信息安全综合管理与监控平台技术规范参考范本

信息安全综合管理与监控平台技术规范目录1.概述...................................................................12.信息安全综合管理与监控平台监控管理范围.................................13.信息安全综合管理与监控平台功能要求.....................................13.1.安全事件管理.......................................................23.1.1.安全事件采集.................................................23.1.2.安全事件过滤.................................................33.1.3.安全事件关联.................................................33.1.4.安全事件实时告警.............................................43.1.5.安全事件告警处理.............................................43.1.6.安全事件统计与分析...........................................53.2.设备集中管理.......................................................63.2.1.设备状态集中监控.............................................63.2.2.流量管理.....................................................63.2.3.安全策略集中管理.............................................63.2.4.主机设备集中管理.............................................63.2.5.查询统计分析.................................................63.3.信息安全风险管理...................................................73.3.1.资产管理.....................................................73.3.2.脆弱性管理...................................................73.3.3.威胁管理.....................................................73.3.4.风险分析.....................................................73.3.5.安全预警管理.................................................73.3.6.查询统计分析.................................................73.4.安全任务单管理.....................................................83.4.1.安全任务单产生...............................................83.4.2.安全任务单处理...............................................83.4.3.安全任务单管理与其它系统接口.................................83.4.4.工作考核.....................................................83.4.5.查询统计.....................................................83.5.安全知识管理.......................................................83.5.1.补丁知识库...................................................83.5.2.病毒知识库...................................................83.5.3.安全事件分类定级.............................................93.5.4.安全事件公告.................................................93.5.5.安全事件处理经验库...........................................93.5.6.安全技术和管理知识库.........................................93.6.系统接口...........................................................94.信息安全综合管理与监控平台性能要求.....................................9i信息安全综合管理与监控平台技术规范 V1.01.概述信息安全综合管理与监控平台能够采集来自所有安全产品和非安全产品的事件信息，对安全事件进行过滤、关联分析和告警，并为企业提供风险管理的自动化手段。信息安全综合管理与监控平台将安全运行管理和安全技术进行结合，能够规范安全管理工作，全面掌握安全状况。信息安全综合管理与监控平台逻辑结构如下：2.信息安全综合管理与监控平台监控管理范围信息安全综合管理与监控平台监控管理的范围包括：系统内部署的各种安全产品、主机与网络设备、数据库系统与应用系统、桌面系统等，其中各种安全产品和系统包括防火墙、IDS、安全文件网关、VPN、防病毒系统、审计系统、访问控制系统、用户集中管理和认证系统等安全设备/软件。3.信息安全综合管理与监控平台功能要求信息安全综合管理与监控平台功能要求定义了对信息安全综合管理与监控平台功能上的要求，分为安全事件管理、设备集中管理、信息安全风险管理、安全任务单管理、安全知识管理等几个部分。第1页共9页信息安全综合管理与监控平台技术规范 V1.03.1.安全事件管理通过采集、过滤、汇聚、关联分析等手段充分缩减大型信息系统中海量的安全事件信息，并对安全事件进行严重性排序，优先呈现和处理严重性级别较高的安全事件，以便了解系统实时的安全事件状况。关注的事件类型主要是攻击行为、异常活动和状态、病毒以及安全告警等。3.1.1.安全事件采集安全事件采集包括对环境安全事件采集、安全设备 /软件事件采集、网络设备安全事件采集、主机事件采集、应用系统安全事件采集、数据库系统安全事件采集等。环境监控物理环境安全是信息安全的一个重要组成部分。有必要在信息安全综合管理与监控平台中对环境进行监控。环境监控模块包括图像监控、门禁管理、温度 /湿度/水位/烟感等信息的采集和管理。安全设备/软件事件采集能够对防火墙、 IDS、横向隔离设备、纵向加密设备、 VPN、安全文件网关设备、防病毒系统、审计系统、访问控制系统、用户集中管理和认证系统等安全设备 /软件产生的事件的采集和存储。网络设备安全事件采集能够对网络设备产生的安全事件进行采集和存储。主机事件采集能够对主机CPU负荷、内存使用率、硬盘使用率及操作系统安全事件等事件进行采集和存储。桌面系统监控能够对桌面系统进行监控，包括桌面系统的网络行为监控、文件访问行为监控、应用程序安装/运行监控，应用系统访问控制等。第2页共9页信息安全综合管理与监控平台技术规范 V1.0应用系统安全事件采集能够对应用系统产生的安全事件进行采集和存储。基础平台安全事件采集能够对数据库、中间件等产生的安全事件进行采集和存储。3.1.2.安全事件过滤能够对采集到的数据进行过滤缩减安全事件数量，包括：过滤掉严重程度较低的原始事件信息；通过指定事件影响的设备、事件采用协议、事件类别、事件标题等事件属性进行过滤。应能对事件数据过滤的开启状态进行手工设定。3.1.3.安全事件关联信息安全综合管理与监控平台应具有安全事件关联功能，来深度挖掘安全隐患、判断安全事件的严重程度。信息安全综合管理与监控平台确定的关联性事件，不仅要有自身的内容，还必须可以关联查询到触发该事件产生的所有的原始事件。具体安全事件关联方式包括：基于规则的关联分析：将可疑的安全活动场景（暗示某潜在安全攻击行为的一系列安全事件序列）加以预先定义。系统能够使用定义好的关联性规则表达式，对收集到的安全事件进行检查，确定该事件是否和特定的规则匹配。至少应能够对以下安全活动场景预先定义关联规则：——DDOS攻击——缓冲区溢出攻击——网络蠕虫——邮件病毒——垃圾邮件——电子欺骗——非授权访问——企图入侵行为——木马——非法扫描——可疑URL第3页共9页信息安全综合管理与监控平台技术规范 V1.0具备自定义网络安全攻击行为功能，可以通过可视化的流程图的定义某种网络攻击行为；可根据安全事件发生的因果关系，进行逻辑上关联分析。给出事件关联相关度的定量分析；可根据网络安全的动态情况，自适应过滤相关度较低的事件；提供多种事件关联规则定义的方式，既包括通过简单明了的向导创建关联性规则，也可以允许用户使用类似脚本语言的方式；关联性规则表达式应该支持规则的多级嵌套，前一规则输出作为后一规则的输入，以及规则之间的并集和交集处理8) 关联性规则应该具有良好的移植性，可以按照特定的文件格式，如 XML，导入和导出。基于统计的关联分析：定义一些大的安全事件类别，对每个类别的事件设定一个合理的阀值，将出现的事件先归类，然后进行缓存和计数，当在某一段时间内，计数达到该阀值，可以产生一个级别更高的安全事件。基于资产的关联分析：安全事件应能与相关资产的敏感性以及相关资产上的漏洞进行关联，从而判断某个安全事件是否能造成不良影响以及造成不良影响的严重程度。例如：某个安全事件在某个资产上发生，并且正好与此资产上的一个或多个漏洞有关联关系，则可以判断此安全事件将对此资产产生一定不良影响；另外此事件利用资产上漏洞产生的影响可能侧重在某个方面，比如对资产可用性影响非常大， 而此资产恰恰对可用性要求非常高，那么可以确定此安全事件将对此资产造成巨大的不良影响，属于非常严重的安全事件；3.1.4.安全事件实时告警能够对安全事件进行实时监控，并以多种方式进行不同级别告警安全事件的呈现。可以按照以下条件定制组合监控策略：监控对象事件类型紧急程度发生时间攻击事件的发生源地址攻击事件的目标地址通信协议类型事件刷新的时间间隔用户自定义能够采用多种方式对安全事件过滤后进行安全事件告警。能够按照多种方式展现告警信息，比如屏幕显示、声音、短消息等方式。3.1.5.安全事件告警处理包括告警确认与清除、产生安全任务单、非正常告警处理等功能。第4页共9页信息安全综合管理与监控平台技术规范 V1.0告警确认包括自动确认和手动确认两种方式。告警自动确认指的是当安全事件采集上来后，信息安全综合管理与监控平台根据条件（自动确认告警的条件可由用户进行定制）对其进行告警自动确认。告警手动确认指的是信息安全综合管理与监控平台能支持操作员根据事件源、事件级别、事件状态、事件类型、事件产生时间等组合条件对事件信息进行手动告警确认，同时记录手动确认者的身份。告警清除功能，包括自动清除和手动清除两种方式。告警自动清除包括两种情况：一种是被管系统的安全事件解决后，被管系统向信息安全综合管理与监控平台上报告警清除通知，信息安全综合管理与监控平台根据收到的告警清除通知清除相应的告警；另一种是信息安全综合管理与监控平台根据告警相关性设置（相关性条件可由用户进行设置）决定是否将与某个已清除的告警相关的其他低级别告警同时自动清除。告警手动清除指的是信息安全综合管理与监控平台能支持操作员根据事件源、事件级别、事件状态、事件类型、事件产生时间等组合条件对事件告警进行手工清除， 同时记录手动清除者的身份。产生安全任务单指系统按照告警级别决定是否产生安全任务单，安全任务单自动生成，并根据告警信息自动填充任务单的部分内容，用于向安全任务单管理模块提供数据。产生安全任务单信息包括（但不限于）以下内容：告警号发生时间告警系统具体对象对象类型所属厂家告警级别告警类型告警原因告警内容处理时限参考处理方法处理责任人；非正常告警处理指当系统处于变动时会产生大量告警，此时系统应该提供自动或手动的手段对于由于系统变动产生的大量告警进行屏蔽。3.1.6.安全事件统计与分析能够对安全事件进行查询、统计和分析，并提供多种形式的报表功能。第5页共9页信息安全综合管理与监控平台技术规范 V1.0提供以下查询、统计和分析的功能：a) 能从多种角度多种维度对数据进行分析；b) 能提供实时分析、历史分析等分析手段；c) 能对比查询统计的结果，分析数据的发展趋势；d) 能将结果以图形方式〈直方图、饼图等〉或报表方式显示、打印或转存为 html、Word、Excel 或其它报表方式输出。报表功能应该能够提供多种形式报表，包括提供给安全管理员、领导使用的报表，也应该支持用户自定义报表。3.2.设备集中管理能够对安全设备和主机设备的状态进行监控，并能够实现安全策略的自动分发和更新。3.2.1.设备状态集中监控能够获取设备的当前运行的状态，在设备运行状态发生变化时，能够得到通知，不同设备需监控的状态信息不同。3.2.2.流量管理能够获取主机、网络设备、安全设备的网络流量，并且能够对网络流量进行分析和统计， 在超过设定门限时可以产生报警。3.2.3.安全策略集中管理包括安全设备/软件的安全策略文件的集中管理，提高安全管理工作效率；有条件的情况下实现各安全产品的安全策略的统一分发，修正和更新；安全策略文件的统一在/离线管理，定期进行采集和审核，对安全产品的各种属性和安全策略进行集中的存储、查询。3.2.4.主机设备集中管理能够对主机安全策略、补丁进行集中管理，有条件的情况下实现主机安全策略和补丁的统一分发，修正和更新；安全策略文件和补丁的统一在/离线管理，定期进行安全策略的采集和审核。3.2.5.查询统计分析对设备运行状况、策略分发、补丁更新等情况的查询、统计和分析。第6页共9页信息安全综合管理与监控平台技术规范 V1.03.3.信息安全风险管理能够对信息资产、脆弱性、威胁、风险等建立基本信息库以及风险的自动分析，支持企业进行自评估。3.3.1.资产管理包括资产库建立、维护3.3.2.脆弱性管理包括漏洞库的建立、维护3.3.3.威胁管理包括威胁库的建立、维护3.3.4.风险分析风险库的建立和根据资产、脆弱性、威胁自动进行风险计算和分析。3.3.5.安全预警管理包括安全预警信息的产生、发布、维护等。安全预警信息可以来自第三方服务商和上级主管单位。安全预警信息应该包括可能影响的资产类型、可能后果和解决方案。安全预警信息应该可以自动和信息资产进行关联，系统能够自动列出受影响的资产以及影响程度，并自动通知相应的系统管理员。系统管理员根据收到的安全预警信息进行相应的处理，如安装系统安全补丁。3.3.6.查询统计分析对资产库、漏洞库、威胁库和风险库的查询、分析和统计功能，提供多种形式的报表。能够以资产为主题，查询出资产的漏洞、威胁及风险情况。能够以漏洞为主题，查询出具有该漏洞的资产情况。能够以威胁为主题，查询出受到该威胁影响的资产情况。第7页共9页信息安全综合管理与监控平台技术规范 V1.03.4.安全任务单管理主要实现安全任务单的产生及处理，并依此实现安全管理人员的工作考核。3.4.1.安全任务单产生安全任务单可以手动或者由安全事件触发自动产生。3.4.2.安全任务单处理能够定义安全任务单的处理流程，实现对安全任务单的处理。3.4.3.安全任务单管理与其它系统接口安全任务单管理模块应提供和其它系统的接口，如 OA的接口。3.4.4.工作考核实现对安全管理工作的考核。3.4.5.查询统计安全任务单相关信息的查询和统计3.5.安全知识管理安全知识管理包括对补丁知识库、病毒知识库的建立和管理以及安全事件发布和安全知识的培训和考试。3.5.1.补丁知识库补丁知识库的建立和维护3.5.2.病毒知识库病毒知识库的建立和维护第8页共9页信息安全综合管理与监控平台技术规范 V1.03.5.3.安全事件分类定级对安全事件进行分类和定级。3.5.4.安全事件公告安全事件的发布。3.5.5.安全事件处理经验库安全事件处理经验库的建立和维护。包括产生的典型案例和历史处理纪录，由安全任务单管理产生的“安全案例处理记录”构成，记录中应至少包括以下信息：安全问题的发生时间现象详细描述详细原因分析详细的处理措施和结果安全处理报告安全任务单的派单人和责任人安全任务单的直接处理人安全事件处理经验库可以给安全管理人员提供已有安全事件处理的经验，当安全管理人员在遇到类似安全事件时可以依据经验库中的处理方式进行处理。3.5.6.安全技术和管理知识库建立安全技术和管理知识库，包括安全工具配置与使用；安全手段与技巧、安全技术文献、安全技术原理、安全管理实践、安全产品、安全解决方案、安全标准规范等；3.6.系统接口系统设计时需要考虑纵向和横向的接口，需要定义统一的接口标准，以支持信息安全综合管理与监控平台的分布式部署以及与其他系统的信息交互。4.信息安全综合管理与监控平台性能要求企业越是在遭到攻击、产生大量安全事件和网络负载时越需要信息安全综合管理与监控平台提供的服务，所以平台的性能应该能够满足较极端情况下，大量信息安全事件和网络负载时平台正常运行的要求。安全事件处理能力：每分钟 10000条最大数据存储处理能力： 100,000,000条最大响应时间： 10秒卫生管理制度1 总则1.1 为了加强公司的环境卫生管理，创造一个整洁、文明、温馨的购物、办公环境，根据《公共场所卫生管理条例》的要求，特制定本制度。1.2 集团公司的卫生管理部门设在企管部，并负责将集团公司的卫生区域详细划分到各部室，各分公司所辖区域卫生由分公司客服部负责划分，确保无遗漏。2 卫生标准2.1 室内卫生标准2.1.1 地面、墙面：无灰尘、无纸屑、无痰迹、无泡泡糖等粘合物、无积水，墙角无灰吊、无蜘蛛网。2.1.2 门、窗、玻璃、镜子、柱子、电梯、楼梯、灯具等，做到明亮、无灰尘、无污迹、无粘合物，特别是玻璃，要求两面明亮。2.1.3 柜台、货架：清洁干净，货架、柜台底层及周围无乱堆乱放现象、无灰尘、无粘合物，货架顶部、背部和底部干净，不存放杂物和私人物品。2.1.4 购物车（筐）、直接接触食品的售货工具（包括刀、叉等）：做到内外洁净，无污垢和粘合物等。购物车（筐）要求每天营业前