信息安全防护体系运行管理办法

1、信息安全防护体系运行管理办法 运行治理方法 （初稿 -参考资料） 二OO九年二月 目录 第一章 总则 2 1.1 目的 2 1.2 适用范畴 2 1.3 治理职责 2 第二章 安全治理员职责 2 第三章 安全产品的治理 3 3.1 日常爱护治理 3 3.2 故障治理 3 3.3 变更治理 4 3.4 安全治理 4 3.4.1 例行安全治理 4 3.4.2 应急安全治理 8 附 件 10 附件一：漏洞扫描申请报告 附件二：运行治理报告 11 10 第一章 总则 1.1 目的 按照x单位系统网络与信息安全总体方案和x单位系统网络与信 息安全治理岗位及其职责，为进一步规范x单位系统网络信息安全防护体

2、 系配置的安全产品的运行治理工作，提升 x 单位系统信息安全治理水平， 保证安全产品的有效性，特制定本方法。 1.2 适用范畴 运行治理方法适用于 x 单位总部、各省级局和地市级局对 x 单位 系统网络信息安全防护体系统一部署的防火墙、入侵检测系统、防病毒系 统和漏洞扫描系统、桌面安全防护系统、安全审计系统等安全产品的运行 治理。 x 单位总部、各省级局和地市级局对所配置的其它同类安全产品的运行 治理参照本方法执行。 1.3治理职责 x 单位总部负责总部网络中部署的安全产品的运行治理工作； 并负责汇 总各省级局上报的安全产品运行治理报告；分析安全风险和存在的安全隐 患，形成报表，监督指导各省级

3、局解决发觉的安全咨询题。 各省级局负责本单位网络中部署的安全产品的运行治理工作；负责汇 总各地市级局上报的安全产品运行治理报告，形成本省范畴内的安全产品 运行治理报告， 当月报告在下月的 10日前上报 x 单位总部；分析所辖区域 内的安全风险和存在的安全隐患，监督指导下一级局解决发觉的安全咨询 题。 各省级局负责本单位网络中部署的安全产品的运行治理工作；形成安 全产品运行治理报告，当月报告在下月的 10日前上报 x 单位总部；分析安 全风险和存在的安全隐患，解决发觉的安全咨询题。 各地市级局负责本单位网络中部署的安全产品的运行治理工作；形成 安全产品运行治理报告，当月报告在下月的 5 日前上报

4、各省级局；分析所 属网络中的安全风险和存在的安全隐患，解决发觉的安全咨询题。 第二章 安全治理员职责 各级 x 单位机关必须按照 x 单位系统网络与信息安全治理岗位及其职 责的规定，设置安全治理员岗位和具体的执行角色，负责安全产品的运 行治理，按照各单位的具体情形，安全治理员岗位能够是安全治理员角色 和安全审计员角色的组合，也可设置多个安全治理员岗位。 安全治理员在各 x 单位机关安全治理机构的领导下工作，负责治理 x 单位系统网络信息安全防护体系部署的安全产品，要紧职责是： （1）按照业务需求和网络安全威逼爱护安全产品的安全策略， 在必须 修改策略时，经领导和上级主管部门批准后实施； （2）

5、负责安全产品的日常爱护治理，认真记录爱护日志； （3）解决安全产品运行中显现的技术咨询题，及时排除故障； （4）定期分析安全产品的系统日志和安全日志，检查设备工作状况， 分析是否存在安全风险； （5）发觉重大安全咨询题或事件时，及时向领导报告，并按照管急预 案进行应急处理； （6）按照安全产品运行治理报告（见附件二）的内容要求，提交安全 产品的运行治理报告。 第三章 安全产品的治理 3.1 日常爱护治理 （1）安全治理员应每天进行安全设备巡检； （ 2）安全治理员必须对安全产品的策略进行备份爱护， 策略发生变更 时，必须做好变更记录并进行备份更新； （3）定期备份与爱护安全产品的系统日志和安全

6、日志； （4）在总部公布安全产品升级通知后，及时进行产品升级； （5）安全产品的运行爱护活动记入安全产品的爱护工作日志。 3.2 故障治理 安全治理员应每天在日常爱护日志中，记录安全产品的运行状况或使 用情形。在产品显现故障时，应及时与厂商联系解决咨询题，并记录故障 现象与处理结果。 安全治理员应按附件二要求如实填写本单位 运行治理报告 中的安 全产品故障统计月表 。 安全产品故障统计月表按照日常爱护记录中安全产品的故障情形 填写。 产品类型包括：防火墙、入侵检测系统、防病毒系统、漏洞扫描系统、 终端桌面安全防护系统和安全审计系统。 内容包括： 故障总数 要紧故障描述 处理结果 3.3 变更治

7、理 总部对网络与信息安全防护产品的配置位置和统配策略做了统一部 署。为了保证安全防护体系的完整性和可控性，需要对网络信息安全防护 体系中配置的安全产品进行变更治理。 （1）总部统一配置的安全产品配置位置变更时必须经总部批准； （ 2）各级 x 单位单位负责本单位安全策略的制定， 但总部统配安全策 略的变更必须报总部批准。 （3）对批准实施的变更情形存档并记入本单位运行治理报告中的 变更情形讲明，包括： 变更的安全设备名称、型号 变更缘故 变更后的设备配置拓扑 变更后的设备配置策略 3.4 安全治理 3.4.1 例行安全治理 安全治理员必须每天分析安全产品的系统日志和安全日志，在发觉安 全事件时

8、，应及时报告。 以下各节描述对各类安全设备的例行安全治理活动。 3.4.1.1防火墙 （1）防火墙运行状态监测 安全治理员应每天监测上下行防火墙和横向防火墙运行状态。 监测的内容： a系统负载（CPU状态） b. 系统资源（内存状态） c. 防火墙端口状态 d. 网络连接数 （ 2）防火墙安全事件分析 安全治理员应每天检查防火墙的安全日志，分析安全事件。 安全事件分析内容： a. 攻击事件描述 b. 攻击时刻 c. 攻击类型 d. 攻击源 IP 和受攻击主机 IP e. 阻断 IP 地址及有关端口 （ 3）防火墙安全事件月统计 安全治理员应按附件二要求如实填写本单位 运行治理报告 中的防 火墙

9、安全事件统计月表。 防火墙安全事件统计月表按照防火墙日志分析结果填写。 安全事件统计内容： a. 各种攻击类型数量及百分比统计 b. TOP 10攻击源IP与受攻击主机IP统计 （ 4）防火墙阻断事件统计 安全治理员应按附件二要求如实填写本单位运行治理报告中防 火墙阻断事件报告统计表 。 防火墙阻断事件报告统计表按照安全审计系统中相应的防火墙日 志分析结果填写。 阻断事件统计内容： a. 阻断事件总数。 b. TOP 10阻断 IP 地址。 c. TOP 10 阻断端口。 3.4.1.2 入侵检测系统 （1）安全事件分析 安全治理员应每天分析入侵检测系统记录的安全事件。 安全事件分析内容： a

10、. 攻击事件描述 b. 攻击时刻 c. 攻击类型 d. 攻击源 IP 和受攻击主机 IP （2）入侵检测系统安全事件月统计 安全治理员应按附件二要求如实填写本单位 运行治理报告 中的入 侵检测系统安全事件统计月表 。 入侵检测系统安全事件统计月表 按照入侵检测日志分析结果填写。 安全事件统计内容： a. TOP 10 安全事件数量及百分比统计 b. TOP 10攻击源IP与受攻击主机IP统计 3.4.1.3 防病毒系统 （ 1 ）防病毒系统运行治理监测 安全治理员应进行防病毒系统运行治理监测。 监测内容： a. 防病毒软件升级信息 b. 周病毒审计 c. 周主机变化记录 d. 周策略爱护 （2

11、）病毒事件周分析 安全治理员应每周监测病毒事件 监测内容： a. 病毒总量 b. 多发病毒统计 c. 多发病毒主机 （3）病毒事件月统计 安全治理员应按附件二要求如实填写本单位 运行治理报告 中的病 毒事件报告月表。 病毒事件报告月表按照防病毒系统日志分析结果填写。 安全事件统计内容： 病毒总量 多发病毒统计 多发病毒主机 3.4.1.4漏洞扫描系统 （1）漏洞扫描系统治理监控 安全治理员要严格治理好漏洞扫描系统，未经领导批准，不得擅自使 用。 在使用漏洞扫描系统前应填写漏洞扫描系统使用申请 （见附件一）， 获得领导批准后方能使用。 申请内容：漏洞扫描系统的扫描地址范畴。 安全治理员在日常爱护

12、日志中记录使用漏洞扫描系统的情形。 对发觉的重要业务服务器的安全漏洞，必须在报告总部后，按照总部 组织的专家咨询意见，获得领导批准后才能打补丁。 （2）漏洞治理月统计 安全治理员应按附件二要求如实填写本单位 运行治理报告 中的漏 洞治理月报告。 漏洞治理报告按照漏洞扫描系统扫描数据分析与处理结果填写。 漏洞治理内容： a. 要紧应用系统的有关信息及漏洞分布情形 b. 按照漏洞进行配置调整与补丁安装情形 3.4.1.5终端桌面安全防护系统 （1）安全事件分析 安全治理员应每天分析终端桌面安全防护系统的安全事件。 安全事件分析内容： a. 高危险级不事件名称。 b. 高危险级不事件发生时刻。 c.

13、 高危险级不事件详细内容和发生缘故。 d. 发生高危险级不事件的主机信息。 （2）终端桌面安全防护系统月统计 安全治理员应按附件二要求如实填写本单位 运行治理报告 中的桌 面安全防护系统事件月报告 。 桌面安全防护系统事件月报告按照桌面安全防护系统的相应查询 功能和安全审计系统中桌面安全防护系统的有关日志分析结果填写。 终端桌面安全防护系统治理内容： a. 资产信息统计 b. 安全事件总数，高危险级不事件数量，中危险级不事件数量。 c. TOP 10 高危险级不事件。 d. TOP 10 高危险级不 IP 地址. 3.4.1.6安全审计系统 （1）安全事件分析 安全治理员应每天分析安全审计系统

14、收集和处理的安全事件日志信 息。 安全事件分析内容： a. Windows 主机产生的高危险级不事件信息。 b. Windows 主机产生的高危险级不事件产生的时刻。 c. Windows 主机产生的高危险级不事件所属主机信息。 d. UNIX 主机产生的高危险级不事件信息。 e. UNIX 主机产生的高危险级不事件产生的时刻。 f. UNIX 主机产生的高危险级不事件所属主机信息。 g. 网络设备产生的高危险级不事件信息。 h. 网络设备产生的高危险级不事件产生的时刻。 i .网络设备产生的高危险级不事件所属主机信息。 （2）安全审计系统月统计 安全治理员应按附件二要求如实填写本单位 运行治

15、理报告 中的安 全审计治理月报告 。共包括如下四个报告： 安全审计系统审计源及日志 统计、Windows主机事件报告统计、Unix主机事件报告统计、网络 设备事件报告统计。 安全审计治理月报告按照安全审计系统收集的日志结果填写。 安全审计治理内容： 1、安全审计系统审计源及日志统计 a. 日志源日志源数量统计 b. 日志分级数量统计 2、Windows 主机事件报告统计 a. 产生事件总数，高危险级不数量。 b. TOP 10高危险级不事件产生数量的 IP 地址 3、Unix 主机事件报告统计 a. 产生事件总数，高危险级不数量。 b. TOP 10高危险级不事件产生数量的 IP 地址 4、网

16、络设备事件报告统计 a. 产生事件总数，高危险级不数量。 b. TOP 10高危险级不事件产生数量的 IP 地址 3.4.2 应急安全治理 在发觉安全系统显现 x 单位系统重大网络与信息安全事件报告制度 中定义的重大安全事件时，按文件规定的流程进行处理和上报，如果与相 应的安全产品关联，应同时记录有关情形。 附件一：漏洞扫描申请报告 漏洞扫描系统使用申请 单位名称 申请人 审批人 申请时刻 审批时刻 扫描地址范畴 附件二：运行治理报告 x 单位系统网络信息安全防护体系 单位 运行治理报告 运行管理报告 填制人 单位名称 、安全产品故障统计月表 安全产品故障统计表 产品名称 故障总数（台/次）

17、要紧故障描述 处理结果 防火墙 入侵检测系统 防病毒系统 漏洞扫描系统 终端桌面安全 防护系统 安全审计系统 二、安全事件与状态统计分析 1防火墙安全事件统计月表 防火墙安全事件统计表 单位名称 填表人 审批人 填表时刻 审批时刻 攻击类型 数量 百分比 讲明 攻击 TOP 10攻击源IP TOP 10攻击目标IP 1 2 3 4 5 6 7 8 9 10 防火墙阻断事件报告统计表 单位名称 填表人 审批人 填表时刻 审批时刻 阻断事件报告内容 阻断总量报告 阻断事件总量 阻断IP排行 IP地址 阻断次数 备注 TOP1 阻断IP地址 排行报告 TOP2 TOP3 TOP4 T0P5 T0P6

18、 T0P7 T0P8 T0P9 TOP10 阻断端口排行报 告 阻断端口排行 阻断端口号 阻断数量 备注 T0P1 T0P2 T0P3 T0P4 T0P5 T0P6 T0P7 T0P8 T0P9 T0P10 2.入侵检测系统安全事件统计月表 入侵检测系统安全事件统计表 单位名称 填表人 审批人 填表时刻 审批时刻 TOP 10安全事件名称 数量 百分比 讲明 1 2 3 4 5 6 7 8 9 10 TOP 10攻击源IP TOP 10攻击目标IP 1 2 3 4 5 6 7 8 9 10 3 .病毒事件报告统计月表 病毒事件报告统计表 单位名称 填表人 审批人 填表时刻 审批时刻 病毒事件报

19、告内容 月病毒总里报告 月病毒总量 多发病毒统计 报告 病毒名称 数量 备注 T0P1病毒 T0P2病毒 T0P3病毒 T0P4病毒 T0P5病毒 T0P6病毒 T0P7病毒 T0P8病毒 T0P9病毒 T0P10病 毒 多发病毒主机 报告 主机IP地址 T0P1地址 T0P2地址 T0P3地址 T0P4地址 T0P5地址 T0P6地址 T0P7地址 T0P8地址 T0P9地址 TOP10地 址 4. 漏洞治理月统计表 漏洞治理统计表 单位名称 申请人 审批人 申请时刻 审批时刻 服务器/主机类不 内容 处理情 形 网上申报业务 （1）主机信息 主机名： 主机IP地址： 操作系统： （2）用户

20、信息 系统用户个数： （3）服务信息 端口信息数： （4）漏洞信息 系统漏洞总数、风险等级 高等级的漏洞比例 银联网业务 银联网数据库 协查/稽核数据库 协查应用 漏洞信息 系统漏洞总数、风险等级 稽核应用 查询机 高等级的漏洞比例 数据库 应用 MQ服务器 公文处理系统（0A） 漏洞信息 系统漏洞总数、风险等级 高等级的漏洞比例 办公自动化文件服务 办公自动化应用服务 5. 终端桌面安全防护系统统计月表 桌面安全防护系统事件报告统计表 单位名称 填表人 审批人 填表时刻 审批时刻 系统设备 设备总数 应注册运算机 已注册运算机 注册率 事件报告内容 事件总量 高危险数 量 中危险数 量 咼危险级不事 件排行 事件名称 数量 备注 T0P1 T0P2 T0P3 T0P4 T0P5 T0P6 T0P7 T0P8 T0P9 T0P10 高危险级不主机 报告 主机IP地址 备注 T0P1地址 T0P2地址 T0P3地址 T0P4地址 T0P5地址 T0P6地址 T0P7地址 T0P8地址 T0P9地址 T0P10地 址 6. 安全审计系统统计月表 安全审计系统审计源及日志统计报告 单位名称 安全审计系统审