安全监控及审计管理办法

1、安全监控及审计管理办法第一章总则第一条 策略目标：为了加强公司信息安全 保障能力，建立健全公司的安全管理体系，提高整体的网络 与信息安全水平，保证网络通信畅通和业务系统的正常运 营，提高网络服务质量，在公司安全体系框架下，本策略规 范公司安全监控及审计机制，和公司其他安全风险策略一起 构建公司安全风险预防体系。第二条 适用范围：本策略适用于公司科技 信息部。第二章安全监控及审计管理第一节安全监控及审计工作办法第三条 各部门安全管理组织中专、兼职安 全管理员应监控并定期审计 本部门各系统安全状况。第四条 各部门安全管理组织定期向公司 网络与信息安全办公室汇报监控及安全审计结果。第五条 公司网络部

2、根据各部门安全管理员上报审计结果进行抽检和检验。第六条 公司网络部每半年巡检，进行安全审计，由公司科技信息部牵头，各部门协助执行。第二节 安全监控及审计的职责第七条 公司安全管理工作组负责：（ 一 ） 组织策划公司信息安全审计工作；（ 二 ） 协调有关部门，以获得对信息安全审计工作的理解和支持；（ 三 ） 确定信息安全审计工作的目的、范围和要求；（ 四 ） 制订信息安全审计工作具体实施计划和有关资源配置；（ 五 ） 监控信息安全审计工作进度和质量；（ 六 ） 审核信息安全审计工作情况汇报；（ 七 ） 负责向公司网络与信息安全领导小 组汇报公司信息安全审计工作情况。第八条 各部门安全组织负责：（

3、 一 ） 参与公司信息安全审计制度的制订、 修改和维护；（ 二 ） 参与公司信息安全审计工作具体实 施计划的制订；（ 三 ） 具体负责各部门信息安全审计的实 施和安全问题的消除工作；（ 四 ） 负责指导和监督本部门信息安全审 计工作；（ 五 ） 负责向公司网络与信息安全管理办 公室汇报本部门信息安全审计工作情况。第三章 安全监控的内容第九条 安全监控的内容主要包括：（ 一 ） 网络监控；（ 二 ） 主机监控；（ 三 ） 数据库监控；（ 四 ） 应用系统监控。第一节 网络监控第十条 网络监控的内容主要包括数据流 异常分析和黑客入侵监控。分别是指：（ 一 ） 数据流分析通过全 OSI 七层解码，包

4、 括对数据库数据包进行分析，发现网络中数据流类型和内 容，从中发现是否有违反安全策略的行为和被攻击的迹象； 同时根据数据协议类型发现当前数据趋势，帮助分析网络状 况，避免大规模病毒爆发；（ 二 ） 黑客入侵监控要不仅能检测来自外 部的入侵行为，同时也监控内部用户的未授权活动。第二节 主机监控 第十一条 主机监控的内容主要包括主机系统信息监控、主机重要文件和资源监控、主机网络连接的 监控、主机系统进程的监控。分别是指：（ 一 ） 主机系统信息监控对系统的配置信息和运行情况进行监控，包括主机机器名、网络配置、用户登录、进程情况、CPU和内存使用情况、硬盘容量等；（ 二 ） 对主机的重要文件和资源使

5、用进行监控；（ 三 ） 监控重要主机网络连接情况，监控主机开启的服务，对传输数据包内容进行过滤监控，对非法的 连接进行跟踪。第三节 数据库监控第十二条 数据库监控是对数据库的操作进行监控，以保护数据库的安全。第四节 应用系统监控第十三条 应用系统监控的内容主要包括 对应用的进程监控、 应用的异常监控、 应用的网络连接监控分别是指：（ 一 ） 应用的进程监控：监控应用进程占有 的资源量，如CPU时间、内存使用量等。（ 二） 应用的异常监控：监控应用系统的异 常行为；监控应用进程的异常中止、应用的异常连接。（ 三） 应用的网络连接监控：监控应用的各种网络连接，对应用系统发送与接受的信息内容进行监控

6、。第四章 安全审计及分析的内容第十四条 安全审计的内容主要包括：（ 一 ） 网络安全审计；（ 二 ） 主机安全审计；（ 三 ） 数据库安全审计；（ 四） 应用系统安全审计。第一节 网络安全审计 第十五条 网络安全审计的主要内容包括对网络登录的审计、网络操作的审计和日志的审计。分别是 指：（ 一 ） 对网络登录进行审计，审计网络设备的登录情况，记录用户名、时间和登录次数等；（ 二 ） 对网络操作进行审计，审计网络设备的操作情况，记录对网络设备的操作情况；（ 三 ） 对网络系统日志进行审计。第二节 主机安全审计第十六条 主机安全审计的主要内容包括对系统登录、系统操作、日志、系统文件操作、主机连接、

7、 主机拨号、系统进程、系统连接设备以及综合性审计。分别 是指：（ 一 ） 对系统登录进行审计，审计主机的登录情况，审计登录主机的用户名、时间等；（ 二 ） 对系统操作进行审计，审计主机管理员操作情况，记录对主机的操作和变更；（ 三 ） 对系统信息进行综合审计，审计系统的配置信息和运行情况进行审计，包括主机机器名、网络配 置、用户登录、进程情况、 CPU 和内存使用情况、硬盘容量（ 四 ） 对系统日志进行审计，系统日志审计包括：系统日志、安全日志、应用程序写入的系统日志、其 它服务日志 （如 DNSServer ）等，同时对系统日志进行管理；（ 五 ） 对系统的文件操作进行审计，记录重 要文件的

8、使用情况；（ 六 ） 对主机网络连接进行审计与保护，记 录和监控主机的网络连接情况，审计主机开启的服务，记录 数据包情况，便于分析网络对主机的影响；（ 七 ） 对主机拔号情况进行审计，审计特定 计算机的拨号情况， 显示被审计主机的拨号用户、 拨号号码、 拨号时间等信息；系统默认的情况下，禁止被审计的主机通 过任何号码拔号上网；（ 八 ） 对被审计主机上光驱、软驱、串口、USB的用户使用情况进行审计，包括访问时间、当前登录用户等；（ 九 ） 对系统进程进行审计，审计主机异常 进程、未知进程。第三节 数据库安全审计第十七条 数据库安全审计的主要内容包 括对数据库操作和日志进行审计。分别是指：（ 一 ） 对数据库系统本身所产生的日志文件进行审计；（ 二 ） 对数据库操作进行审计，对数据包中 数据操作语法的分析，审计对数据库中的某个表、某个字段 和视图进行了什么操作。第四节 应用系统安全审计第十八