标准规范下载简介
DB37/T 3303-2018 信息安全技术 内控安全管理技术规范B37/T330320
山东省质量技术监督局 发布
DB37/T33032018
大中型沼气工程技术规范负责对IT系统运维的工作人员的统称。
DB37/T33032018
5内控安全管理参考模型
5.1内控安全管理参考模型如图1所示,模型中涉及人员、1T系统、流程制度三个要素,人员是指维 护和管理IT系统的人员,包括第三方外包维护人员。IT系统包括但不限于主机、数据库、网络、中间 件、应用程序等各类IT资源。流程制度是组织内部为规范IT运维行为、保证运维安全所制订的一系列 流程化管理制度或工具。 5.2内控安全管理是将人员对IT系统的运维过程结合组织自身的流程制度进行集中管控。包括对人员 的管控和对IT系统的管控两个方面。对人员的管控采用三权分立原则。对IT系统的管控采用集中、统 一的方式。
1内控安全管理参考模型如图1所示,模型中涉及人员、1T系统、流程制度三个要素,人员是 和管理IT系统的人员,包括第三方外包维护人员。IT系统包括但不限于主机、数据库、网络、 、应用程序等各类IT资源。流程制度是组织内部为规范IT运维行为、保证运维安全所制订的 程化管理制度或工具。
2内控安全管理是将人员对1T系统的运维过程结合组织自身的流程制度进行集中管控。包括对 管控和对IT系统的管控两个方面。对人员的管控采用至权分立原则。对IT系统的管控采用集中 的方式。
DB37/T33032018
图1内控安全管理参考
6.2身份ID集中管理
内控安全管理系统应支持人员身份ID的集 分部门、分组管理人员,管理员负责操作员 身份ID的创建和维护,操作员权限应与管理员、 审计员的权限分开
内控安全管理系统作为统一运维入口,操作员通过唯一身份ID认证后,能够直接访问要运维的I? 系统,无需再次输入账号密码。
6. 3. 2身份认证
登录内控安全管理系统时,应对人员身份ID进行认证,支持单种认证方式或多种认证方式的组合! 认证方式包含但不限于: a)静态密码; b)动态密码:
6. 4IT 系统授权
6.4.1IT系统授权应由管理员统一负责
DB37/T33032018
4.2授权管理包括授权主体、授权客体和授权关系三个元素,内控安全管理系统应设置授权策 :
6.4.2授权管理包括授权主体、授权客体和授权关系三个元素,内控安全管理系统应设置授权策略:
a)授权主体: 1)人员身份ID、人员身份ID组或者二者的组合; 2)管理员为临时授权所创建的临时人员身份ID。 授权客体:IT系统、IT系统组、访问权限或者三者的组合; 授权关系支持任意授权主体对任意授权客体的授权,在授权时效上支持有固定时效的长期授权 和一次性临时授权; d 授权策略: 1)时间策略(包括时间周期、时间段,可精确到秒); 2)IP策略(包括单个IP地址、IP地址段和多个IP地址段的组合); 3)命令策略(包括指令、指令参数和执行频次三个维度) e 对IT系统的临时操作或关键操作要获得管理员的审批后才可运维,
内控安全管理系统应支持对越权访间 括阻断、告警或阻断同时告整。
6. 5. 2 行为识别
内控安全管理系统应对操作员的运维行为进行实时识别,对SSH、TELNET、FTP、SFTP等协议携 精确识别,对RDP、VNC等图形操作协议的识别应能鉴别操作步骤和目的,并能将操作行为转为文 ,便于检索和控制。
6. 5. 3 行为控制
GB/T 13871.6-2022 密封元件为弹性体材料的旋转轴唇形密封圈 第6部分:弹性体材料规范.pdf6IT系统账号集中管理
DB37/T33032018
内控安全管理系统应支持IT系统账号的集中管理,IT系统账号包括被管辖的网络、主机、数据库、 中间件等账号,IT系统账号应由密码管理员统一管理,操作员、审计员不应具有IT系统账号的管理权限。 IT系统账号应采用加密方式集中存储在内控安全管理系统中
7.1.1审计管理由审计员统一负责
操作系统的操作行为数据; 网络设备及其他IT系统的操作行为数据; 数据库、中间件等应用系统的操作行为数据。
GTCC-100-2018 动车组异步牵引电动机-铁路专用产品质量监督抽查检验实施细则操作系统的操作行为数据; 网络设备及其他IT系统的操作行为数据; 数据库、中间件等应用系统的操作行为数