T-GDIOT 002-2024 網(wǎng)絡(luò)安全管理運營規(guī)范

ICS35.110CCSI6440Standardfornetworksecurity IT/GDIOT002-2024前言 II 2規(guī)范性引用文件 3術(shù)語和定義 4網(wǎng)絡(luò)安全運營管理框架及內(nèi)容 5網(wǎng)絡(luò)安全運營技術(shù)要求 6網(wǎng)絡(luò)安全威脅管理 77技術(shù)防范措施 88集中監(jiān)管與響應(yīng)管理 9網(wǎng)絡(luò)安全運營人員管理 10網(wǎng)絡(luò)資產(chǎn)管理 11網(wǎng)絡(luò)安全管理要求 12安全績效考核 T/GDIOT002-2024本文件依據(jù)GB/T1.1-2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由廣東省物聯(lián)網(wǎng)協(xié)會歸口。本文件由廣東技術(shù)師范大學(xué)提出。本文件起草單位：廣東技術(shù)師范大學(xué)、北京安博通科技股份有限公司、華南農(nóng)業(yè)大學(xué)、廣州醫(yī)科大學(xué)、廣東工業(yè)大學(xué)、廣東食品藥品職業(yè)學(xué)院、揭陽職業(yè)技術(shù)學(xué)院、廣州犀甲信息安全技術(shù)有限公司、奇安信安全技術(shù)（廣東）有限公司、廣州非凡信息安全技術(shù)有限公司、廣州安有信科技有限公司、廣東悅學(xué)科技有限公司。本文件主要起草人：陳志華、黃經(jīng)贏、劉斌、徐省華、歐威健、蔡金玲、王強、馬威、閻連龍、魏文國、謝桂園、王小松、黃志宏、柯家海、王崗、黃慧武、唐潤華、陳彥彬、陳泉泉、李雙喜、林旭濱、蘇妍、李岳學(xué)。3T/GDIOT002-2024網(wǎng)絡(luò)安全運營管理規(guī)范本標準旨在明確網(wǎng)絡(luò)安全運營管理的流程、職責和要求，提供網(wǎng)絡(luò)安全運營中安全管理技術(shù)要求、人員要求，以及管理要求的指導(dǎo)思路及方法。本標準適用于在完成初期安全建設(shè)后教育系統(tǒng)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的信息安全運營管理工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中包括：GB/T25068.1-2020信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第一部分：綜述和概念GB/T25069-2022信息安全技術(shù)術(shù)語GB/T28454-2020信息技術(shù)安全技術(shù)入侵檢測和防御系統(tǒng)（IDPS）的選擇、部署和操作GB/T28458-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標識與描述規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1安全基線securitybaseline保障系統(tǒng)基本安全的最低配置要求。3.2網(wǎng)絡(luò)安全漏洞cybersecurityVulnerability網(wǎng)絡(luò)產(chǎn)品和服務(wù)在需求分析、設(shè)計、實現(xiàn)、配置、測試、運行、維護等過程中，無意或有意產(chǎn)生的、有可能被利用的缺陷或薄弱點。[來源:GB/T28458-2020,3.1]3.3個人信息personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合來識別特定自然人身份或者反映其活動情況的各種信息。注1:個人信息包括姓名、出生日期、居民身份證號碼、個人生物特征信息、住址、聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信注2:個人信息控制者通過個人信息或其他加工處理后形成的信息，例如,用戶畫像特征標簽,能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況3.4安全審計securityauditT/GDIOT002-2024對網(wǎng)絡(luò)、信息系統(tǒng)及其組件的記錄與活動的獨立評審和考察，以測試系統(tǒng)控制的充分程度，確保對于既定安全策略和運行規(guī)程的符合性,發(fā)現(xiàn)安全違規(guī)，并在控制、安全策略和過程三方面提出改進建議。[來源:GB/T25069-2022,3.2,有修改]3.5網(wǎng)絡(luò)安全networksecurity對網(wǎng)絡(luò)環(huán)境下存儲、傳輸和處理的信息的保密性、完整性和可用性的保持。[來源:GB/T25069-2022,3616]4網(wǎng)絡(luò)安全運營管理框架及內(nèi)容網(wǎng)絡(luò)安全運營管理架構(gòu)是按照國家政策法律法規(guī)和教育行業(yè)網(wǎng)絡(luò)安全方針，對網(wǎng)絡(luò)安全進行全面規(guī)劃和管理的體系結(jié)構(gòu)，包括技術(shù)要求、人員要求、管理要求等方面的內(nèi)容。圖1網(wǎng)絡(luò)安全運營管理架構(gòu)5網(wǎng)絡(luò)安全運營技術(shù)要求網(wǎng)絡(luò)安全運營技術(shù)要求是通過一系列的通用安全措施，達到基本的安全運營能力，保障教育行業(yè)在網(wǎng)絡(luò)運營過程中對各個環(huán)節(jié)進行標準化管理，并能對其建設(shè)過程中技術(shù)給予指導(dǎo)和要求。5.1網(wǎng)絡(luò)安全制度建設(shè)安全制度建設(shè)的目的是通過建立和落實科學(xué)合理的信息安全制度體系，明確管理的目標與范圍、流程與活動、人員與職責、資源和條件等，使安全工作規(guī)范化、標準化，提高安全管理的有效性，促進實現(xiàn)安全目標。安全制度建設(shè)管理一般包括：a)建立健全信息安全制度體系，一般建議采用四級架構(gòu)（一級為基本制度，二級為辦法/規(guī)定，三級為實施細則/操作規(guī)程，四級為表單及記錄）的制度文件體系；b)建立制度起草、評審、發(fā)布、落實、評估和持續(xù)改進的管理流程。5T/GDIOT002-20245.2網(wǎng)絡(luò)安全運行要求系統(tǒng)安全、穩(wěn)定運行最基礎(chǔ)的保障，遵循以下要求：a)系統(tǒng)的硬件設(shè)備宜部署在與其承載的業(yè)務(wù)級別相匹配的運行環(huán)境中；b)保障設(shè)備的業(yè)務(wù)與電力線纜不受電磁及信號干擾；c)機房應(yīng)配備UPS，備用電力至少保障斷電后2小時的電力供應(yīng)，應(yīng)采用冗余電纜并至少采用雙路市電供電；d)保證系統(tǒng)維護通道和業(yè)務(wù)通道的獨立，包括但不限于端口、線纜、接入設(shè)備；e)系統(tǒng)維護通道采用可審計的方案，并定期對維護操作進行審計；f)在系統(tǒng)安全可控的環(huán)境內(nèi)對系統(tǒng)進行維護；g)定期對系統(tǒng)的性能和安全策略進行持續(xù)的監(jiān)控；h)定期對系統(tǒng)的攻擊面進行量化評估，并根據(jù)業(yè)務(wù)發(fā)展情況，確保系統(tǒng)合規(guī)；i)定期對系統(tǒng)的授權(quán)、維權(quán)情況進行評估，包括硬件和軟件，確保授權(quán)及售后服務(wù)不中斷；j)建立故障和問題跟蹤機制，并確保相關(guān)問題得到緩解處置或者根本性解決處置，如修改配置、持續(xù)控制、補丁升級等。5.3網(wǎng)絡(luò)安全策略要求企業(yè)應(yīng)制定符合自身實際情況的網(wǎng)絡(luò)安全策略，包括網(wǎng)絡(luò)安全目標、原則、要求和措施。安全策略管理宜遵循如下：a)宜持續(xù)對審計日志進行分析，驗證策略適配后的信息系統(tǒng)控制措施的有效性；b)宜定期對安全系統(tǒng)的策略進行復(fù)盤，動態(tài)調(diào)整策略從而適配安全需求；c)安全管控類策略宜盡可能默認黑名單，再通過開通白名單方式嚴格限制訪問權(quán)限。5.4網(wǎng)絡(luò)安全漏洞管理通過漏洞的及時發(fā)現(xiàn)，有效驗證、準確評價、高效修復(fù)/加固和復(fù)測，控制漏洞暴露所形成信息安全風險。盡可能地避免攻擊者利用漏洞實現(xiàn)其網(wǎng)絡(luò)攻擊行為和目的，保障組織業(yè)務(wù)系統(tǒng)及業(yè)務(wù)數(shù)據(jù)的安全性。a)漏洞發(fā)現(xiàn)漏洞發(fā)現(xiàn)是漏洞管理工作的起始，通過多種方式及時發(fā)現(xiàn)組織系統(tǒng)中存在的漏洞，避免系統(tǒng)漏洞長期暴露。漏洞發(fā)現(xiàn)方式包括但不限于：——利用組織自有的人工或自動化方法對漏洞進行檢測；——利用安全眾測或第三方漏洞檢測服務(wù)的形式定期對漏洞進行檢測；T/GDIOT002-2024——通過接受漏洞通報機構(gòu)的通報獲取漏洞信息；——獲取軟件廠商官方通報的軟件漏洞信息。b)漏洞評估與檢測漏洞評估師通過漏洞級別、漏洞利用方式、漏洞載體價值及敏感度等指標評估漏洞危害程度的過程，科學(xué)地判斷多個漏洞的修復(fù)順序和修復(fù)時限，為后續(xù)的漏洞處置過程提供依據(jù)。漏洞評估方式包括但不限：——綜合評估法：結(jié)合漏洞級別、漏洞利用方式、漏洞載體價值及敏感度、漏洞載體的映射情況及訪問策略等指標進行綜合評估，該方法適用于信息資產(chǎn)規(guī)模較大的組織；——單一評估法：根據(jù)漏洞載體是否映射在互聯(lián)網(wǎng)側(cè)、漏洞載體是否在核心系統(tǒng)、漏洞載體是否是生產(chǎn)環(huán)境等指標中的某一條進行評估，該方法適用于信息資產(chǎn)規(guī)模較小的組織。c)漏洞驗證漏洞驗證是驗證漏洞的真實性，也是漏洞管理過程中的關(guān)鍵步驟，有效的漏洞驗證可以提高后續(xù)漏洞分析和處置工作的效率，提升安全運營工作的整體水平，漏洞驗證方式包括但不限于：——利用組織自有的人工或者自動化方法對漏洞進行驗證；——利用第三方漏洞驗證服務(wù)對漏洞進行驗證。d)漏洞通報與反饋對存在的漏洞進行內(nèi)部通報，并向上級主管部門報告，及時獲取修復(fù)方案和安全建議。5.5系統(tǒng)弱口令管理系統(tǒng)的賬號口令應(yīng)遵循以下：a)所有系統(tǒng)賬號應(yīng)設(shè)置復(fù)雜的口令，避免弱口令和默認口令，并設(shè)置密碼更換策略，對密碼進行定期的更換；b)系統(tǒng)認證應(yīng)有詳細的日志審計記錄，外發(fā)至日志審計中心，進行異常登錄監(jiān)控管理；c)應(yīng)及時刪除或停用多余的、過期的賬號，避免共享賬戶的存在；d)重要系統(tǒng)的登錄，宜采用多因素方式進行身份認證。5.6網(wǎng)絡(luò)安全基線管理安全運營基線管理的目的在于保證業(yè)務(wù)系統(tǒng)的安全，使業(yè)務(wù)系統(tǒng)的風險在可控范圍內(nèi)。a)安全基線設(shè)置安全基線設(shè)置宜遵循以下：7T/GDIOT002-2024——宜根據(jù)組織的信息資產(chǎn)情況設(shè)定操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、中間件、數(shù)據(jù)庫等安全基線；——可通過人工或者自動化的方式實現(xiàn)信息資產(chǎn)的安全基線設(shè)置。b)安全基線檢查宜定期對信息資產(chǎn)的安全基線設(shè)置進行檢查，并對檢查過程中發(fā)現(xiàn)的問題進行跟蹤處置，宜定期根據(jù)組織信息資產(chǎn)和漏洞情況對安全基線進行評估和更新。c)安全基線例外管理宜定期對信息資產(chǎn)的安全基線設(shè)置進行檢查，可允許部分低于安全基線配置的例外情況存在。宜建立例外管理措施，對例外情況進行詳細記錄。6網(wǎng)絡(luò)安全威脅管理通過有效的措施防止網(wǎng)絡(luò)攻擊、檢測網(wǎng)絡(luò)威脅和響應(yīng)安全事件，形成安全威脅閉環(huán)管理，主要的工作有檢測、識別、保護、響應(yīng)和恢復(fù)。6.1網(wǎng)絡(luò)安全威脅監(jiān)測網(wǎng)絡(luò)安全威脅監(jiān)測的基礎(chǔ)是數(shù)據(jù)采集，數(shù)據(jù)采集范圍至少涵蓋安全設(shè)備、主機設(shè)備、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)，可通過大數(shù)據(jù)關(guān)聯(lián)分析技術(shù)、情報碰撞技術(shù)、基線分析技術(shù)、AI智能應(yīng)用技術(shù)等進行數(shù)據(jù)分析和威脅檢測，發(fā)現(xiàn)更復(fù)雜的、更具價值的威脅事件，并將威脅事件規(guī)模控制在可人工處理的數(shù)量級，最終以事件為線索，以海量的流量數(shù)據(jù)、安全日志數(shù)據(jù)為基礎(chǔ)數(shù)據(jù)，對分析結(jié)果進行回溯分析。采集類型應(yīng)包含以下類型：a)網(wǎng)絡(luò)日志：流量會話、應(yīng)用行為、文件傳輸、賬號登錄等；b)安全日志：網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫、安全設(shè)備、中間件、虛擬化、應(yīng)用系統(tǒng)、網(wǎng)關(guān)系統(tǒng)c)終端日志：文件行為、進程行為、郵件行為、注冊表等；d)系統(tǒng)日志：系統(tǒng)登錄、系統(tǒng)操作等。6.2網(wǎng)絡(luò)安全威脅處置網(wǎng)絡(luò)安全威脅處置是威脅閉環(huán)管理的重要環(huán)節(jié)，通過對威脅告警的綜合分析研判，將一條或多條可能對企業(yè)產(chǎn)生威脅的告警合并生成一個事件。借助自動化分析等技術(shù)驅(qū)動工具自動化統(tǒng)計分析事件對學(xué)校內(nèi)資產(chǎn)的影響范圍，關(guān)鍵證據(jù)信息，并自動提供常見威脅事件的處置建議。根據(jù)專業(yè)的處置建議，通過手動或自動化的方式聯(lián)動網(wǎng)內(nèi)防火墻、殺毒等安全設(shè)備進行攻擊阻斷，并通知相關(guān)業(yè)務(wù)負責人修復(fù)系統(tǒng)脆弱性，若遇到重大網(wǎng)絡(luò)安全事故，需啟動應(yīng)急響應(yīng)流程，及時應(yīng)對。6.3網(wǎng)絡(luò)安全審計T/GDIOT002-2024通過網(wǎng)絡(luò)安全審計，對網(wǎng)絡(luò)數(shù)據(jù)進行識別、采集、分析，對校園網(wǎng)用戶網(wǎng)絡(luò)行為進行實時動態(tài)監(jiān)測，及時捕獲用戶網(wǎng)絡(luò)違規(guī)行為，響應(yīng)實時警報全面記錄網(wǎng)絡(luò)對話和事件，對網(wǎng)絡(luò)信息、事件進行安全智能關(guān)聯(lián)全程跟蹤、分析、評估，準確掌，握校園網(wǎng)安全狀態(tài)，第一時間發(fā)現(xiàn)違規(guī)、不安全事件，實時記錄、警告，同時進行定位分析、追查取證，滿足校園網(wǎng)安全審計需求，滿足校園網(wǎng)安全管理需求。6.4網(wǎng)絡(luò)安全內(nèi)容審計通過對校園網(wǎng)安全自定義關(guān)鍵詞，對校園網(wǎng)訪問網(wǎng)站、收發(fā)郵件、遠程終端訪問、文件共享、數(shù)據(jù)傳輸、數(shù)據(jù)庫訪問等內(nèi)容進行完整檢測、信息還原、細粒度審計追蹤等功能。6.5網(wǎng)絡(luò)安全行為審計通過技術(shù)手段結(jié)合網(wǎng)絡(luò)安全審計設(shè)定校園網(wǎng)行為審計的策略，對校園網(wǎng)訪問網(wǎng)站、收發(fā)郵件、遠程終端訪問、文件共享、數(shù)據(jù)傳輸、數(shù)據(jù)庫訪問、濫用網(wǎng)絡(luò)資源等用戶行為進行動態(tài)監(jiān)測，并對不符合網(wǎng)絡(luò)安全行為策略的用戶事件實時記錄并警告。6.6網(wǎng)絡(luò)安全流量審計通過網(wǎng)絡(luò)安全流量可對校園網(wǎng)實時報文流量進行基于協(xié)議識別的綜合流量分析，為校園網(wǎng)流量管理提供支持。6.7網(wǎng)絡(luò)安全檢查網(wǎng)絡(luò)安全檢查是保障企業(yè)或個人在網(wǎng)絡(luò)中使用安全的重要環(huán)節(jié)。7技術(shù)防范措施包括但不限于網(wǎng)頁防篡改、防病毒、防攻擊等技術(shù)措施、帳戶和口令的管理措施、操作系統(tǒng)、應(yīng)用軟件、病毒防護軟件等的補丁升級、網(wǎng)站域名安全管理措施等。宜定期開展網(wǎng)絡(luò)安全檢查和網(wǎng)絡(luò)安全應(yīng)急響應(yīng)措施。7.1應(yīng)急預(yù)案制定與演練制定詳細的網(wǎng)絡(luò)事件應(yīng)急預(yù)案，包括預(yù)警機制、響應(yīng)流程、處置措施等，定期進行應(yīng)急演練，確保預(yù)案的有效性和可操作性。7.2應(yīng)急響應(yīng)實施在發(fā)生網(wǎng)絡(luò)事件時，迅速啟動應(yīng)急預(yù)案，進行事件處置和分析，確保事件的及時解決，并防止事件擴大和擴散。針對產(chǎn)生的安全事件，安全運營人員宜遵循以下開展響應(yīng)和處置工作。a)宜建立統(tǒng)一的安全運營平臺，在平臺上進行集中告警、事件的產(chǎn)生、處理、審核、復(fù)盤等全流程的安全運營工作；b)宜建立針對各類告警、安全事件的SOP、一線運營人員按照SOP開展常態(tài)化的運營工作；9T/GDIOT002-2024c)宜根據(jù)事件級別，制定響應(yīng)策略，響應(yīng)策略宜包括響應(yīng)時限、響應(yīng)人員、響應(yīng)流程；d)宜周期性地進行安全運營響應(yīng)的時間復(fù)盤和匯總，定期發(fā)送運營報告；e)應(yīng)建立應(yīng)急事件響應(yīng)、通報流程。8集中監(jiān)管與響應(yīng)管理集中監(jiān)管與響應(yīng)是指通過一系列的技術(shù)、工具、標準化的工作流程，對已部署的安全設(shè)備、網(wǎng)絡(luò)系統(tǒng)、主機應(yīng)用等信息系統(tǒng)的運行狀態(tài)、安全狀態(tài)進行統(tǒng)一的監(jiān)控管理，并基于已知的告警策略、對觸發(fā)的告警按照標準化的處置流程進行快速應(yīng)急響應(yīng)。目的在于最大化地降低系統(tǒng)運行風險，持續(xù)保障運營安全管理的有效性，不斷提升整體安全運營管理水平。8.1網(wǎng)絡(luò)設(shè)備安全管理通過選擇符合安全要求的網(wǎng)絡(luò)設(shè)備，做好設(shè)備的維護與管理，加強個人信息的采集、應(yīng)用和管理，加強網(wǎng)絡(luò)設(shè)備的安全管理和維護。8.2設(shè)備選型與部署選擇符合安全要求的網(wǎng)絡(luò)設(shè)備，合理部署在企業(yè)的各個網(wǎng)絡(luò)區(qū)域，并采取必要的安全措施如訪問控制、加密傳輸?shù)取?.3設(shè)備維護與管理對網(wǎng)絡(luò)設(shè)備進行定期維護和管理，包括升級備份、故障排除等，確保設(shè)備正常運行，防止因設(shè)備故障導(dǎo)致的網(wǎng)絡(luò)安全事件。8.4個人信息安全運營在安全運營過程中個人的信息應(yīng)包括但不限于自然人的姓名、出生日期、身份證號碼、通信通訊聯(lián)系方式、個人生物特征信息、住址、賬號密碼、成績和行為信息等。8.5個人信息采集管理教育網(wǎng)絡(luò)運營者在收集采集個人信息的行為應(yīng)滿足以下要求：a)個人信息收集前，應(yīng)向被收集的個人信息主體公示本機構(gòu)收集的目的、范圍、方法和手段、處理方式等信息；b)個人信息收集應(yīng)獲得個人信息主體的同意和授權(quán)；c)個人信息收集應(yīng)執(zhí)行收集前簽署的約定和協(xié)議，不應(yīng)有超范圍收集的現(xiàn)象；d)應(yīng)確保收集個人信息過程的安全性，收集個人信息之前，應(yīng)有對被收集人進行身份認證的機制；收集個人信息時，信息在傳輸過程中應(yīng)進行加密等保護處理；收集個人信息時應(yīng)有對收集內(nèi)容進行安全檢測和過濾的機制，防止非法內(nèi)容提交。8.6個人信息應(yīng)用管理T/GDIOT002-2024教育網(wǎng)絡(luò)運營者在應(yīng)用個人信息時應(yīng)滿足以下要求：a)對個人信息的應(yīng)用，應(yīng)符合與個人信息主體簽署的相關(guān)協(xié)議和規(guī)定，不應(yīng)超范圍應(yīng)用個人信息；b)個人信息主體應(yīng)擁有控制本人信息的權(quán)限，包括：允許對本人信息的訪問；允許對本人信息的修改，包括糾正不準確和不完整的數(shù)據(jù)；c)應(yīng)對個人信息的接觸者設(shè)置相應(yīng)的訪問控制措施，包括對被授權(quán)訪問個人信息數(shù)據(jù)的工作人員按照最小授權(quán)的原則，只能訪問最少夠用的信息，只具有完成職責所需的最少的數(shù)據(jù)操作權(quán)限和對個人信息的重要操作設(shè)置內(nèi)部審批流程，如批量修改、拷貝、下載等，以及對特定人員超限制處理個人信息時配置相應(yīng)的責任人或負責機構(gòu)進行審批，并對這種行為進行記錄；d)應(yīng)對必須要通過界面展示的個人信息進行去標識化的處理。8.7個人信息數(shù)據(jù)分類a)教育網(wǎng)絡(luò)運營者應(yīng)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；b)網(wǎng)絡(luò)運營者應(yīng)遵守其他法律、行政法規(guī)規(guī)定的其他義務(wù)。9網(wǎng)絡(luò)安全運營人員管理通過設(shè)置合理的組織架構(gòu)、郵寄的制度體系、符合實際情況的人員編制和針對性的人員培養(yǎng)機制，使安全管理制度化、流程化、規(guī)范化。在日常的安全工作中實踐、檢驗、優(yōu)化完善。提升組織的安全管理水平，確保組織的信息資產(chǎn)得到安全保護，為總體安全目標賦能。9.1組織架構(gòu)與職責根據(jù)校園網(wǎng)絡(luò)安全管理目標，合理設(shè)置網(wǎng)絡(luò)安全組織架構(gòu)，明確工作職責，各司其職，共同維護校園網(wǎng)絡(luò)安全。企業(yè)應(yīng)設(shè)立完善的網(wǎng)絡(luò)安全管理體系，包括組織架構(gòu)、職責、流程和培訓(xùn)等，以確保網(wǎng)絡(luò)安全得到有效管理和保障。9.2組織架構(gòu)企業(yè)應(yīng)設(shè)立完善的網(wǎng)絡(luò)安全管理體系，包括組織架構(gòu)、職責、流程和培訓(xùn)等，以確保網(wǎng)絡(luò)安全得到有效管理和保障。9.3崗位與職責根據(jù)組織架構(gòu)設(shè)置相應(yīng)的工作崗位，明確崗位職責，細化工作任務(wù)。9.4網(wǎng)絡(luò)安全主管負責制定、審核和監(jiān)督網(wǎng)絡(luò)安全策略、政策和制度，并組織協(xié)調(diào)各部門進行網(wǎng)絡(luò)安全管理。9.5網(wǎng)絡(luò)安全管理部門負責日常網(wǎng)絡(luò)安全監(jiān)控和維護，及時處理網(wǎng)絡(luò)安全事件，并配合網(wǎng)絡(luò)安全主管完成網(wǎng)絡(luò)安全管理工作，負責制定、監(jiān)督和執(zhí)行網(wǎng)絡(luò)安全策略和制度的部門。T/GDIOT002-2024主要職責應(yīng)包括：a)制定網(wǎng)絡(luò)安全策略和制度，并監(jiān)督執(zhí)行；b)組織網(wǎng)絡(luò)安全培訓(xùn)和演練，提高員工的安全意識和技能；c)監(jiān)測網(wǎng)絡(luò)流量和安全狀況，及時發(fā)現(xiàn)并處理安全事件；d)織對網(wǎng)絡(luò)安全設(shè)備進行升級和維護，提高防護能力。9.6各部門負責人職責負責落實本部門網(wǎng)絡(luò)安全責任，執(zhí)行網(wǎng)絡(luò)安全策略和制度，并組織本部門人員參加網(wǎng)絡(luò)安全培訓(xùn)和應(yīng)急演練、網(wǎng)絡(luò)安全策略與制度。a)網(wǎng)絡(luò)管理員：負責日常網(wǎng)絡(luò)設(shè)備的配置和維護，監(jiān)測網(wǎng)絡(luò)流量和安全狀況，協(xié)助處理網(wǎng)絡(luò)安全事件，配置網(wǎng)絡(luò)設(shè)備的參數(shù)，確保網(wǎng)絡(luò)正常運行；b)安全管理員：負責安全設(shè)備的配置和維護，定期進行安全漏洞掃描和風險評估，及時更新安全策略，監(jiān)測網(wǎng)絡(luò)設(shè)備的狀態(tài)，及時發(fā)現(xiàn)并處理異常情況；c)系統(tǒng)管理員：負責服務(wù)器和應(yīng)用的配置和維護，保障數(shù)據(jù)安全和系統(tǒng)穩(wěn)定運行，對網(wǎng)絡(luò)流量進行分析和監(jiān)控，防止網(wǎng)絡(luò)攻擊和異常流量；d)用戶部門：負責終端設(shè)備的日常管理和使用，遵守網(wǎng)絡(luò)安全規(guī)定，及時報告網(wǎng)絡(luò)安全問題。9.7安全培訓(xùn)管理安全培訓(xùn)管理的目標是讓員工掌握必要的信息安全知識和技能，提高員工信息安全意識和專業(yè)素養(yǎng)。安全培訓(xùn)管理一般包括：a)建立規(guī)范化的信息安全管理和技術(shù)培訓(xùn)體系；b)根據(jù)不同培訓(xùn)對象的培訓(xùn)訴求，制定合適的培訓(xùn)內(nèi)容、培訓(xùn)形式和培訓(xùn)計劃；c)評估培訓(xùn)效果，持續(xù)優(yōu)化改進培訓(xùn)體系。10網(wǎng)絡(luò)資產(chǎn)管理發(fā)現(xiàn)、識別、梳理互聯(lián)網(wǎng)和內(nèi)網(wǎng)信息資產(chǎn)，形成完備的信息資產(chǎn)數(shù)據(jù)。周期性地執(zhí)行信息資產(chǎn)威脅檢測任務(wù)，結(jié)合漏洞威脅情報，發(fā)現(xiàn)、標識、定位及驗證網(wǎng)絡(luò)區(qū)域內(nèi)資產(chǎn)的漏洞情況，及時進行風險處置，提升教育行業(yè)對信息安全運營管理能力。10.1網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)的目的，是對組織網(wǎng)絡(luò)資產(chǎn)情況進行全面掌握，以更好地開展安全風險識別和處置工作，網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)方式包括但不限于：a)主動發(fā)現(xiàn)：通過主動掃描安裝網(wǎng)絡(luò)資產(chǎn)管理客戶端及情報信息收集等方式，發(fā)現(xiàn)互聯(lián)網(wǎng)及內(nèi)網(wǎng)T/GDIOT002-2024中的IP、端口、協(xié)議、證書、域名、URL、ARP、API、中間件及軟件版本等信息；b)被動發(fā)現(xiàn)：是通過流量監(jiān)聽的方式被動發(fā)現(xiàn)網(wǎng)絡(luò)中的網(wǎng)絡(luò)資產(chǎn)。10.2網(wǎng)絡(luò)資產(chǎn)運營網(wǎng)絡(luò)資產(chǎn)運營宜遵循以下：a)網(wǎng)絡(luò)資產(chǎn)多維度威脅監(jiān)測：從多種維度，定期監(jiān)測信息資產(chǎn)威脅情況，包括系統(tǒng)漏洞、web應(yīng)用漏洞、弱口令、代碼泄露、APP威脅等，形成網(wǎng)絡(luò)資產(chǎn)威脅圖譜；b)網(wǎng)絡(luò)資產(chǎn)與威脅情報的結(jié)合:充分利用多方威脅情報，將網(wǎng)絡(luò)資產(chǎn)和威脅情況結(jié)合，將威脅情報真正運用到日常工作中，當出現(xiàn)0day情報時，快速獲取最新漏洞信息，利用POC插件進行全網(wǎng)檢測，篩選可能受到影響的網(wǎng)絡(luò)資產(chǎn)；c)網(wǎng)絡(luò)安全漏洞應(yīng)急響應(yīng)：對于網(wǎng)絡(luò)資產(chǎn)中發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞進行應(yīng)急響應(yīng)，確保在最短時間內(nèi)修補網(wǎng)絡(luò)資產(chǎn)對應(yīng)的漏洞；d)網(wǎng)絡(luò)資產(chǎn)漏洞全生命周期的管理：包括漏洞發(fā)現(xiàn)，漏洞指派、漏洞處置、漏洞狀態(tài)跟蹤、漏洞關(guān)閉等階段，達到對漏洞的全流程管理，掌握網(wǎng)絡(luò)資產(chǎn)漏洞整體狀態(tài)；e)網(wǎng)絡(luò)資產(chǎn)安全報告：包括網(wǎng)絡(luò)資產(chǎn)統(tǒng)計、組件開放統(tǒng)計、端口變化趨勢、漏洞加固統(tǒng)計、漏洞變化趨勢、網(wǎng)絡(luò)資產(chǎn)威脅態(tài)勢報告等，展示網(wǎng)絡(luò)資產(chǎn)風險狀態(tài)和安全工作成果；f)重點網(wǎng)絡(luò)資產(chǎn)監(jiān)測：標記重點網(wǎng)絡(luò)資產(chǎn)，設(shè)置周期性任務(wù)、進行重點管理；g)網(wǎng)絡(luò)資產(chǎn)安全告警：新出現(xiàn)高危漏洞或高危漏洞數(shù)量達到閾值時進行告警，或者自定義告警條件，便于及時發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)威脅、掌握安全態(tài)勢，從而實現(xiàn)精準防御。11網(wǎng)絡(luò)安全管理要求網(wǎng)絡(luò)安全管理宜遵循以下：a)定期進行網(wǎng)絡(luò)安全風險評估，了解網(wǎng)絡(luò)系統(tǒng)的安全狀況和薄弱環(huán)節(jié)，制定相應(yīng)的安全措施；b)建立完善的網(wǎng)絡(luò)安全日志審計機制，及時發(fā)現(xiàn)并記錄異常行為和安全事件；c)加強對網(wǎng)絡(luò)設(shè)備和安全設(shè)備的巡檢和維護，確保設(shè)備正常運行和安全策略有效；d)定期進行網(wǎng)絡(luò)安全培訓(xùn)和演練，提高員工的安全意識和應(yīng)急響應(yīng)能力；e)建立網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，明確應(yīng)急響應(yīng)流程和責任人，確保及時有效地處理網(wǎng)絡(luò)安全事件；f)定期對服務(wù)器和數(shù)據(jù)進行備份和恢復(fù)測試，確保數(shù)據(jù)安全和系統(tǒng)穩(wěn)定性；g)對重要信息和數(shù)據(jù)進行加密和權(quán)限管理，防止數(shù)據(jù)泄露和非法訪問；h)對網(wǎng)絡(luò)流量進行監(jiān)控和分析，及時發(fā)現(xiàn)并阻