信息安全防护体系运行管理办法

1、*系统网络信息安全防护体系运行管理办法（初稿-参考资料）二OO九年二月目录第一章总则1.1 目的根据x单位系统网络与信息安全总体方案和x单位系统网络与 信息安全管理岗位及其职责，为进一步规范x单位系统网络信息安全防 护体系配置的安全产品的运行管理工作， 提高X单位系统信息安全管理水 平，保证安全产品的有效性，特制定本办法。1.2 适用范围运行管理办法适用于X单位总部、各省级局和地市级局对X单位 系统网络信息安全防护体系统一部署的防火墙、入侵检测系统、防病毒 系统和漏洞扫描系统、桌面安全防护系统、安全审计系统等安全产品的 运行管理。x 单位总部、各省级局和地市级局对所配置的其它同类安全产品的 运

2、行管理参照本办法执行。1.3 管理职责X单位总部负责总部网络中部署的安全产品的运行管理工作；并负责汇总各省级局上报的安全产品运行管理报告；分析安全风险和存在的安 全隐患，形成报表，监督指导各省级局解决发现的安全问题。各省级局负责本单位网络中部署的安全产品的运行管理工作；负责 汇总各地市级局上报的安全产品运行管理报告，形成本省范围内的安全 产品运行管理报告，当月报告在下月的 10日前上报x单位总部；分析所 辖区域内的安全风险和存在的安全隐患，监督指导下一级局解决发现的 安全问题。各省级局负责本单位网络中部署的安全产品的运行管理工作；形成安全产品运行管理报告，当月报告在下月的 10日前上报x单位总

3、部；分 析安全风险和存在的安全隐患，解决发现的安全问题。各地市级局负责本单位网络中部署的安全产品的运行管理工作；形 成安全产品运行管理报告， 当月报告在下月的 5日前上报各省级局； 分析 所属网络中的安全风险和存在的安全隐患，解决发现的安全问题。第二章安全管理员职责各级X单位机关必须按照X单位系统网络与信息安全管理岗位及其 职责的规定，设置安全管理员岗位和具体的执行角色，负责安全产品 的运行管理，根据各单位的具体情况，安全管理员岗位可以是安全管理 员角色和安全审计员角色的组合，也可设置多个安全管理员岗位。安全管理员在各X单位机关安全管理机构的领导下工作，负责管理 X 单位系统网络信息安全防护体

4、系部署的安全产品，主要职责是：（1 ）根据业务需求和网络安全威胁维护安全产品的安全策略， 在必 须修改策略时，经领导和上级主管部门批准后实施；（2）负责安全产品的日常维护管理，认真记录维护日志；（3）解决安全产品运行中出现的技术问题，及时排除故障；（4）定期分析安全产品的系统日志和安全日志， 检查设备工作状况，分析是否存在安全风险；（ 5）发现重大安全问题或事件时， 及时向领导报告， 并按照应急预 案进行应急处理；（6）按照安全产品运行管理报告（见附件二）的内容要求，提交安 全产品的运行管理报告。第三章安全产品的管理3.1 日常维护管理（1）安全管理员应每天进行安全设备巡检；（2）安全管理员必

5、须对安全产品的策略进行备份保护， 策略发生变更时， 必须做好变更记录并进行备份更新；（3）定期备份与维护安全产品的系统日志和安全日志；（4）在总部发布安全产品升级通知后，及时进行产品升级；（5）安全产品的运行维护活动记入安全产品的维护工作日志。3.2 故障管理安全管理员应每天在日常维护日志中，记录安全产品的运行状况或 使用情况。在产品出现故障时，应及时与厂商联系解决问题，并记录故 障现象与处理结果。安全管理员应按附件二要求如实填写本单位运行管理报告中的 安全产品故障统计月表。安全产品故障统计月表 根据日常维护记录中安全产品的故障情况 填写。产品类型包括： 防火墙、入侵检测系统、 防病毒系统、

6、漏洞扫描系统、 终端桌面安全防护系统和安全审计系统。内容包括：a. 故障总数b. 主要故障描述c. 处理结果3.3 变更管理总部对网络与信息安全防护产品的配置位置和统配策略做了统一部 署。为了保证安全防护体系的完整性和可控性，需要对网络信息安全防 护体系中配置的安全产品进行变更管理。（1）总部统一配置的安全产品配置位置变更时必须经总部批准； （ 2）各级 x 单位单位负责本单位安全策略的制定， 但总部统配安全策略 的变更必须报总部批准。（3）对批准实施的 变更情况存档并记入 本单位运行管理报告 中的变 更情况说明 ，包括：变更的安全设备名称、型号变更原因变更后的设备配置拓扑 变更后的设备配置策

7、略3.4 安全管理3.4.1 例行安全管理安全管理员必须每天分析安全产品的系统日志和安全日志，在发现 安全事件时，应及时报告。以下各节描述对各类安全设备的例行安全管理活动。3.4.1.1 防火墙（1）防火墙运行状态监测 安全管理员应每天监测上下行防火墙和横向防火墙运行状态。 监测的内容：a. 系统负载（CPU状态）b. 系统资源（内存状态）c. 防火墙端口状态d. 网络连接数（ 2 ）防火墙安全事件分析 安全管理员应每天检查防火墙的安全日志，分析安全事件。 安全事件分析内容：a .攻击事件描述b. 攻击时间c. 攻击类型d. 攻击源 IP 和受攻击主机 IPe.阻断IP地址及相关端口（3）防火

8、墙安全事件月统计安全管理员应按附件二要求如实填写本单位 运行管理报告中的防 火墙安全事件统计月表。防火墙安全事件统计月表根据防火墙日志分析结果填写。 安全事件统计内容：a. 各种攻击类型数量及百分比统计b. TOP10 攻击源 IP 与受攻击主机 IP 统计（4）防火墙阻断事件统计安全管理员应按附件二要求如实填写本单位运行管理报告中防 火墙阻断事件报告统计表。防火墙阻断事件报告统计表 根据安全审计系统中相应的防火墙日 志分析结果填写。阻断事件统计内容：a. 阻断事件总数。b. TOP10 阻断 IP 地址。c. TOP10 阻断端口。3.4.1.2 入侵检测系统（1）安全事件分析安全管理员应每

9、天分析入侵检测系统记录的安全事件。安全事件分析内容：a. 攻击事件描述b. 攻击时间c. 攻击类型d. 攻击源IP和受攻击主机IP（2）入侵检测系统安全事件月统计 安全管理员应按附件二要求如实填写本单位运行管理报告中的入侵检测系统安全事件统计月表。入侵检测系统安全事件统计月表 根据入侵检测日志分析结果填 写。安全事件统计内容：a. TOP10 安全事件数量及百分比统计b. TOPIO攻击源IP与受攻击主机IP统计3.4.1.3 防病毒系统（1 ）防病毒系统运行管理监测安全管理员应进行防病毒系统运行管理监测。监测内容：a. 防病毒软件升级信息b. 周病毒审计c. 周主机变化记录d. 周策略维护（

10、2）病毒事件周分析安全管理员应每周监测病毒事件监测内容：a. 病毒总量b. 多发病毒统计c. 多发病毒主机（3）病毒事件月统计 安全管理员应按附件二要求如实填写本单位运行管理报告中的病毒事件报告月表。 病毒事件报告月表根据防病毒系统日志分析结果填写。 安全事件统计内容：a. 病毒总量b. 多发病毒统计c. 多发病毒主机3.4.1.4 漏洞扫描系统（1）漏洞扫描系统管理监控 安全管理员要严格管理好漏洞扫描系统， 未经领导批准， 不得擅自使 用。在使用漏洞扫描系统前应填写 漏洞扫描系统使用申请（见附件一）， 获得领导批准后方能使用。申请内容：漏洞扫描系统的扫描地址范围。安全管理员在日常维护日志中记

11、录使用漏洞扫描系统的情况。对发现的重要业务服务器的安全漏洞， 必须在报告总部后， 根据总部 组织的专家咨询意见，获得领导批准后才能打补丁。（2）漏洞管理月统计 安全管理员应按附件二要求如实填写本单位运行管理报告中的漏洞管理月报告。漏洞管理报告根据漏洞扫描系统扫描数据分析与处理结果填 写。漏洞管理内容：a. 主要应用系统的相关信息及漏洞分布情况b. 根据漏洞进行配置调整与补丁安装情况3.4.1.5 终端桌面安全防护系统（1）安全事件分析 安全管理员应每天分析终端桌面安全防护系统的安全事件。安全事件分析内容：a.高危险级别事件名称。b .高危险级别事件发生时间。c. 高危险级别事件详细内容和发生原

12、因。d. 发生高危险级别事件的主机信息。（2）终端桌面安全防护系统月统计 安全管理员应按附件二要求如实填写本单位运行管理报告中的桌面安全防护系统事件月报告桌面安全防护系统事件月报告 根据桌面安全防护系统的相应查询功能和安全审计系统中桌面安全防护系统的相关日志分析结果填写。终端桌面安全防护系统管理内容：a. 资产信息统计b. 安全事件总数，高危险级别事件数量，中危险级别事件数量。c. TOP10 高危险级别事件。d.TOP10 高危险级别 IP 地址.3.4.1.6 安全审计系统（1 ）安全事件分析安全管理员应每天分析安全审计系统收集和处理的安全事件日志信息。安全事件分析内容：a. Window

13、s 主机产生的高危险级别事件信息。b. Windows 主机产生的高危险级别事件产生的时间。c. Windows 主机产生的高危险级别事件所属主机信息。d. UNIX 主机产生的高危险级别事件信息。e. UNIX 主机产生的高危险级别事件产生的时间。f. UNIX 主机产生的高危险级别事件所属主机信息。g. 网络设备产生的高危险级别事件信息。h. 网络设备产生的高危险级别事件产生的时间。i. 网络设备产生的高危险级别事件所属主机信息（2）安全审计系统月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的 安全审计管理月报告。共包括如下四个报告：安全审计系统审计 源及日志统计、 Windo

14、ws 主机事件报告统计、 Unix 主机事件 报告统计、网络设备事件报告统计。安全审计管理月报告根据安全审计系统收集的日志结果填写。 安全审计管理内容：1、安全审计系统审计源及日志统计a. 日志源日志源数量统计b. 日志分级数量统计2、Windows 主机事件报告统计a. 产生事件总数，高危险级别数量。b. TOP10 高危险级别事件产生数量的 IP 地址3、Unix 主机事件报告统计a. 产生事件总数，高危险级别数量。b. TOP10 高危险级别事件产生数量的 IP 地址4、网络设备事件报告统计a. 产生事件总数，高危险级别数量。b. TOP10 高危险级别事件产生数量的 IP 地址3.4.

15、2 应急安全管理在发现安全系统出现 x 单位系统重大网络与信息安全事件报告制度中定义的重大安全事件时，按文件规定的流程进行处理和上报，如 果与相应的安全产品关联，应同时记录相关情况附件附件一：漏洞扫描申请报告漏洞扫描系统使用申请单位名称申请人审批人申请时间审批时间扫描地址范围附件二：运行管理报告x 单位系统网络信息安全防护体系单位运行管理报告运行管理报告单位名称填制人、安全产品故障统计月表安全产品故障统计表产品名称故障总数（台/次）主要故障描述处理结果防火墙入侵检测系统防病毒系统漏洞扫描系统终端桌面安全防护系统安全审计系统二、安全事件与状态统计分析1防火墙安全事件统计月表防火墙安全事件统计表单

16、位名称填表人审批人填表时间审批时间攻击类型数量百分比说明攻击TOP10攻击源IPTOP10攻击目标IP12345678910防火墙阻断事件报告统计表单位名称填表人审批人填表时间审批时间阻断事件报告内容阻断总量报告阻断事件总量阻断IP地址排行报告阻断IP排行IP地址阻断次数备注T0P1T0P2TOP3TOP4TOP5TOP6TOP7TOP8TOP9TOP10阻断端口排行报告阻断端口排行阻断端口号阻断数量备注T0P1T0P2TOP3TOP4TOP5TOP6TOP7TOP8TOP9TOP102.入侵检测系统安全事件统计月表入侵检测系统安全事件统计表单位名称填表人审批人填表时间审批时间TOP10安全事

17、件数量百分比说明名称12345678910TOP10攻击源IPTOP10攻击目标IP123456789103.病毒事件报告统计月表病毒事件报告统计表单位名称填表人审批人填表时间审批时间病毒事件报告内容月病毒总量报告月病毒总量多发病毒统计报告病毒名称数量备注T0P1病毒T0P2病毒T0P3病毒T0P4病毒TOP5病毒TOP6病毒T0P7病毒TOP8病毒TOP9病毒TOP10病 毒多发病毒主机报告主机IP地址TOP1地址TOP2地址TOP3地址TOP4地址TOP5地址TOP6地址TOP7地址TOP哋址T0P9地址TOPIC地 址4.漏洞管理月统计表漏洞管理统计表单位名称申请人审批人申请时间审批时间

18、服务器/主机类别内容处理情况网上申报业务（1）主机信息主机名：主机IP地址：银联网业务银联网数据库协查/稽核数据库操作系统：（2）用户信息系统用户个数：（3）服务信息端口信息数：（4）漏洞信息系统漏洞总数、风险等级咼等级的漏洞比例协查应用漏洞信息系统漏洞总数、风险等级咼等级的漏洞比例稽核应用查询机数据库应用MQ服务器公文处理系统（0A）漏洞信息系统漏洞总数、风险等级办公自动化文件服务办公自动化应用服务咼等级的漏洞比例5.终端桌面安全防护系统统计月表桌面安全防护系统事件报告统计表单位名称填表人审批人填表时间审批时间系统设备设备总数应注册计算机已注册计算机注册率事件报告内容事件总量咼危险数量中危险数量咼危险级别事件排行事件名称数量备注T0P1T0P2T0P3T0P4TOP5TOP6TOP7TOP8TOP9TOP10咼危险级别主机报告主机IP地址备注TOP1地 址TOP2地址TOP3地址TOP4地址TOP5地址TOP6地址TOP7地址TOP