域划分,包括内部连接和外部连接; c)系统边界,与其他系统的连接情况; d)主要的软硬件资产; e)系统和数据的敏感性; f)维护和使用系统的人员; g)管理制度、操作规程等文档。 系统调研采取问卷调查为主、现场访谈为辅的方式进行,在问卷调查不能完全达到系统调研目的 为情况下,可结合现场访谈的方式进行
根据前期的系统调研结果, 并依据业务实施对系统安全运行的需求,确定监督检查的依据和方 法,使之能够与被检查对象的环境和安全要求相适应。监督检查依据包括(但不仅限于):
a)国家法律、法规及有关规定; b)现有国家标准、行业标准、地方标准、团体标准和企业标准等; c)行业主管部门针对业务系统制定的要求和规定; d)系统的安全保护等级要求; e)系统互联单位的安全要求; f)系统本身的实时性或性能要求等
监督检查小组应制定监督检查方案,方案的内容宜包括以下内容: a)安全检查计划:监督检查各阶段的具体检查计划,包括检查目标、检查内容、检查范围、检 查形式、检查交付成果等内容; b)实施团队组织:包括监督检查团队成员组成、成员角色与定义、成员职责等内; c)时间进度安排:监督检查工作实施的时间进度安排
将监督检查实施方案及时向监督检查实施小组的所有人员进行传达,明确相关人员在监督检查实 施过程中的任务和责任,并就监督检查的相关内容开展培训和保密教育
B.3.8.1首次会议
在现场检查正式实施前,检查实施方与被检查方应共同召并本次监督检查工作的首次会议。在首 次会议上,监督检查方的项目负责人根据前期所确定的检查实施方案,介绍监督检查工作的大体流 程、检查的目的与范围、检查工作的实施方法、工作交付成果等信息,与被检查方确认检查实施时间 和检查计划、人员配合与沟通渠道,并向被检查方提供询问的机会,使与会人员能够对即将开始的监 督检查工作有一个清晰、全面的认识
B.3.8.2检查实施
在现场检查的实施过程中,结合人员访谈、现场观察、实地查验、配置核查、文档审查、工具扫 描等方式,监督检查人员应按照检查内容和检查条款进行逐项检查,对照被检查系统的实际安全状况 如实、准确填写检查结果,形成检查结果原始记录,为后续的结果分析做准备
B.3.8.3过程控制
监督检查实施小组成员应严格按照监督检查方案和实施计划开展现场检查工作。必要时,为了更 好地达到检查目的或适应实际环境变化的需求,可适当调整检查计划,及时告知被检查方,并与相关 人员进行商榨,直到得到相关人员的认同。监督检查项目负责人应及时与被检查方的相关人员交换意 见,对已收集获取的检查证据进行确认。对于被检查方存有异议的检查结果,应采取检查核对的方法 进行再次确认。当收集到的检查证据不能达到检查目的时,应及时向被检查方报告理由,并商定相应 的解决措施,包括调整检查计划,以及改变检查目的、检查范围等
B.3.8.4末次会议
在完成现场检查实施后,检查方与被检查方应共同召开 干本次监督检查工作的未次会议,除参与首 次会议的各方人员外,与会人员还包括监督检查实施过程中被访谈对象、被调查对象以及其他相关参
SL/T8032020
与人员。在末次会议上,监督检查方的负责人根据现场检查的实施情况,向被检查方反馈监督检查 发现的具体问题和整体检查结果
检查方应根据现场收集获取的信息和检查结果原始记录,对被查系统的实际安全管理情况进行 理和汇总,分析被检查系统的网络安全威胁和风险情况,评估其是否存在严重安全隐患,根据检查 析评估结果形成检查结论
检查方应在规定时间内编制完成监督检查报告,并反馈给被检查方。对监督检查过程中发现的共 生问题,监督检查机构应及时通报行业主管部门,并协助其开展网络安全管理咨询、业务培训及安全 整改工作。网络安全管理监督检查报告应清晰、准确、客观地给出监督检查的实施情况、检查结果和 相关内容,说明被检查系统存在的安全隐惠和缺陷,并给出改进建议 安全管理监督检查报告至少应包含以下内容:检查系统名称;系统主管部门;检查时间和地点; 监督检查依据;监督检查结论;报告编制人;报告审核人;报告批准人;检查结果汇总表;安全整改 建议;检查实施机构的公章
监督检查发现存在安全隐患的,其主管、运维或便用单位应尽快组织实施安全整改工作,并及时 向信息化主管部门及行业主管部门报告整改情况。对存在重大安全隐惠的重点领域系统,通知被检查 单位立即采取防护措施实施安全整改。监督检查方应及时对其安全整改情况进行复查JC/T 2275-2014 蒸压加气混凝土生产设计规范,对已采取的安 全整改措施应进一步考虑是否引人新的安全问题并进行检查和分析,督促其改进和完善信息安全管理 技术措施。对于安全整改实施不到位的,要求被检查方继续进行安全整改。检查方通过现场检查和后 期分析后确认被检查方网络安全不存在安全隐患的,或经安全整改后确认被检查方网络安全风险在可 控范围内的,结束监督检查工作
B.4.1.1明确职责
在线监测组成单位一般包括组织单位、监测单位和被监测单位,监测单位和被监测单位由组织 位确定。 组织单位应负责在线监测的总体把控、工作协调、过程监督、问题通报和核查组织
B. 4. 1.2确定范围
B. 4. 2. 1 工作流程
监测单位应采用专用监测设备,对监测范围内的系统实行7×24小时不间断的监测,对于监领 现的问题,应由监测单位安排专人进行人工验证,并在确认后通知组织单位
B.4. 2.2监测内容
组织单位应根据《水利网络安全信息通报工作规范》要求一图一算·建筑、装饰工程造价,及时将在线监测发现的安全风险通报 相关单位并限期整改。相关单位应及时采取有效措施予以整改,并反馈整改情况。组织单位应对整改 情况进行核查。