信息安全防护体系运行管理办法.docx

信息安全防护体系运行管理办法.docx

《信息安全防护体系运行管理办法.docx》由会员分享，可在线阅读，更多相关《信息安全防护体系运行管理办法.docx（22页珍藏版）》请在冰点文库上搜索。

信息安全防护体系运行管理办法

信息安全防护体系运行管理办法

运行治理方法

（初稿-参考资料）

二○○九年二月

第一章总则

1.1目的

按照《x单位系统网络与信息安全总体方案》和《x单位系统网络与信息安全治理岗位及其职责》，为进一步规范x单位系统网络信息安全防护体系配置的安全产品的运行治理工作，提升x单位系统信息安全治理水平，保证安全产品的有效性，特制定本方法。

1.2适用范畴

《运行治理方法》适用于x单位总部、各省级局和地市级局对x单位系统网络信息安全防护体系统一部署的防火墙、入侵检测系统、防病毒系统和漏洞扫描系统、桌面安全防护系统、安全审计系统等安全产品的运行治理。

x单位总部、各省级局和地市级局对所配置的其它同类安全产品的运行治理参照本方法执行。

1.3治理职责

x单位总部负责总部网络中部署的安全产品的运行治理工作；并负责汇总各省级局上报的安全产品运行治理报告；分析安全风险和存在的安全隐患，形成报表，监督指导各省级局解决发觉的安全咨询题。

各省级局负责本单位网络中部署的安全产品的运行治理工作；负责汇总各地市级局上报的安全产品运行治理报告，形成本省范畴内的安全产品运行治理报告，当月报告在下月的10日前上报x单位总部；分析所辖区域内的安全风险和存在的安全隐患，监督指导下一级局解决发觉的安全咨询题。

各省级局负责本单位网络中部署的安全产品的运行治理工作；形成安全产品运行治理报告，当月报告在下月的10日前上报x单位总部；分析安全风险和存在的安全隐患，解决发觉的安全咨询题。

各地市级局负责本单位网络中部署的安全产品的运行治理工作；形成安全产品运行治理报告，当月报告在下月的5日前上报各省级局；分析所属网络中的安全风险和存在的安全隐患，解决发觉的安全咨询题。

第二章安全治理员职责

各级x单位机关必须按照《x单位系统网络与信息安全治理岗位及其职责》的规定，设置安全治理员岗位和具体的执行角色，负责安全产品的运行治理，按照各单位的具体情形，安全治理员岗位能够是安全治理员角色和安全审计员角色的组合，也可设置多个安全治理员岗位。

安全治理员在各x单位机关安全治理机构的领导下工作，负责治理x单位系统网络信息安全防护体系部署的安全产品，要紧职责是：

（1）按照业务需求和网络安全威逼爱护安全产品的安全策略，在必须修改策略时，经领导和上级主管部门批准后实施；

（2）负责安全产品的日常爱护治理，认真记录爱护日志；

（3）解决安全产品运行中显现的技术咨询题，及时排除故障；

（4）定期分析安全产品的系统日志和安全日志，检查设备工作状况，分析是否存在安全风险；

（5）发觉重大安全咨询题或事件时，及时向领导报告，并按照管急预案进行应急处理；

（6）按照安全产品运行治理报告（见附件二）的内容要求，提交安全产品的运行治理报告。

第三章安全产品的治理

3.1日常爱护治理

（1）安全治理员应每天进行安全设备巡检；

（2）安全治理员必须对安全产品的策略进行备份爱护，策略发生变更时，必须做好变更记录并进行备份更新；

（3）定期备份与爱护安全产品的系统日志和安全日志；

（4）在总部公布安全产品升级通知后，及时进行产品升级；

（5）安全产品的运行爱护活动记入安全产品的爱护工作日志。

3.2故障治理

安全治理员应每天在日常爱护日志中，记录安全产品的运行状况或使用情形。

在产品显现故障时，应及时与厂商联系解决咨询题，并记录故障现象与处理结果。

安全治理员应按附件二要求如实填写本单位《运行治理报告》中的《安全产品故障统计月表》。

《安全产品故障统计月表》按照日常爱护记录中安全产品的故障情形填写。

产品类型包括：

防火墙、入侵检测系统、防病毒系统、漏洞扫描系统、终端桌面安全防护系统和安全审计系统。

内容包括：

故障总数

要紧故障描述

处理结果

3.3变更治理

总部对网络与信息安全防护产品的配置位置和统配策略做了统一部署。

为了保证安全防护体系的完整性和可控性，需要对网络信息安全防护体系中配置的安全产品进行变更治理。

（1）总部统一配置的安全产品配置位置变更时必须经总部批准；

（2）各级x单位单位负责本单位安全策略的制定，但总部统配安全策略的变更必须报总部批准。

（3）对批准实施的变更情形存档并记入本单位《运行治理报告》中的变更情形讲明，包括：

变更的安全设备名称、型号

变更缘故

变更后的设备配置拓扑

变更后的设备配置策略

3.4安全治理

3.4.1例行安全治理

安全治理员必须每天分析安全产品的系统日志和安全日志，在发觉安全事件时，应及时报告。

以下各节描述对各类安全设备的例行安全治理活动。

3.4.1.1防火墙

（1）防火墙运行状态监测

安全治理员应每天监测上下行防火墙和横向防火墙运行状态。

监测的内容：

a.系统负载（CPU状态）

b.系统资源（内存状态）

c.防火墙端口状态

d.网络连接数

（2）防火墙安全事件分析

安全治理员应每天检查防火墙的安全日志，分析安全事件。

安全事件分析内容：

a.攻击事件描述

b.攻击时刻

c.攻击类型

d.攻击源IP和受攻击主机IP

e.阻断IP地址及有关端口

（3）防火墙安全事件月统计

安全治理员应按附件二要求如实填写本单位《运行治理报告》中的《防火墙安全事件统计月表》。

《防火墙安全事件统计月表》按照防火墙日志分析结果填写。

安全事件统计内容：

a.各种攻击类型数量及百分比统计

b.TOP10攻击源IP与受攻击主机IP统计

（4）防火墙阻断事件统计

安全治理员应按附件二要求如实填写本单位《运行治理报告》中《防火墙阻断事件报告统计表》。

《防火墙阻断事件报告统计表》按照安全审计系统中相应的防火墙日志分析结果填写。

阻断事件统计内容：

a.阻断事件总数。

b.TOP10阻断IP地址。

c.TOP10阻断端口。

3.4.1.2入侵检测系统

（1）安全事件分析

安全治理员应每天分析入侵检测系统记录的安全事件。

安全事件分析内容：

a.攻击事件描述

b.攻击时刻

c.攻击类型

d.攻击源IP和受攻击主机IP

（2）入侵检测系统安全事件月统计

安全治理员应按附件二要求如实填写本单位《运行治理报告》中的《入侵检测系统安全事件统计月表》。

《入侵检测系统安全事件统计月表》按照入侵检测日志分析结果填写。

安全事件统计内容：

a.TOP10安全事件数量及百分比统计

b.TOP10攻击源IP与受攻击主机IP统计

3.4.1.3防病毒系统

（1）防病毒系统运行治理监测

安全治理员应进行防病毒系统运行治理监测。

监测内容：

a.防病毒软件升级信息

b.周病毒审计

c.周主机变化记录

d.周策略爱护

（2）病毒事件周分析

安全治理员应每周监测病毒事件

监测内容：

a.病毒总量

b.多发病毒统计

c.多发病毒主机

（3）病毒事件月统计

安全治理员应按附件二要求如实填写本单位《运行治理报告》中的《病毒事件报告月表》。

《病毒事件报告月表》按照防病毒系统日志分析结果填写。

安全事件统计内容：

病毒总量

多发病毒统计

多发病毒主机

3.4.1.4漏洞扫描系统

（1）漏洞扫描系统治理监控

安全治理员要严格治理好漏洞扫描系统，未经领导批准，不得擅自使用。

在使用漏洞扫描系统前应填写《漏洞扫描系统使用申请》（见附件一），获得领导批准后方能使用。

申请内容：

漏洞扫描系统的扫描地址范畴。

安全治理员在日常爱护日志中记录使用漏洞扫描系统的情形。

对发觉的重要业务服务器的安全漏洞，必须在报告总部后，按照总部组织的专家咨询意见，获得领导批准后才能打补丁。

（2）漏洞治理月统计

安全治理员应按附件二要求如实填写本单位《运行治理报告》中的《漏洞治理月报告》。

《漏洞治理报告》按照漏洞扫描系统扫描数据分析与处理结果填写。

漏洞治理内容：

a.要紧应用系统的有关信息及漏洞分布情形

b.按照漏洞进行配置调整与补丁安装情形

3.4.1.5终端桌面安全防护系统

（1）安全事件分析

安全治理员应每天分析终端桌面安全防护系统的安全事件。

安全事件分析内容：

a.高危险级不事件名称。

b.高危险级不事件发生时刻。

c.高危险级不事件详细内容和发生缘故。

d.发生高危险级不事件的主机信息。

（2）终端桌面安全防护系统月统计

安全治理员应按附件二要求如实填写本单位《运行治理报告》中的《桌面安全防护系统事件月报告》。

《桌面安全防护系统事件月报告》按照桌面安全防护系统的相应查询功能和安全审计系统中桌面安全防护系统的有关日志分析结果填写。

终端桌面安全防护系统治理内容：

a.资产信息统计

b.安全事件总数，高危险级不事件数量，中危险级不事件数量。

c.TOP10高危险级不事件。

d.TOP10高危险级不IP地址.

3.4.1.6安全审计系统

（1）安全事件分析

安全治理员应每天分析安全审计系统收集和处理的安全事件日志信息。

安全事件分析内容：

a.Windows主机产生的高危险级不事件信息。

b.Windows主机产生的高危险级不事件产生的时刻。

c.Windows主机产生的高危险级不事件所属主机信息。

d.UNIX主机产生的高危险级不事件信息。

e.UNIX主机产生的高危险级不事件产生的时刻。

f.UNIX主机产生的高危险级不事件所属主机信息。

g.网络设备产生的高危险级不事件信息。

h.网络设备产生的高危险级不事件产生的时刻。

i.网络设备产生的高危险级不事件所属主机信息。

（2）安全审计系统月统计

安全治理员应按附件二要求如实填写本单位《运行治理报告》中的《安全审计治理月报告》。

共包括如下四个报告：

《安全审计系统审计源及日志统计》、《Windows主机事件报告统计》、《Unix主机事件报告统计》、《网络设备事件报告统计》。

《安全审计治理月报告》按照安全审计系统收集的日志结果填写。

安全审计治理内容：

1、安全审计系统审计源及日志统计

a.日志源日志源数量统计

b.日志分级数量统计

2、Windows主机事件报告统计

a.产生事件总数，高危险级不数量。

b.TOP10高危险级不事件产生数量的IP地址

3、Unix主机事件报告统计

a.产生事件总数，高危险级不数量。

b.TOP10高危险级不事件产生数量的IP地址

4、网络设备事件报告统计

a.产生事件总数，高危险级不数量。

b.TOP10高危险级不事件产生数量的IP地址

3.4.2应急安全治理

在发觉安全系统显现《x单位系统重大网络与信息安全事件报告制度》中定义的重大安全事件时，按文件规定的流程进行处理和上报，如果与相应的安全产品关联，应同时记录有关情形。

附件

附件一：

漏洞扫描申请报告

漏洞扫描系统使用申请

单位名称

申请人

审批人

申请时刻

审批时刻

扫描地址范畴

附件二：

运行治理报告

x单位系统网络信息安全防护体系

单位

运行治理报告

运行管理报告

单位名称填制人

一、安全产品故障统计月表

安全产品故障统计表

产品名称

故障总数（台/次）

要紧故障描述

处理结果

防火墙

入侵检测系统

防病毒系统

漏洞扫描系统

终端桌面安全防护系统

安全审计系统

二、安全事件与状态统计分析

1．防火墙安全事件统计月表

防火墙安全事件统计表

单位名称

填表人

审批人

填表时刻

审批时刻

攻击类型

数量

百分比

讲明

攻击

TOP10攻击源IP

TOP10攻击目标IP

1

2

3

4

5

6

7

8

9

10

防火墙阻断事件报告统计表

单位名称

填表人

审批人

填表时刻

审批时刻

阻断事件报告内容

阻断总量报告

阻断事件总量

阻断IP地址排行报告

阻断IP排行

IP地址

阻断次数

备注

TOP1

TOP2

TOP3

TOP4

TOP5

TOP6

TOP7

TOP8

TOP9

TOP10

阻断端口排行报告

阻断端口排行

阻断端口号

阻断数量

备注

TOP1

TOP2

TOP3

TOP4

TOP5

TOP6

TOP7

TOP8

TOP9

TOP10

2．入侵检测系统安全事件统计月表

入侵检测系统安全事件统计表

单位名称

填表人

审批人

填表时刻

审批时刻

TOP10安全事件名称

数量

百分比

讲明

1

2

3

4

5

6

7

8

9

10

TOP10攻击源IP

TOP10攻击目标IP

1

2

3

4

5

6

7

8

9

10

3．病毒事件报告统计月表

病毒事件报告统计表

单位名称

填表人

审批人

填表时刻

审批时刻

病毒事件报告内容

月病毒总量报告

月病毒总量

多发病毒统计报告

病毒名称

数量

备注

TOP1病毒

TOP2病毒

TOP3病毒

TOP4病毒

TOP5病毒

TOP6病毒

TOP7病毒

TOP8病毒

TOP9病毒

TOP10病毒

多发病毒主机

报告

主机IP地址

TOP1地址

TOP2地址

TOP3地址

TOP4地址

TOP5地址

TOP6地址

TOP7地址

TOP8地址

TOP9地址

TOP10地址

4．漏洞治理月统计表

漏洞治理统计表

单位名称

申请人

审批人

申请时刻

审批时刻

服务器/主机类不

内容

处理情形

网上申报业务

（1）主机信息

主机名：

主机IP地址：

操作系统：

（2）用户信息

系统用户个数：

（3）服务信息

端口信息数：

（4）漏洞信息

系统漏洞总数、风险等级

高等级的漏洞比例

银联网业务

银联网数据库

协查/稽核数据库

协查应用

漏洞信息

系统漏洞总数、风险等级

高等级的漏洞比例

稽核应用

查询机

数据库

应用

MQ服务器

公文处理系统（OA）

漏洞信息

系统漏洞总数、风险等级

高等级的漏洞比例

办公自动化文件服务

办公自动化应用服务

5．终端桌面安全防护系统统计月表

桌面安全防护系统事件报告统计表

单位名称

填表人

审批人

填表时刻

审批时刻

系统设备

设备总数

应注册运算机

已注册运算机

注册率

事件报告内容

事件总量

高危险数量

中危险数量

高危险级不事件排行

事件名称

数量

备注

TOP1

TOP2

TOP3

TOP4

TOP5

TOP6

TOP7

TOP8

TOP9

TOP10

高危险级不主机

报告

主机IP地址

备注

TOP1地址

TOP2地址

TOP3地址

TOP4地址

TOP5地址

TOP6地址

TOP7地址

TOP8地址

TOP9地址

TOP10地址

6．安全审计系统统计月表

安全审计系统审计源及日志统计报告

单位名称

填表人

审批人

填表时刻

审批时刻

报警信息内容

数量

备注

审计源数量

操作系统（Windows、Linux、UNIX）

数据库

网络产品（交换机、路由器）

安全产品（IDS、防火墙、防病毒、桌面防护系统）

合计：

报警事件

专门危险事件

比较危险事件

一样危险事件

低危险事件

合计：

Windows主机事件报告统计

单位名称

填表人

审批人

填表时刻

审批时刻

事件报告内容

事件总数

高危险事件数量

高危险事件所占比例

高危险级不事件IP地址排行

IP地址

数量

备注

TOP1

TOP2

TOP3

TOP4

TOP5

TOP6

TOP7

TOP8

TOP9

TOP10

UNIX主机事件报告统计

单位名称

填表人

审批人

填表时刻

审批时刻

事件报告内容

事件总数

高危险事件数量

高危险事件所占比例

高危险级不事件IP地址排行

IP地址

数量

备注

TOP1

TOP2

TOP3

TOP4

TOP5

TOP6

TOP7

TOP8

TOP9

TOP10

网络设备事件报告统计表

单位名称

填表人

审批人

填表时刻

审批时刻

事件报告内容

事件总数

高危险事件数量

高危险事件所占比例

高危险级不事件IP地址排行

IP地址

数量

备注

TOP1

TOP2

TOP3

TOP4

TOP5

TOP6

TOP7

TOP8

TOP9

TOP10

7．本单位安全系统风险分析与咨询题解决

三、变更情形

1、变更的安全设备名称

2、变更缘故

3、变更后的设备配置拓扑

4、变更后的设备配置策略

四、需要反映的其他咨询题