信息安全防護體系運行管理辦法

信息安全防護體系運行管理辦法

第一章 總則

1.1目的

根據(jù)《x單位系統(tǒng)網(wǎng)絡與信息安全總體方案》和《x單位系統(tǒng)網(wǎng)絡與信息安全管理崗位及其職責》，為進一步規(guī)范x單位系統(tǒng)網(wǎng)絡信息安全防護體系配置的安全產(chǎn)品的運行管理工作，提高x單位系統(tǒng)信息安全管理水平，保證安全產(chǎn)品的有效性，特制定本辦法。

1.2 適用范圍

《運行管理辦法》適用于x單位總部、各省級局和地市級局對x單位系統(tǒng)網(wǎng)絡信息安全防護體系統(tǒng)一部署的防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)和漏洞掃描系統(tǒng)、桌面安全防護系統(tǒng)、安全審計系統(tǒng)等安全產(chǎn)品的運行管理。

x單位總部、各省級局和地市級局對所配置的其它同類安全產(chǎn)品的運行管理參照本辦法執(zhí)行。

1.3管理職責

x單位總部負責總部網(wǎng)絡中部署的安全產(chǎn)品的運行管理工作；并負責匯總各省級局上報的安全產(chǎn)品運行管理報告；分析安全風險和存在的安全隱患，形成報表，監(jiān)督指導各省級局解決發(fā)現(xiàn)的安全問題。

各省級局負責本單位網(wǎng)絡中部署的安全產(chǎn)品的運行管理工作；負責匯總各地市級局上報的安全產(chǎn)品運行管理報告，形成本省范圍內的安全產(chǎn)品運行管理報告，當月報告在下月的10日前上報x單位總部；分析所轄區(qū)域內的安全風險和存在的安全隱患，監(jiān)督指導下一級局解決發(fā)現(xiàn)的安全問題。

各省級局負責本單位網(wǎng)絡中部署的安全產(chǎn)品的運行管理工作；形成安全產(chǎn)品運行管理報告，當月報告在下月的10日前上報x單位總部；分析安全風險和存在的安全隱患，解決發(fā)現(xiàn)的安全問題。

各地市級局負責本單位網(wǎng)絡中部署的安全產(chǎn)品的運行管理工作；形成安全產(chǎn)品運行管理報告，當月報告在下月的5日前上報各省級局；分析所屬網(wǎng)絡中的安全風險和存在的安全隱患，解決發(fā)現(xiàn)的安全問題。

第二章 安全管理員職責

各級x單位機關必須按照《x單位系統(tǒng)網(wǎng)絡與信息安全管理崗位及其職責》的規(guī)定，設置安全管理員崗位和具體的執(zhí)行角色，負責安全產(chǎn)品的運行管理，根據(jù)各單位的具體情況，安全管理員崗位可以是安全管理員角色和安全審計員角色的組合，也可設置多個安全管理員崗位。

安全管理員在各x單位機關安全管理機構的領導下工作，負責管理x單位系統(tǒng)網(wǎng)絡信息安全防護體系部署的安全產(chǎn)品，主要職責是：

（1）根據(jù)業(yè)務需求和網(wǎng)絡安全威脅維護安全產(chǎn)品的安全策略，在必須修改策略時，經(jīng)領導和上級主管部門批準后實施；

（2）負責安全產(chǎn)品的日常維護管理，認真記錄維護日志；

（3）解決安全產(chǎn)品運行中出現(xiàn)的技術問題，及時排除故障；

（4）定期分析安全產(chǎn)品的系統(tǒng)日志和安全日志，檢查設備工作狀況，分析是否存在安全風險；

（5）發(fā)現(xiàn)重大安全問題或事件時，及時向領導報告，并按照應急預案進行應急處理；

（6）按照安全產(chǎn)品運行管理報告（見附件二）的內容要求，提交安全產(chǎn)品的運行管理報告。

第三章 安全產(chǎn)品的管理

3.1日常維護管理

（1）安全管理員應每天進行安全設備巡檢；

（2）安全管理員必須對安全產(chǎn)品的策略進行備份保護，策略發(fā)生變更時，必須做好變更記錄并進行備份更新；

（3）定期備份與維護安全產(chǎn)品的系統(tǒng)日志和安全日志；

（4）在總部發(fā)布安全產(chǎn)品升級通知后，及時進行產(chǎn)品升級；

（5）安全產(chǎn)品的運行維護活動記入安全產(chǎn)品的維護工作日志。

3.2故障管理

安全管理員應每天在日常維護日志中，記錄安全產(chǎn)品的運行狀況或使用情況。在產(chǎn)品出現(xiàn)故障時，應及時與廠商聯(lián)系解決問題，并記錄故障現(xiàn)象與處理結果。

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《安全產(chǎn)品故障統(tǒng)計月表》。

《安全產(chǎn)品故障統(tǒng)計月表》根據(jù)日常維護記錄中安全產(chǎn)品的故障情況填寫。

產(chǎn)品類型包括：防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、漏洞掃描系統(tǒng)、終端桌面安全防護系統(tǒng)和安全審計系統(tǒng)。

內容包括：

a.? 故障總數(shù)

b.? 主要故障描述

c.? 處理結果

3.3變更管理

總部對網(wǎng)絡與信息安全防護產(chǎn)品的配置位置和統(tǒng)配策略做了統(tǒng)一部署。為了保證安全防護體系的完整性和可控性，需要對網(wǎng)絡信息安全防護體系中配置的安全產(chǎn)品進行變更管理。

（1）總部統(tǒng)一配置的安全產(chǎn)品配置位置變更時必須經(jīng)總部批準；

（2）各級x單位單位負責本單位安全策略的制定，但總部統(tǒng)配安全策略的變更必須報總部批準。

（3）對批準實施的變更情況存檔并記入本單位《運行管理報告》中的變更情況說明，包括：

l? 變更的安全設備名稱、型號

l? 變更原因

l? 變更后的設備配置拓撲

l? 變更后的設備配置策略

3.4安全管理

3.4.1例行安全管理

安全管理員必須每天分析安全產(chǎn)品的系統(tǒng)日志和安全日志，在發(fā)現(xiàn)安全事件時，應及時報告。

以下各節(jié)描述對各類安全設備的例行安全管理活動。

3.4.1.1防火墻

（1）防火墻運行狀態(tài)監(jiān)測

安全管理員應每天監(jiān)測上下行防火墻和橫向防火墻運行狀態(tài)。

監(jiān)測的內容：

a.系統(tǒng)負載（cpu狀態(tài)）

b.系統(tǒng)資源（內存狀態(tài)）

c.防火墻端口狀態(tài)

d.網(wǎng)絡連接數(shù)

（2）防火墻安全事件分析

安全管理員應每天檢查防火墻的安全日志，分析安全事件。

安全事件分析內容：

a. 攻擊事件描述

b. 攻擊時間

c. 攻擊類型

d. 攻擊源ip和受攻擊主機ip

e. 阻斷ip地址及相關端口

（3）防火墻安全事件月統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《防火墻安全事件統(tǒng)計月表》。

《防火墻安全事件統(tǒng)計月表》根據(jù)防火墻日志分析結果填寫。

安全事件統(tǒng)計內容：

a.各種攻擊類型數(shù)量及百分比統(tǒng)計

b.top 10攻擊源ip與受攻擊主機ip統(tǒng)計

（4）防火墻阻斷事件統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中《防火墻阻斷事件報告統(tǒng)計表》。

《防火墻阻斷事件報告統(tǒng)計表》根據(jù)安全審計系統(tǒng)中相應的防火墻日志分析結果填寫。

阻斷事件統(tǒng)計內容：

a. 阻斷事件總數(shù)。

b. top 10阻斷ip地址。

c.top 10 阻斷端口。

3.4.1.2入侵檢測系統(tǒng)

（1）安全事件分析

安全管理員應每天分析入侵檢測系統(tǒng)記錄的安全事件。

安全事件分析內容：

a. 攻擊事件描述

b. 攻擊時間

c. 攻擊類型

d. 攻擊源ip和受攻擊主機ip

（2）入侵檢測系統(tǒng)安全事件月統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《入侵檢測系統(tǒng)安全事件統(tǒng)計月表》。

《入侵檢測系統(tǒng)安全事件統(tǒng)計月表》根據(jù)入侵檢測日志分析結果填寫。

安全事件統(tǒng)計內容：

a. top 10安全事件數(shù)量及百分比統(tǒng)計

b.top 10攻擊源ip與受攻擊主機ip統(tǒng)計

3.4.1.3 防病毒系統(tǒng)

（1）防病毒系統(tǒng)運行管理監(jiān)測

安全管理員應進行防病毒系統(tǒng)運行管理監(jiān)測。

監(jiān)測內容：

a.防病毒軟件升級信息

b.周病毒審計

c.周主機變化記錄

d.周策略維護

（2）病毒事件周分析

安全管理員應每周監(jiān)測病毒事件

監(jiān)測內容：

a.病毒總量

b.多發(fā)病毒統(tǒng)計

c.多發(fā)病毒主機

（3）病毒事件月統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《病毒事件報告月表》。

《病毒事件報告月表》根據(jù)防病毒系統(tǒng)日志分析結果填寫。

安全事件統(tǒng)計內容：

a.? 病毒總量

b.? 多發(fā)病毒統(tǒng)計

c.? 多發(fā)病毒主機

3.4.1.4漏洞掃描系統(tǒng)

（1）漏洞掃描系統(tǒng)管理監(jiān)控

安全管理員要嚴格管理好漏洞掃描系統(tǒng)，未經(jīng)領導批準，不得擅自使用。

在使用漏洞掃描系統(tǒng)前應填寫《漏洞掃描系統(tǒng)使用申請》（見附件一），獲得領導批準后方能使用。

申請內容：漏洞掃描系統(tǒng)的掃描地址范圍。

安全管理員在日常維護日志中記錄使用漏洞掃描系統(tǒng)的情況。

對發(fā)現(xiàn)的重要業(yè)務服務器的安全漏洞，必須在報告總部后，根據(jù)總部組織的專家咨詢意見，獲得領導批準后才能打補丁。

（2）漏洞管理月統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《漏洞管理月報告》。

《漏洞管理報告》根據(jù)漏洞掃描系統(tǒng)掃描數(shù)據(jù)分析與處理結果填寫。

漏洞管理內容：

a.主要應用系統(tǒng)的相關信息及漏洞分布情況

b.根據(jù)漏洞進行配置調整與補丁安裝情況

3.4.1.5終端桌面安全防護系統(tǒng)

（1）安全事件分析

安全管理員應每天分析終端桌面安全防護系統(tǒng)的安全事件。

安全事件分析內容：

a. 高危險級別事件名稱。

b. 高危險級別事件發(fā)生時間。

c. 高危險級別事件詳細內容和發(fā)生原因。

d. 發(fā)生高危險級別事件的主機信息。

（2）終端桌面安全防護系統(tǒng)月統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《桌面安全防護系統(tǒng)事件月報告》。

《桌面安全防護系統(tǒng)事件月報告》根據(jù)桌面安全防護系統(tǒng)的相應查詢功能和安全審計系統(tǒng)中桌面安全防護系統(tǒng)的相關日志分析結果填寫。

終端桌面安全防護系統(tǒng)管理內容：

a.資產(chǎn)信息統(tǒng)計

b. 安全事件總數(shù)，高危險級別事件數(shù)量，中危險級別事件數(shù)量。

c.top 10 高危險級別事件。

d.top 10 高危險級別ip地址.

3.4.1.6安全審計系統(tǒng)

（1）安全事件分析

安全管理員應每天分析安全審計系統(tǒng)收集和處理的安全事件日志信息。

安全事件分析內容：

a. windows主機產(chǎn)生的高危險級別事件信息。

b.windows主機產(chǎn)生的高危險級別事件產(chǎn)生的時間。

c.windows主機產(chǎn)生的高危險級別事件所屬主機信息。

d. unix主機產(chǎn)生的高危險級別事件信息。

e.unix主機產(chǎn)生的高危險級別事件產(chǎn)生的時間。

f.unix主機產(chǎn)生的高危險級別事件所屬主機信息。

g. 網(wǎng)絡設備產(chǎn)生的高危險級別事件信息。

h.網(wǎng)絡設備產(chǎn)生的高危險級別事件產(chǎn)生的時間。

i.網(wǎng)絡設備產(chǎn)生的高危險級別事件所屬主機信息。

（2）安全審計系統(tǒng)月統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《安全審計管理月報告》。共包括如下四個報告：《安全審計系統(tǒng)審計源及日志統(tǒng)計》、《windows主機事件報告統(tǒng)計》、《unix主機事件報告統(tǒng)計》、《網(wǎng)絡設備事件報告統(tǒng)計》。

《安全審計管理月報告》根據(jù)安全審計系統(tǒng)收集的日志結果填寫。

安全審計管理內容：

1、安全審計系統(tǒng)審計源及日志統(tǒng)計

a.日志源日志源數(shù)量統(tǒng)計

b.日志分級數(shù)量統(tǒng)計

2、windows主機事件報告統(tǒng)計

a. 產(chǎn)生事件總數(shù)，高危險級別數(shù)量。

b. top 10高危險級別事件產(chǎn)生數(shù)量的ip地址

3、unix主機事件報告統(tǒng)計

a. 產(chǎn)生事件總數(shù)，高危險級別數(shù)量。

b. top 10高危險級別事件產(chǎn)生數(shù)量的ip地址

4、網(wǎng)絡設備事件報告統(tǒng)計

a. 產(chǎn)生事件總數(shù)，高危險級別數(shù)量。

b. top 10高危險級別事件產(chǎn)生數(shù)量的ip地址

3.4.2應急安全管理

在發(fā)現(xiàn)安全系統(tǒng)出現(xiàn)《x單位系統(tǒng)重大網(wǎng)絡與信息安全事件報告制度》中定義的重大安全事件時，按文件規(guī)定的流程進行處理和上報，如果與相應的安全產(chǎn)品關聯(lián)，應同時記錄相關情況。