安全审计及监控管理办法

1、 XXX双全管理制度汇编安全审计及监控管理办法文件名称安全审计及监控管理办法密级内部文件编号版本号V1.0编写部门XXX&B 门编写人审批人发布时间目录第二章 职责第三章规定第一节 安全监控及审计职责 第二节 安全监控内容 第三节 安全审计内容 第四章 附贝IJ 第一节 文挡信息第二节 版本制第三节 其他信息第一章总则第一条 制度目标：为了加强信息安全保障能力，建立健全的安全管理体系， 提高整体的网络与信息安全水平， 保证网络通信畅通和业务系统的正常运营， 提 高网络服务质量，在安全体系框架下，本制度为加强信息安全事件的管理，规范 安全事件的响应和操作流程。第二条适用范围：本制度适用于TCP/

2、IP网络、以及所承载的业务系统。第三条使用人员及角色职责：本制度适用于网络信息系统维护及相关人 员。第四条制度相关性：本制度与安全检查及监控等管理办法相关。第二章职责第五条安全管理员负责所有系统及设备的超级用户帐号及权限管理员第六条 安全设备管理员负责安全设备的日常维护监控工作。第七条网络管理员负责网络系统的日常维护监控工作。第八条主机系统管理员负责主机、服务器、操作系统的监控工作。第九条 数据库管理员负责数据库系统的监控工作。第十条 应用系统管理员负责应用系统的监控工作。第十一条安全审计员（1） 负责信息安全审计的日常工作；（2） 负责组织、计划定期的审计活动。第三章规定第一节安全监控及审计

3、职责第十二条 信息安全日常监控由各系统管理员、各数据库管理员、各应用系 统管理员、各网络管理员等进行操作;第十三条安全审计员根据各信息系统管理员的监控结果审计网络、各数据 库、各计算机系统、各应用系统等的安全状况。第十四条安全审计员定期将审计结果上报到信息安全管理工作组；第十五条信息安全管理工作组根据安全审计员上报审计结果进行抽检和 改进。第二节安全监控内容第十六条网络监控网络监控的内容主要包括数据流异常分析和黑客入侵监控。分别是指：（1） 网络设备运行性能监控；（2） 数据流分析通过全 OSI七层解码，包括对数据库数据包进行分析，发现网络中数据流类型和内容，从中发现是否有违反安全策略的行 为

4、和被攻击的迹象；同时根据数据协议类型发现当前数据趋势， 帮助分 析网络状况，避免大规模病毒爆发；（3） 黑客入侵监控要不仅能检测来自外部的入侵行为，同时也监控内部用户的未授权活动。第十七条主机监控主机监控的内容主要包括主机系统信息监控、 主机重要文件和资源监控、主 机网络连接的监控、主机系统进程的监控。分别是指：（1） 主机系统信息监控对系统的配置信息和运行情况进行监控，包括主机机器名、网络配置、用户登录、进程情况、CPLW内存使用情况、硬盘容量等；（2） 对主机的重要文件和资源使用进行监控；（3） 监控重要主机网络连接情况，监控主机开启的服务，对传输数据包内容进行过滤监控，对非法的连接进行跟

5、踪。第十八条数据库监控（1） 数据库性能监控；（2） 数据库监控是对数据库的操作进行监控，以保护数据库的安全。（3） 数据库容量监控；（4） 用户安全登录监控；第十九条应用系统监控应用系统监控的内容主要包括对应用的进程监控、应用的异常监控、应用的 网络连接监控。分别是指：（1） 应用的进程监控：监控应用进程占有的资源量，如 CPUS寸间、内存使用量等。（2） 应用的异常监控：监控应用系统的异常行为；监控应用进程的异常中止、应用的异常连接。（3） 应用的网络连接监控：监控应用的各种网络连接，对应用系统发送与接受的信息内容进行监控。第三节 安全审计内容第二十条网络安全审计网络安全审计的主要内容包括

6、对网络登录的审计、 网络操作的审计和日志的 审计。分别是指：（1） 对网络登录进行审计，审计网络设备的登录情况，记录用户名、时间和登录次数等；（2） 对网络操作进行审计，审计网络设备的操作情况，记录对网络设备的操作情况；（3） 对网络系统日志进行审计。第二十一条主机安全审计主机安全审计的主要内容包括对系统登录、 系统操作、日志、系统文件操作、 主机连接、主机拨号、系统进程、系统连接设备以及综合性审计。分别是指：（1） 对系统登录进行审计，审计主机的登录情况，审计登录主机的用户名、时间等；（2） 对系统操作进行审计，审计主机管理员操作情况，记录对主机的操作和变更；（3） 对系统信息进行综合审计，

7、审计系统的配置信息和运行情况进行审计，包括主机机器名、网络配置、用户登录、进程情况、CPUffi内存使用情况、硬盘容量等；（4） 对系统日志进行审计，系统日志审计包括：系统日志、安全日志、应用程序写入的系统日志、其它服务日志（如 DNSServei）等，同时对 系统日志进行管理；（5） 对系统的文件操作进行审计，记录重要文件的使用情况；（6） 对主机网络连接进行审计与保护，记录和监控主机的网络连接情况，审计主机开启的服务，记录数据包情况，便于分析网络对主机的影 响；（7） 对主机拔号情况进行审计，审计特定计算机的拨号情况，显示被审计主机的拨号用户、拨号号码、拨号时间等信息；系统默认的情况下，

8、禁止被审计的主机通过任何号码拔号上网；（8） 对被审计主机上光驱、软驱、串口、 USB的用户使用情况进行审计，包括访问时间、当前登录用户等；（9） 对系统进程进行审计，审计主机异常进程、未知进程。第二十二条数据库安全审计数据库安全审计的主要内容包括对数据库操作和日志进行审计。分别是指：（1） 对数据库系统本身所产生的日志文件进行审计；（2） 对数据库操作进行审计，对数据包中数据操作语法的分析，审计对数据库中的某个表、某个字段和视图进行了什么操作。第二十三条应用系统安全审计应用系统安全审计的主要内容包括对应用系统网络连接和日志的审计，分别指：（1） 对应用系统自身产生的日志文件与系统日志进行审计；（2） 对应用系统的各种网络连接进行审计，并对相应的发送与接受信息内容进行审计。第四章附则第一节文挡信息第二十四条 本制度由业务科技处制定，并负责解释和修订。由信息安全 工作组讨论通过，发布执行第二十五条本制度自发布之日起执行。第二节版本控制第二十六条对本制度所有修改及审批、发布都按时间顺序记录在此V1.02012年月日文档定稿第三节其他信息第二十七条 本制度中所称的人员角色职责由各部门人员分别担任， 可能 现有岗位的职工在不同时期所担任的角色不同， 甚至身兼多种角色，这种情况下 该职工应该履行所兼每种角色的安全职责。第二十八条X