DB37∕T 3303-2018 信息安全技术 内控安全管理技术规范(山东省).pdf
《DB37∕T 3303-2018 信息安全技术 内控安全管理技术规范(山东省).pdf》由会员分享,可在线阅读,更多相关《DB37∕T 3303-2018 信息安全技术 内控安全管理技术规范(山东省).pdf(10页珍藏版)》请在文库网上搜索。
1、ICS 35.020 L70 DB37 山东省地方标准 DB 37/T 33032018 信息安全技术 内控安全管理技术规范 2018 - 06 - 12 发布 2018 - 07 - 12 实施 山东省质量技术监督局 发 布 DB37/T 33032018 I 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由潍坊市质量技术监督局提出并归口。 本标准起草单位:潍坊市智慧潍坊建设办公室、山东省计算中心(国家超级计算济南中心)、山东瑞宁信息技术股份有限公司、山东省经济和信息化发展研究院、山东华国信息安全技术有限公司、山东信息协会、山东电子商会、山东正中信息技术股份有限公司。
2、本标准主要起草人:胡延年、李刚、汉京宁、毕建秀、周鸣乐、朱秀美、朱珊珊、李旺、冯正乾、李波、李敏、王超逸、李强、张玉瑞、张建成、徐兵、刘波、戚元华、王玮、刘一鸣、王丽君。 本标准为首次发布。 DB37/T 33032018 1 信息安全技术 内控安全管理技术规范 1 范围 本标准规定了信息安全技术中用于内控安全管理的相关技术内容。 本标准适用于提供内控安全管理服务的机构及有内控安全管理需求的用户。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 222
3、39-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 内控安全管理 internal security management 对组织内部IT系统的管理和维护人员 (包括第三方IT外包服务人员)的运维行为进行的安全风险管理。 3.2 应用发布机制 application publishing mechanism 将某些应用系统所需的客户端运维软件集中安装、部署到特定系统,实现应用软件的集中管控。 3.3 管理员 Administrators 具有对IT系统管理职能的人员。根据职责不同分为运维管理员和密码管理员。运维管理员负责对IT系统运维
4、权限的划分与操作员的管理;密码管理员负责IT系统账号密码的管理。 3.4 审计员 Auditor 负责对操作员、管理员的操作行为监督审计的人员的统称。 3.5 操作员 Operator DB37/T 33032018 2 负责对IT系统运维的工作人员的统称。 4 缩略语 下列缩略语适用于本文件。 AD 活动目录(Active Directory) FTP 文件传输协议(File Transfer Protocol) HTTP 超文本传输协议(HyperText Transfer Protocol) HTTPS 安全超文本传输协议(Hyper Text Transfer Protocol ove
5、r Secure Socket Layer) ID 标识符(IDentifier) IP 网络协议(Internet Protocol) IT 信息技术(Information Technology) ITIL 信息技术基础架构库(Information Technology Infrastructure Library) ITSS 信息技术服务标准(Information TechnologyService Standards) KPI 关键绩效指标(Key Performance Indicator) LDAP 轻量目录访问协议(Lightweight Directory Access P
6、rotocol) Radius 远程用户认证系统(Remote Authentication Dial In User Service) RDP 远程桌面协议(Remote Desktop Protocol) SFTP 安全文件传输协议(Secure File Transfer Protocol) SSH 安全外壳协议(Secure Shell) SSL 安全套接层(Secure Sockets Layer) SSO 单点登录(Single Sign On) TELNET 远程通信协议(Telecommunications Network) VNC 虚拟网络控制台(Virtual Networ
7、k Console) 5 内控安全管理参考模型 5.1 内控安全管理参考模型如图 1 所示,模型中涉及人员、IT 系统、流程制度三个要素,人员是指维护和管理 IT 系统的人员,包括第三方外包维护人员。IT 系统包括但不限于主机、数据库、网络、中间件、应用程序等各类 IT 资源。流程制度是组织内部为规范 IT 运维行为、保证运维安全所制订的一系列流程化管理制度或工具。 5.2 内控安全管理是将人员对 IT 系统的运维过程结合组织自身的流程制度进行集中管控。 包括对人员的管控和对 IT 系统的管控两个方面。对人员的管控采用三权分立原则。对 IT 系统的管控采用集中、统一的方式。 DB37/T 33
8、032018 3 图1 内控安全管理参考模型 6 集中管控 6.1 三权分立 根据GB/T 22239-2008基本要求,信息系统管理应满足三权分立原则,分为管理员、操作员、审计员三类角色,每人分配一个唯一的身份ID。 6.2 身份 ID 集中管理 内控安全管理系统应支持人员身份ID的集中管理,支持分部门、分组管理人员,管理员负责操作员身份ID的创建和维护,操作员权限应与管理员、审计员的权限分开。 6.3 登录管理 6.3.1 单点登录 内控安全管理系统作为统一运维入口,操作员通过唯一身份ID认证后,能够直接访问要运维的IT系统,无需再次输入账号密码。 6.3.2 身份认证 登录内控安全管理系
9、统时,应对人员身份ID进行认证,支持单种认证方式或多种认证方式的组合,认证方式包含但不限于: a) 静态密码; b) 动态密码; DB37/T 33032018 4 c) 数字证书; d) AD 域认证; e) LDAP 认证; f) 虹膜认证。 6.4 IT 系统授权 6.4.1 IT 系统授权应由管理员统一负责。 6.4.2 授权管理包括授权主体、授权客体和授权关系三个元素,内控安全管理系统应设置授权策略,包括: a) 授权主体: 1) 人员身份 ID、人员身份 ID 组或者二者的组合; 2) 管理员为临时授权所创建的临时人员身份 ID。 b) 授权客体:IT 系统、IT 系统组、访问权限
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB37T 3303-2018 信息安全技术 内控安全管理技术规范山东省 DB37 3303 2018 信息 安全技术 内控 安全管理 技术规范 山东省