管理制度信息安全防护体系运行管理办法.docx

1、管理制度信息安全防护体系运行管理办法*系统网络信息安全防护体系运行管理办法（初稿-参考资料）二九年二月第一章 总则1.1目的根据x单位系统网络与信息安全总体方案和x单位系统网络与信息安全管理岗位及其职责，为进一步规范x单位系统网络信息安全防护体系配置的安全产品的运行管理工作，提高x单位系统信息安全管理水平，保证安全产品的有效性，特制定本办法。1.2 适用范围运行管理办法适用于x单位总部、各省级局和地市级局对x单位系统网络信息安全防护体系统一部署的防火墙、入侵检测系统、防病毒系统和漏洞扫描系统、桌面安全防护系统、安全审计系统等安全产品的运行管理。x单位总部、各省级局和地市级局对所配置的其它同类安

2、全产品的运行管理参照本办法执行。1.3管理职责x单位总部负责总部网络中部署的安全产品的运行管理工作；并负责汇总各省级局上报的安全产品运行管理报告；分析安全风险和存在的安全隐患，形成报表，监督指导各省级局解决发现的安全问题。各省级局负责本单位网络中部署的安全产品的运行管理工作；负责汇总各地市级局上报的安全产品运行管理报告，形成本省范围内的安全产品运行管理报告，当月报告在下月的10日前上报x单位总部；分析所辖区域内的安全风险和存在的安全隐患，监督指导下一级局解决发现的安全问题。各省级局负责本单位网络中部署的安全产品的运行管理工作；形成安全产品运行管理报告，当月报告在下月的10日前上报x单位总部；分

3、析安全风险和存在的安全隐患，解决发现的安全问题。各地市级局负责本单位网络中部署的安全产品的运行管理工作；形成安全产品运行管理报告，当月报告在下月的5日前上报各省级局；分析所属网络中的安全风险和存在的安全隐患，解决发现的安全问题。第二章 安全管理员职责各级x单位机关必须按照x单位系统网络与信息安全管理岗位及其职责的规定，设置安全管理员岗位和具体的执行角色，负责安全产品的运行管理，根据各单位的具体情况，安全管理员岗位可以是安全管理员角色和安全审计员角色的组合，也可设置多个安全管理员岗位。安全管理员在各x单位机关安全管理机构的领导下工作，负责管理x单位系统网络信息安全防护体系部署的安全产品，主要职责

4、是：（1）根据业务需求和网络安全威胁维护安全产品的安全策略，在必须修改策略时，经领导和上级主管部门批准后实施； （2）负责安全产品的日常维护管理，认真记录维护日志；（3）解决安全产品运行中出现的技术问题，及时排除故障；（4）定期分析安全产品的系统日志和安全日志，检查设备工作状况，分析是否存在安全风险；（5）发现重大安全问题或事件时，及时向领导报告，并按照应急预案进行应急处理；（6）按照安全产品运行管理报告（见附件二）的内容要求，提交安全产品的运行管理报告。第三章 安全产品的管理3.1日常维护管理（1）安全管理员应每天进行安全设备巡检；（2）安全管理员必须对安全产品的策略进行备份保护，策略发生变

5、更时，必须做好变更记录并进行备份更新；（3）定期备份与维护安全产品的系统日志和安全日志；（4）在总部发布安全产品升级通知后，及时进行产品升级；（5）安全产品的运行维护活动记入安全产品的维护工作日志。3.2故障管理安全管理员应每天在日常维护日志中，记录安全产品的运行状况或使用情况。在产品出现故障时，应及时与厂商联系解决问题，并记录故障现象与处理结果。 安全管理员应按附件二要求如实填写本单位运行管理报告中的安全产品故障统计月表。安全产品故障统计月表根据日常维护记录中安全产品的故障情况填写。产品类型包括：防火墙、入侵检测系统、防病毒系统、漏洞扫描系统、终端桌面安全防护系统和安全审计系统。内容包括：a

6、. 故障总数b. 主要故障描述c. 处理结果3.3变更管理总部对网络与信息安全防护产品的配置位置和统配策略做了统一部署。为了保证安全防护体系的完整性和可控性，需要对网络信息安全防护体系中配置的安全产品进行变更管理。（1）总部统一配置的安全产品配置位置变更时必须经总部批准；（2）各级x单位单位负责本单位安全策略的制定，但总部统配安全策略的变更必须报总部批准。（3）对批准实施的变更情况存档并记入本单位运行管理报告中的变更情况说明，包括： 变更的安全设备名称、型号 变更原因 变更后的设备配置拓扑 变更后的设备配置策略3.4安全管理3.4.1例行安全管理安全管理员必须每天分析安全产品的系统日志和安全日

7、志，在发现安全事件时，应及时报告。以下各节描述对各类安全设备的例行安全管理活动。3.4.1.1防火墙（1）防火墙运行状态监测安全管理员应每天监测上下行防火墙和横向防火墙运行状态。监测的内容：a.系统负载（CPU状态）b.系统资源（内存状态）c.防火墙端口状态d.网络连接数（2）防火墙安全事件分析安全管理员应每天检查防火墙的安全日志，分析安全事件。安全事件分析内容：a. 攻击事件描述b. 攻击时间c. 攻击类型d. 攻击源IP和受攻击主机IPe. 阻断IP地址及相关端口（3）防火墙安全事件月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的防火墙安全事件统计月表。防火墙安全事件统计月表根

8、据防火墙日志分析结果填写。安全事件统计内容：a.各种攻击类型数量及百分比统计b.TOP 10攻击源IP与受攻击主机IP统计（4）防火墙阻断事件统计安全管理员应按附件二要求如实填写本单位运行管理报告中防火墙阻断事件报告统计表。防火墙阻断事件报告统计表根据安全审计系统中相应的防火墙日志分析结果填写。阻断事件统计内容：a. 阻断事件总数。b. TOP 10阻断IP地址。c.TOP 10 阻断端口。3.4.1.2入侵检测系统（1）安全事件分析安全管理员应每天分析入侵检测系统记录的安全事件。安全事件分析内容：a. 攻击事件描述b. 攻击时间c. 攻击类型d. 攻击源IP和受攻击主机IP（2）入侵检测系统

9、安全事件月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的入侵检测系统安全事件统计月表。入侵检测系统安全事件统计月表根据入侵检测日志分析结果填写。安全事件统计内容：a. TOP 10安全事件数量及百分比统计b.TOP 10攻击源IP与受攻击主机IP统计3.4.1.3 防病毒系统（1）防病毒系统运行管理监测安全管理员应进行防病毒系统运行管理监测。监测内容：a.防病毒软件升级信息b.周病毒审计c.周主机变化记录d.周策略维护（2）病毒事件周分析安全管理员应每周监测病毒事件监测内容：a.病毒总量b.多发病毒统计c.多发病毒主机（3）病毒事件月统计安全管理员应按附件二要求如实填写本单位运行管

10、理报告中的病毒事件报告月表。病毒事件报告月表根据防病毒系统日志分析结果填写。安全事件统计内容：a. 病毒总量b. 多发病毒统计c. 多发病毒主机3.4.1.4漏洞扫描系统（1）漏洞扫描系统管理监控安全管理员要严格管理好漏洞扫描系统，未经领导批准，不得擅自使用。在使用漏洞扫描系统前应填写漏洞扫描系统使用申请（见附件一），获得领导批准后方能使用。申请内容：漏洞扫描系统的扫描地址范围。安全管理员在日常维护日志中记录使用漏洞扫描系统的情况。对发现的重要业务服务器的安全漏洞，必须在报告总部后，根据总部组织的专家咨询意见，获得领导批准后才能打补丁。（2）漏洞管理月统计安全管理员应按附件二要求如实填写本单位

11、运行管理报告中的漏洞管理月报告。漏洞管理报告根据漏洞扫描系统扫描数据分析与处理结果填写。漏洞管理内容：a.主要应用系统的相关信息及漏洞分布情况b.根据漏洞进行配置调整与补丁安装情况3.4.1.5终端桌面安全防护系统（1）安全事件分析安全管理员应每天分析终端桌面安全防护系统的安全事件。安全事件分析内容：a. 高危险级别事件名称。b. 高危险级别事件发生时间。c. 高危险级别事件详细内容和发生原因。d. 发生高危险级别事件的主机信息。（2）终端桌面安全防护系统月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的桌面安全防护系统事件月报告。桌面安全防护系统事件月报告根据桌面安全防护系统的相应

12、查询功能和安全审计系统中桌面安全防护系统的相关日志分析结果填写。终端桌面安全防护系统管理内容：a.资产信息统计b. 安全事件总数，高危险级别事件数量，中危险级别事件数量。c.TOP 10 高危险级别事件。d.TOP 10 高危险级别IP地址.3.4.1.6安全审计系统（1）安全事件分析安全管理员应每天分析安全审计系统收集和处理的安全事件日志信息。安全事件分析内容：a. Windows主机产生的高危险级别事件信息。b.Windows主机产生的高危险级别事件产生的时间。c.Windows主机产生的高危险级别事件所属主机信息。d. UNIX主机产生的高危险级别事件信息。e.UNIX主机产生的高危险级

13、别事件产生的时间。f.UNIX主机产生的高危险级别事件所属主机信息。g. 网络设备产生的高危险级别事件信息。h.网络设备产生的高危险级别事件产生的时间。i.网络设备产生的高危险级别事件所属主机信息。（2）安全审计系统月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的安全审计管理月报告。共包括如下四个报告：安全审计系统审计源及日志统计、Windows主机事件报告统计、Unix主机事件报告统计、网络设备事件报告统计。安全审计管理月报告根据安全审计系统收集的日志结果填写。安全审计管理内容：1、安全审计系统审计源及日志统计a.日志源日志源数量统计b.日志分级数量统计2、Windows主机事件

14、报告统计a. 产生事件总数，高危险级别数量。b. TOP 10高危险级别事件产生数量的IP地址3、Unix主机事件报告统计a. 产生事件总数，高危险级别数量。b. TOP 10高危险级别事件产生数量的IP地址4、网络设备事件报告统计a. 产生事件总数，高危险级别数量。b. TOP 10高危险级别事件产生数量的IP地址3.4.2应急安全管理在发现安全系统出现x单位系统重大网络与信息安全事件报告制度中定义的重大安全事件时，按文件规定的流程进行处理和上报，如果与相应的安全产品关联，应同时记录相关情况。附 件附件一：漏洞扫描申请报告漏洞扫描系统使用申请单位名称申请人审批人申请时间审批时间扫描地址范围附

15、件二：运行管理报告x单位系统网络信息安全防护体系 单位运行管理报告运 行 管 理 报 告单位名称 填制人 一、安全产品故障统计月表安全产品故障统计表 产品名称故障总数（台/次）主要故障描述处理结果防火墙入侵检测系统防病毒系统漏洞扫描系统终端桌面安全防护系统安全审计系统二、安全事件与状态统计分析1防火墙安全事件统计月表防火墙安全事件统计表单位名称填表人审批人填表时间审批时间攻击类型数量百分比说明攻击TOP 10攻击源IPTOP 10攻击目标IP12345678910防火墙阻断事件报告统计表单位名称填表人审批人填表时间审批时间阻断事件报告内容阻断总量报告阻断事件总量阻断IP地址排行报告阻断IP排行

16、IP地址阻断次数备注TOP1 TOP2 TOP3 TOP4 TOP5 TOP6 TOP7 TOP8 TOP9 TOP10 阻断端口排行报告阻断端口排行阻断端口号阻断数量备注TOP1 TOP2 TOP3 TOP4 TOP5 TOP6 TOP7 TOP8 TOP9 TOP10 2入侵检测系统安全事件统计月表入侵检测系统安全事件统计表单位名称填表人审批人填表时间审批时间TOP 10安全事件名称数量百分比说明12345678910TOP 10攻击源IPTOP 10攻击目标IP123456789103病毒事件报告统计月表病毒事件报告统计表单位名称填表人审批人填表时间审批时间病毒事件报告内容月病毒总量报告

17、月病毒总量多发病毒统计报告病毒名称数量备注TOP1病毒TOP2病毒TOP3病毒TOP4病毒TOP5病毒TOP6病毒TOP7病毒TOP8病毒TOP9病毒TOP10病毒多发病毒主机报告主机IP地址TOP1地址TOP2地址TOP3地址TOP4地址TOP5地址TOP6地址TOP7地址TOP8地址TOP9地址TOP10地址4漏洞管理月统计表漏洞管理统计表单位名称申请人审批人申请时间审批时间服务器/主机类别内容处理情况网上申报业务（1）主机信息主机名：主机IP地址：操作系统：（2）用户信息系统用户个数：（3）服务信息端口信息数：（4）漏洞信息系统漏洞总数、风险等级高等级的漏洞比例 银联网业务 银联网数据库

18、协查/稽核数据库协查应用漏洞信息系统漏洞总数、风险等级高等级的漏洞比例稽核应用查询机数据库应用MQ服务器公文处理系统(OA)漏洞信息系统漏洞总数、风险等级高等级的漏洞比例办公自动化文件服务办公自动化应用服务5终端桌面安全防护系统统计月表桌面安全防护系统事件报告统计表单位名称填表人审批人填表时间审批时间系统设备设备总数应注册计算机已注册计算机注册率事件报告内容事件总量高危险数量中危险数量高危险级别事件排行事件名称数量备注TOP1 TOP2 TOP3 TOP4 TOP5 TOP6 TOP7 TOP8 TOP9 TOP10 高危险级别主机报告主机IP地址备注TOP1地址TOP2地址TOP3地址TOP

19、4地址TOP5地址TOP6地址TOP7地址TOP8地址TOP9地址TOP10地址6安全审计系统统计月表安全审计系统审计源及日志统计报告单位名称填表人审批人填表时间审批时间报警信息内容数量备注审计源数量操作系统（Windows、Linux、UNIX）数据库网络产品（交换机、路由器）安全产品（IDS、防火墙、防病毒、桌面防护系统）合计：报警事件非常危险事件比较危险事件一般危险事件低危险事件 合计：Windows主机事件报告统计单位名称填表人审批人填表时间审批时间事件报告内容事件总数 高危险事件数量高危险事件所占比例高危险级别事件IP地址排行IP地址数量备注TOP1 TOP2 TOP3 TOP4 T

20、OP5 TOP6 TOP7 TOP8 TOP9 TOP10 UNIX主机事件报告统计单位名称填表人审批人填表时间审批时间事件报告内容事件总数 高危险事件数量高危险事件所占比例高危险级别事件IP地址排行IP地址数量备注TOP1 TOP2 TOP3 TOP4 TOP5 TOP6 TOP7 TOP8 TOP9 TOP10 网络设备事件报告统计表单位名称填表人审批人填表时间审批时间事件报告内容事件总数 高危险事件数量高危险事件所占比例高危险级别事件IP地址排行IP地址数量备注TOP1 TOP2 TOP3 TOP4 TOP5 TOP6 TOP7 TOP8 TOP9 TOP10 7本单位安全系统风险分析与问题解决三、变更情况1、变更的安全设备名称2、变更原因3、变更后的设备配置拓扑4、变更后的设备配置策略四、需要反映的其他问题