第一章 總則
1.1目的
根據(jù)《x單位系統(tǒng)網(wǎng)絡(luò)與信息安全總體方案》和《x單位系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)》���,為進(jìn)一步規(guī)范x單位系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)體系配置的安全產(chǎn)品的運(yùn)行管理工作���,提高x單位系統(tǒng)信息安全管理水平,保證安全產(chǎn)品的有效性�����,特制定本辦法�。
1.2 適用范圍
《運(yùn)行管理辦法》適用于x單位總部、各省級(jí)局和地市級(jí)局對(duì)x單位系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)體系統(tǒng)一部署的防火墻�����、入侵檢測(cè)系統(tǒng)�、防病毒系統(tǒng)和漏洞掃描系統(tǒng)、桌面安全防護(hù)系統(tǒng)����、安全審計(jì)系統(tǒng)等安全產(chǎn)品的運(yùn)行管理。
x單位總部�����、各省級(jí)局和地市級(jí)局對(duì)所配置的其它同類(lèi)安全產(chǎn)品的運(yùn)行管理參照本辦法執(zhí)行。
1.3管理職責(zé)
x單位總部負(fù)責(zé)總部網(wǎng)絡(luò)中部署的安全產(chǎn)品的運(yùn)行管理工作���;并負(fù)責(zé)匯總各省級(jí)局上報(bào)的安全產(chǎn)品運(yùn)行管理報(bào)告��;分析安全風(fēng)險(xiǎn)和存在的安全隱患�,形成報(bào)表�,監(jiān)督指導(dǎo)各省級(jí)局解決發(fā)現(xiàn)的安全問(wèn)題。
各省級(jí)局負(fù)責(zé)本單位網(wǎng)絡(luò)中部署的安全產(chǎn)品的運(yùn)行管理工作��;負(fù)責(zé)匯總各地市級(jí)局上報(bào)的安全產(chǎn)品運(yùn)行管理報(bào)告�,形成本省范圍內(nèi)的安全產(chǎn)品運(yùn)行管理報(bào)告,當(dāng)月報(bào)告在下月的10日前上報(bào)x單位總部����;分析所轄區(qū)域內(nèi)的安全風(fēng)險(xiǎn)和存在的安全隱患,監(jiān)督指導(dǎo)下一級(jí)局解決發(fā)現(xiàn)的安全問(wèn)題����。
各省級(jí)局負(fù)責(zé)本單位網(wǎng)絡(luò)中部署的安全產(chǎn)品的運(yùn)行管理工作;形成安全產(chǎn)品運(yùn)行管理報(bào)告�����,當(dāng)月報(bào)告在下月的10日前上報(bào)x單位總部;分析安全風(fēng)險(xiǎn)和存在的安全隱患�,解決發(fā)現(xiàn)的安全問(wèn)題。
各地市級(jí)局負(fù)責(zé)本單位網(wǎng)絡(luò)中部署的安全產(chǎn)品的運(yùn)行管理工作��;形成安全產(chǎn)品運(yùn)行管理報(bào)告�,當(dāng)月報(bào)告在下月的5日前上報(bào)各省級(jí)局;分析所屬網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)和存在的安全隱患��,解決發(fā)現(xiàn)的安全問(wèn)題����。
第二章 安全管理員職責(zé)
各級(jí)x單位機(jī)關(guān)必須按照《x單位系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)》的規(guī)定����,設(shè)置安全管理員崗位和具體的執(zhí)行角色,負(fù)責(zé)安全產(chǎn)品的運(yùn)行管理��,根據(jù)各單位的具體情況�,安全管理員崗位可以是安全管理員角色和安全審計(jì)員角色的組合,也可設(shè)置多個(gè)安全管理員崗位��。
安全管理員在各x單位機(jī)關(guān)安全管理機(jī)構(gòu)的領(lǐng)導(dǎo)下工作�����,負(fù)責(zé)管理x單位系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)體系部署的安全產(chǎn)品,主要職責(zé)是:
(1)根據(jù)業(yè)務(wù)需求和網(wǎng)絡(luò)安全威脅維護(hù)安全產(chǎn)品的安全策略���,在必須修改策略時(shí)��,經(jīng)領(lǐng)導(dǎo)和上級(jí)主管部門(mén)批準(zhǔn)后實(shí)施����;
(2)負(fù)責(zé)安全產(chǎn)品的日常維護(hù)管理���,認(rèn)真記錄維護(hù)日志���;
(3)解決安全產(chǎn)品運(yùn)行中出現(xiàn)的技術(shù)問(wèn)題,及時(shí)排除故障��;
(4)定期分析安全產(chǎn)品的系統(tǒng)日志和安全日志����,檢查設(shè)備工作狀況,分析是否存在安全風(fēng)險(xiǎn)��;
(5)發(fā)現(xiàn)重大安全問(wèn)題或事件時(shí)���,及時(shí)向領(lǐng)導(dǎo)報(bào)告����,并按照應(yīng)急預(yù)案進(jìn)行應(yīng)急處理;
(6)按照安全產(chǎn)品運(yùn)行管理報(bào)告(見(jiàn)附件二)的內(nèi)容要求���,提交安全產(chǎn)品的運(yùn)行管理報(bào)告���。
第三章 安全產(chǎn)品的管理
3.1日常維護(hù)管理
(1)安全管理員應(yīng)每天進(jìn)行安全設(shè)備巡檢;
(2)安全管理員必須對(duì)安全產(chǎn)品的策略進(jìn)行備份保護(hù)�,策略發(fā)生變更時(shí),必須做好變更記錄并進(jìn)行備份更新���;
(3)定期備份與維護(hù)安全產(chǎn)品的系統(tǒng)日志和安全日志�����;
(4)在總部發(fā)布安全產(chǎn)品升級(jí)通知后,及時(shí)進(jìn)行產(chǎn)品升級(jí)�;
(5)安全產(chǎn)品的運(yùn)行維護(hù)活動(dòng)記入安全產(chǎn)品的維護(hù)工作日志。
3.2故障管理
安全管理員應(yīng)每天在日常維護(hù)日志中�����,記錄安全產(chǎn)品的運(yùn)行狀況或使用情況���。在產(chǎn)品出現(xiàn)故障時(shí)���,應(yīng)及時(shí)與廠商聯(lián)系解決問(wèn)題��,并記錄故障現(xiàn)象與處理結(jié)果���。
安全管理員應(yīng)按附件二要求如實(shí)填寫(xiě)本單位《運(yùn)行管理報(bào)告》中的《安全產(chǎn)品故障統(tǒng)計(jì)月表》。
《安全產(chǎn)品故障統(tǒng)計(jì)月表》根據(jù)日常維護(hù)記錄中安全產(chǎn)品的故障情況填寫(xiě)��。
產(chǎn)品類(lèi)型包括:防火墻�、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)�����、漏洞掃描系統(tǒng)��、終端桌面安全防護(hù)系統(tǒng)和安全審計(jì)系統(tǒng)�。
內(nèi)容包括:
a.? 故障總數(shù)
b.? 主要故障描述
c.? 處理結(jié)果
3.3變更管理
總部對(duì)網(wǎng)絡(luò)與信息安全防護(hù)產(chǎn)品的配置位置和統(tǒng)配策略做了統(tǒng)一部署。為了保證安全防護(hù)體系的完整性和可控性�,需要對(duì)網(wǎng)絡(luò)信息安全防護(hù)體系中配置的安全產(chǎn)品進(jìn)行變更管理。
(1)總部統(tǒng)一配置的安全產(chǎn)品配置位置變更時(shí)必須經(jīng)總部批準(zhǔn)�����;
(2)各級(jí)x單位單位負(fù)責(zé)本單位安全策略的制定,但總部統(tǒng)配安全策略的變更必須報(bào)總部批準(zhǔn)�����。
(3)對(duì)批準(zhǔn)實(shí)施的變更情況存檔并記入本單位《運(yùn)行管理報(bào)告》中的變更情況說(shuō)明���,包括:
l? 變更的安全設(shè)備名稱(chēng)�����、型號(hào)
l? 變更原因
l? 變更后的設(shè)備配置拓?fù)?/p>
l? 變更后的設(shè)備配置策略
3.4安全管理
3.4.1例行安全管理
安全管理員必須每天分析安全產(chǎn)品的系統(tǒng)日志和安全日志��,在發(fā)現(xiàn)安全事件時(shí)�����,應(yīng)及時(shí)報(bào)告�����。
以下各節(jié)描述對(duì)各類(lèi)安全設(shè)備的例行安全管理活動(dòng)。
3.4.1.1防火墻
(1)防火墻運(yùn)行狀態(tài)監(jiān)測(cè)
安全管理員應(yīng)每天監(jiān)測(cè)上下行防火墻和橫向防火墻運(yùn)行狀態(tài)�。
監(jiān)測(cè)的內(nèi)容:
a.系統(tǒng)負(fù)載(CPU狀態(tài))
b.系統(tǒng)資源(內(nèi)存狀態(tài))
c.防火墻端口狀態(tài)
d.網(wǎng)絡(luò)連接數(shù)
(2)防火墻安全事件分析
安全管理員應(yīng)每天檢查防火墻的安全日志,分析安全事件����。
安全事件分析內(nèi)容:
a. 攻擊事件描述
b. 攻擊時(shí)間
c. 攻擊類(lèi)型
d. 攻擊源IP和受攻擊主機(jī)IP
e. 阻斷IP地址及相關(guān)端口
(3)防火墻安全事件月統(tǒng)計(jì)
安全管理員應(yīng)按附件二要求如實(shí)填寫(xiě)本單位《運(yùn)行管理報(bào)告》中的《防火墻安全事件統(tǒng)計(jì)月表》�����。
《防火墻安全事件統(tǒng)計(jì)月表》根據(jù)防火墻日志分析結(jié)果填寫(xiě)�����。
安全事件統(tǒng)計(jì)內(nèi)容:
a.各種攻擊類(lèi)型數(shù)量及百分比統(tǒng)計(jì)
b.TOP 10攻擊源IP與受攻擊主機(jī)IP統(tǒng)計(jì)
(4)防火墻阻斷事件統(tǒng)計(jì)
安全管理員應(yīng)按附件二要求如實(shí)填寫(xiě)本單位《運(yùn)行管理報(bào)告》中《防火墻阻斷事件報(bào)告統(tǒng)計(jì)表》��。
《防火墻阻斷事件報(bào)告統(tǒng)計(jì)表》根據(jù)安全審計(jì)系統(tǒng)中相應(yīng)的防火墻日志分析結(jié)果填寫(xiě)�����。
阻斷事件統(tǒng)計(jì)內(nèi)容:
a. 阻斷事件總數(shù)�。
b. TOP 10阻斷IP地址��。
c.TOP 10 阻斷端口���。
3.4.1.2入侵檢測(cè)系統(tǒng)
(1)安全事件分析
安全管理員應(yīng)每天分析入侵檢測(cè)系統(tǒng)記錄的安全事件��。
安全事件分析內(nèi)容:
a. 攻擊事件描述
b. 攻擊時(shí)間
c. 攻擊類(lèi)型
d. 攻擊源IP和受攻擊主機(jī)IP
(2)入侵檢測(cè)系統(tǒng)安全事件月統(tǒng)計(jì)
安全管理員應(yīng)按附件二要求如實(shí)填寫(xiě)本單位《運(yùn)行管理報(bào)告》中的《入侵檢測(cè)系統(tǒng)安全事件統(tǒng)計(jì)月表》���。
《入侵檢測(cè)系統(tǒng)安全事件統(tǒng)計(jì)月表》根據(jù)入侵檢測(cè)日志分析結(jié)果填寫(xiě)�。
安全事件統(tǒng)計(jì)內(nèi)容:
a. TOP 10安全事件數(shù)量及百分比統(tǒng)計(jì)
b.TOP 10攻擊源IP與受攻擊主機(jī)IP統(tǒng)計(jì)
3.4.1.3 防病毒系統(tǒng)
(1)防病毒系統(tǒng)運(yùn)行管理監(jiān)測(cè)
安全管理員應(yīng)進(jìn)行防病毒系統(tǒng)運(yùn)行管理監(jiān)測(cè)���。
監(jiān)測(cè)內(nèi)容:
a.防病毒軟件升級(jí)信息
b.周病毒審計(jì)
c.周主機(jī)變化記錄
d.周策略維護(hù)
(2)病毒事件周分析
安全管理員應(yīng)每周監(jiān)測(cè)病毒事件
監(jiān)測(cè)內(nèi)容:
a.病毒總量
b.多發(fā)病毒統(tǒng)計(jì)
c.多發(fā)病毒主機(jī)
(3)病毒事件月統(tǒng)計(jì)
安全管理員應(yīng)按附件二要求如實(shí)填寫(xiě)本單位《運(yùn)行管理報(bào)告》中的《病毒事件報(bào)告月表》��。
《病毒事件報(bào)告月表》根據(jù)防病毒系統(tǒng)日志分析結(jié)果填寫(xiě)�����。
安全事件統(tǒng)計(jì)內(nèi)容:
a.? 病毒總量
b.? 多發(fā)病毒統(tǒng)計(jì)
c.? 多發(fā)病毒主機(jī)
3.4.1.4漏洞掃描系統(tǒng)
(1)漏洞掃描系統(tǒng)管理監(jiān)控
安全管理員要嚴(yán)格管理好漏洞掃描系統(tǒng)��,未經(jīng)領(lǐng)導(dǎo)批準(zhǔn)����,不得擅自使用�。
在使用漏洞掃描系統(tǒng)前應(yīng)填寫(xiě)《漏洞掃描系統(tǒng)使用申請(qǐng)》(見(jiàn)附件一),獲得領(lǐng)導(dǎo)批準(zhǔn)后方能使用����。
申請(qǐng)內(nèi)容:漏洞掃描系統(tǒng)的掃描地址范圍。
安全管理員在日常維護(hù)日志中記錄使用漏洞掃描系統(tǒng)的情況��。
對(duì)發(fā)現(xiàn)的重要業(yè)務(wù)服務(wù)器的安全漏洞���,必須在報(bào)告總部后�����,根據(jù)總部組織的專(zhuān)家咨詢(xún)意見(jiàn)�����,獲得領(lǐng)導(dǎo)批準(zhǔn)后才能打補(bǔ)丁��。
(2)漏洞管理月統(tǒng)計(jì)
安全管理員應(yīng)按附件二要求如實(shí)填寫(xiě)本單位《運(yùn)行管理報(bào)告》中的《漏洞管理月報(bào)告》��。
《漏洞管理報(bào)告》根據(jù)漏洞掃描系統(tǒng)掃描數(shù)據(jù)分析與處理結(jié)果填寫(xiě)��。
漏洞管理內(nèi)容:
a.主要應(yīng)用系統(tǒng)的相關(guān)信息及漏洞分布情況
b.根據(jù)漏洞進(jìn)行配置調(diào)整與補(bǔ)丁安裝情況
3.4.1.5終端桌面安全防護(hù)系統(tǒng)
(1)安全事件分析
安全管理員應(yīng)每天分析終端桌面安全防護(hù)系統(tǒng)的安全事件��。
安全事件分析內(nèi)容:
a. 高危險(xiǎn)級(jí)別事件名稱(chēng)����。
b. 高危險(xiǎn)級(jí)別事件發(fā)生時(shí)間��。
c. 高危險(xiǎn)級(jí)別事件詳細(xì)內(nèi)容和發(fā)生原因��。
d. 發(fā)生高危險(xiǎn)級(jí)別事件的主機(jī)信息����。
(2)終端桌面安全防護(hù)系統(tǒng)月統(tǒng)計(jì)
安全管理員應(yīng)按附件二要求如實(shí)填寫(xiě)本單位《運(yùn)行管理報(bào)告》中的《桌面安全防護(hù)系統(tǒng)事件月報(bào)告》���。
《桌面安全防護(hù)系統(tǒng)事件月報(bào)告》根據(jù)桌面安全防護(hù)系統(tǒng)的相應(yīng)查詢(xún)功能和安全審計(jì)系統(tǒng)中桌面安全防護(hù)系統(tǒng)的相關(guān)日志分析結(jié)果填寫(xiě)。
終端桌面安全防護(hù)系統(tǒng)管理內(nèi)容:
a.資產(chǎn)信息統(tǒng)計(jì)
b. 安全事件總數(shù)���,高危險(xiǎn)級(jí)別事件數(shù)量����,中危險(xiǎn)級(jí)別事件數(shù)量�。
c.TOP 10 高危險(xiǎn)級(jí)別事件。
d.TOP 10 高危險(xiǎn)級(jí)別IP地址.
3.4.1.6安全審計(jì)系統(tǒng)
(1)安全事件分析
安全管理員應(yīng)每天分析安全審計(jì)系統(tǒng)收集和處理的安全事件日志信息�。
安全事件分析內(nèi)容:
a. Windows主機(jī)產(chǎn)生的高危險(xiǎn)級(jí)別事件信息。
b.Windows主機(jī)產(chǎn)生的高危險(xiǎn)級(jí)別事件產(chǎn)生的時(shí)間����。
c.Windows主機(jī)產(chǎn)生的高危險(xiǎn)級(jí)別事件所屬主機(jī)信息。
d. UNIX主機(jī)產(chǎn)生的高危險(xiǎn)級(jí)別事件信息����。
e.UNIX主機(jī)產(chǎn)生的高危險(xiǎn)級(jí)別事件產(chǎn)生的時(shí)間。
f.UNIX主機(jī)產(chǎn)生的高危險(xiǎn)級(jí)別事件所屬主機(jī)信息�����。
g. 網(wǎng)絡(luò)設(shè)備產(chǎn)生的高危險(xiǎn)級(jí)別事件信息。
h.網(wǎng)絡(luò)設(shè)備產(chǎn)生的高危險(xiǎn)級(jí)別事件產(chǎn)生的時(shí)間����。
i.網(wǎng)絡(luò)設(shè)備產(chǎn)生的高危險(xiǎn)級(jí)別事件所屬主機(jī)信息���。
(2)安全審計(jì)系統(tǒng)月統(tǒng)計(jì)
安全管理員應(yīng)按附件二要求如實(shí)填寫(xiě)本單位《運(yùn)行管理報(bào)告》中的《安全審計(jì)管理月報(bào)告》�。共包括如下四個(gè)報(bào)告:《安全審計(jì)系統(tǒng)審計(jì)源及日志統(tǒng)計(jì)》����、《Windows主機(jī)事件報(bào)告統(tǒng)計(jì)》、《Unix主機(jī)事件報(bào)告統(tǒng)計(jì)》����、《網(wǎng)絡(luò)設(shè)備事件報(bào)告統(tǒng)計(jì)》。
《安全審計(jì)管理月報(bào)告》根據(jù)安全審計(jì)系統(tǒng)收集的日志結(jié)果填寫(xiě)����。
安全審計(jì)管理內(nèi)容:
1、安全審計(jì)系統(tǒng)審計(jì)源及日志統(tǒng)計(jì)
a.日志源日志源數(shù)量統(tǒng)計(jì)
b.日志分級(jí)數(shù)量統(tǒng)計(jì)
2�、Windows主機(jī)事件報(bào)告統(tǒng)計(jì)
a. 產(chǎn)生事件總數(shù),高危險(xiǎn)級(jí)別數(shù)量���。
b. TOP 10高危險(xiǎn)級(jí)別事件產(chǎn)生數(shù)量的IP地址
3����、Unix主機(jī)事件報(bào)告統(tǒng)計(jì)
a. 產(chǎn)生事件總數(shù),高危險(xiǎn)級(jí)別數(shù)量�����。
b. TOP 10高危險(xiǎn)級(jí)別事件產(chǎn)生數(shù)量的IP地址
4��、網(wǎng)絡(luò)設(shè)備事件報(bào)告統(tǒng)計(jì)
a. 產(chǎn)生事件總數(shù)�,高危險(xiǎn)級(jí)別數(shù)量。
b. TOP 10高危險(xiǎn)級(jí)別事件產(chǎn)生數(shù)量的IP地址
3.4.2應(yīng)急安全管理
在發(fā)現(xiàn)安全系統(tǒng)出現(xiàn)《x單位系統(tǒng)重大網(wǎng)絡(luò)與信息安全事件報(bào)告制度》中定義的重大安全事件時(shí)��,按文件規(guī)定的流程進(jìn)行處理和上報(bào)���,如果與相應(yīng)的安全產(chǎn)品關(guān)聯(lián)����,應(yīng)同時(shí)記錄相關(guān)情況�。
