T-GDIOT 018-2024 网络安全管理运营规范

1T/GDIOT018-2024 广东省物联网协会发布2024-04-11实施 2024-04-11发布网络安全管理运营规范 Standardfornetworksecuritymanagementandoperation团体标准ICS35.110 CCSI64 全国团体标准信息平台 T/GDIOT018-2024 目次前言................................................................................................................................................................................I 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4网络安全运营管理框架及内容...........................................................2 5网络安全运营技术要求.................................................................2 6网络安全威胁管理......................................................................5 7技术防范措施..........................................................................6 8集中监管与响应管理...................................................................7 9网络安全运营人员管理.................................................................8 10网络资产管理........................................................................9 11网络安全管理要求...................................................................10 12安全绩效考核.......................................................................11 附录A...............................................................................12 全国团体标准信息平台 T/GDIOT018-2024 I前言本文件依据GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由广东省物联网协会归口。本文件由广东技术师范大学提出。本文件起草单位：广东技术师范大学、北京安博通科技股份有限公司、华南农业大学、广州医科大学、广东工业大学、广东食品药品职业学院、揭阳职业技术学院、广州犀甲信息安全技术有限公司、奇安信安全技术（广东）有限公司、广州非凡信息安全技术有限公司、广州安有信科技有限公司、广东悦学科技有限公司。本文件主要起草人：陈志华、黄经赢、刘斌、徐省华、欧威健、蔡金玲、王强、马威、阎连龙、魏文国、谢桂园、王小松、黄志宏、柯家海、王岗、黄慧武、唐润华、陈彦彬、陈泉泉、李双喜、林旭滨、苏妍、李岳学。全国团体标准信息平台 T/GDIOT018-2024 1网络安全运营管理规范 1范围本文件旨在明确网络安全运营管理的流程、职责和要求，提供网络安全运营中安全管理技术要求、人员要求，以及管理要求的指导思路及方法。本文件适用于在完成初期安全建设后教育系统内部网络系统的信息安全运营管理工作。 2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注明日期的引用文件，仅该日期对应的版本适用于本文件。不注日期的引用文件，其最新版本（包括所有的修订单）适用于本文件。 GB/T25069-2022信息安全技术术语 GB/T25068.1-2020信息技术安全技术网络安全第一部分：综述和概念 GB/T28454-2020信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作 GB/T28458-2020信息安全技术网络安全漏洞标识与描述规范 3术语和定义下列术语和定义适用于本文件。 3.1 安全基线securitybaseline 保障系统基本安全的最低配置要求。 3.2 网络安全漏洞cybersecurityVulnerability 网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中，无意或有意产生的、有可能被利用的缺陷或薄弱点。 [来源:GB/T28458-2020,3.1] 3.3 个人信息personalinformation 以电子或者其他方式记录的能够单独或者与其他信息结合来识别特定自然人身份或者反映其活动情况的各种信息。注1:个人信息包括姓名、出生日期、居民身份证号码、个人生物特征信息、住址、联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。全国团体标准信息平台 T/GDIOT018-2024 2注2:个人信息控制者通过个人信息或其他加工处理后形成的信息，例如,用户画像特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,也属于个人信息。 [来源:GB/T25069-2022,3.196] 3.4 安全审计securityaudit 对网络、信息系统及其组件的记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对于既定安全策略和运行规程的符合性,发现安全违规，并在控制、安全策略和过程三方面提出改进建议。 [来源:GB/T25069-2022,3.2,有修改] 3.5 网络安全networksecurity 对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。 [来源:GB/T25069-2022,3616] 4网络安全运营管理框架及内容网络安全运营管理架构是按照国家政策法律法规和教育行业网络安全方针，对网络安全进行全面规划和管理的体系结构，包括技术要求、人员要求、管理要求等方面的内容。图1网络安全运营管理架构 5网络安全运营技术要求网络安全运营技术要求是通过一系列的通用安全措施，达到基本的安全运营能力，保障教育行业在网络运营过程中对各个环节进行标准化管理，并能对其建设过程中技术给予指导和要求。 5.1网络安全制度建设全国团体标准信息平台 T/GDIOT018-2024 3安全制度建设的目的是通过建立和落实科学合理的信息安全制度体系，明确管理的目标与范围、流程与活动、人员与职责、资源和条件等，使安全工作规范化、标准化，提高安全管理的有效性，促进实现安全目标。安全制度建设管理一般包括： a)建立健全信息安全制度体系，一般建议采用四级架构（一级为基本制度，二级为办法/规定，三级为实施细则/操作规程，四级为表单及记录）的制度文件体系； b)建立制度起草、评审、发布、落实、评估和持续改进的管理流程。 5.2网络安全运行要求系统安全、稳定运行最基础的保障，遵循以下要求： a)系统的硬件设备宜部署在与其承载的业务级别相匹配的运行环境中； b)保障设备的业务与电力线缆不受电磁及信号干扰； c)机房应配备UPS，备用电力至少保障断电后2小时的电力供应，应采用冗余电缆并至少采用双路市电供电； d)保证系统维护通道和业务通道的独立，包括但不限于端口、线缆、接入设备； e)系统维护通道采用可审计的方案，并定期对维护操作进行审计； f)在系统安全可控的环境内对系统进行维护； g)定期对系统的性能和安全策略进行持续的监控； h)定期对系统的攻击面进行量化评估，并根据业务发展情况，确保系统合规； i)定期对系统的授权、维权情况进行评估，包括硬件和软件，确保授权及售后服务不中断； j)建立故障和问题跟踪机制，并确保相关问题得到缓解处置或者根本性解决处置，如修改配置、持续控制、补丁升级等。 5.3网络安全策略要求企业应制定符合自身实际情况的网络安全策略，包括网络安全目标、原则、要求和措施。安全策略管理宜遵循如下： a)宜持续对审计日志进行分析，验证策略适配后的信息系统控制措施的有效性； b)宜定期对安全系统的策略进行复盘，动态调整策略从而适配安全需求； c)安全管控类策略宜尽可能默认黑名单，再通过开通白名单方式严格限制访问权限。 5.4网络安全漏洞管理通过漏洞的及时发现，有效验证、准确评价、高效修复/加固和复测，控制漏洞暴露所形成信息安