信息安全防护体系运行管理办法

1、精心整理*系统网络信息安全防护体系运行管理办法（初稿-参考资料）二OO九年二月目录1第一章总则1.1目的根据x单位系统网络与信息安全总体方案和x单位系统网络与 信息安全管理岗位及其职责，为进一步规范x单位系统网络信息安全防 护体系配置的安全产品的运行管理工作， 提高X单位系统信息安全管理水 平，保证安全产品的有效性，特制定本办法。1.2适用范围”i 匕匚- .7-运行管理办法适用于x单位总部、各省级局和地市级局对x单位 系统网络信息安全防护体系统一部署的防火墙、入侵检测系统、防病毒 系统和漏洞扫描系统、桌面安全防护系统、安全审计系统等安全产品的 运行管理。x单位总部、各省级局和地市级局对所配置

2、的其它同类安全产品的 运行管理参照本办法执行。I I r%. 1 I .X X、找广 F /1.3管理职责x单位总部负责总部网络中部署的安全产品的运行管理工作；并负责汇总各省级局上报的安全产品运行管理报告；分析安全风险和存在的安 全隐患，形成报表，监督指导各省级局解决发现的安全问题。各省级局负责本单位网络中部署的安全产品的运行管理工作；负责 汇总各地市级局上报的安全产品运行管理报告，形成本省范围内的安全 产品运行管理报告，当月报告在下月的10日前上报x单位总部；分析所辖 区域内的安全风险和存在的安全隐患，监督指导下一级局解决发现的安 全问题。各省级局负责本单位网络中部署的安全产品的运行管理工作

3、；形成 安全产品运行管理报告，当月报告在下月的10日前上报x单位总部；分析 安全风险和存在的安全隐患，解决发现的安全问题。各地市级局负责本单位网络中部署的安全产品的运行管理工作；形 成安全产品运行管理报告，当月报告在下月的5日前上报各省级局；分析 所属网络中的安全风险和存在的安全隐患，解决发现的安全问题。f 厂IJ 7 厂一第二章安全管理员职责、1/ 1L各级X单位机关必须按照X单位系统网络与信息安全管理岗位及其 职责的规定，设置安全管理员岗位和具体的执行角色，负责安全产品 的运行管理，根据各单位的具体情况，安全管理员岗位可以是安全管理 员角色和安全审计员角色的组合，也可设置多个安全管理员岗位

4、。 I I , f、 - I、尹、F ” /安全管理员在各X单位机关安全管理机构的领导下工作，负责管理 X 单位系统网络信息安全防护体系部署的安全产品，主要职责是：（1） 根据业务需求和网络安全威胁维护安全产品的安全策略，在必 须修改策略时，经领导和上级主管部门批准后实施；（2）负责安全产品的日常维护管理，认真记录维护日志；（3）解决安全产品运行中出现的技术问题，及时排除故障；（4）定期分析安全产品的系统日志和安全日志， 检查设备工作状况，4分析是否存在安全风险；（5）发现重大安全问题或事件时，及时向领导报告，并按照应急预 案进行应急处理；（6）按照安全产品运行管理报告（见附件二）的内容要求，

5、提交安 全产品的运行管理报告。第三章安全产品的管理3.1日常维护管理（1）安全管理员应每天进行安全设备巡检；（2）安全管理员必须对安全产品的策略进行备份保护， 策略发生变更时,y I、 1 l /必须做好变更记录并进行备份更新；（3）定期备份与维护安全产品的系统日志和安全日志；（4）在总部发布安全产品升级通知后，及时进行产品升级；（5）安全产品的运行维护活动记入安全产品的维护工作日志。3.2故障管理安全管理员应每天在日常维护日志中，记录安全产品的运行状况或 使用情况。在产品出现故障时，应及时与厂商联系解决问题，并记录故 障现象与处理结果。安全管理员应按附件二要求如实填写本单位运行管理报告中的

6、安全产品故障统计月表。安全产品故障统计月表 根据日常维护记录中安全产品的故障情况填写产品类型包括：防火墙、入侵检测系统、防病毒系统、漏洞扫描系统、 终端桌面安全防护系统和安全审计系统。内容包括：a. 故障总数b. 主要故障描述c. 处理结果3.3变更管理总部对网络与信息安全防护产品的配置位置和统配策略做了统一部 署。为了保证安全防护体系的完整性和可控性，需要对网络信息安全防 护体系中配置的安全产品进行变更管理。（1）总部统一配置的安全产品配置位置变更时必须经总部批准；（2）各级x单位单位负责本单位安全策略的制定， 但总部统配安全策略 的变更必须报总部批准。（3）对批准实施的变更情况存档并记入本

7、单位运行管理报告中的变 更情况说明，包括：变更的安全设备名称、型号变更原因变更后的设备配置拓扑变更后的设备配置策略53.4安全管理3.4.1例行安全管理安全管理员必须每天分析安全产品的系统日志和安全日志，在发现 安全事件时，应及时报告。以下各节描述对各类安全设备的例行安全管理活动。341.1防火墙（1）防火墙运行状态监测安全管理员应每天监测上下行防火墙和横向防火墙运行状态。“J d广监测的内容：a. 系统负载（CPU犬态）匸1 *b. 系统资源（内存状态）c. 防火墙端口状态! ；d. 网络连接数（2）防火墙安全事件分析安全管理员应每天检查防火墙的安全日志，分析安全事件。安全事件分析内容：a.

8、 攻击事件描述b. 攻击时间c. 攻击类型d. 攻击源IP和受攻击主机IPe. 阻断IP地址及相关端口（3）防火墙安全事件月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的防 火墙安全事件统计月表。防火墙安全事件统计月表根据防火墙日志分析结果填写。安全事件统计内容：a. 各种攻击类型数量及百分比统计b. TOPIO攻击源IP与受攻击主机IP统计（4）防火墙阻断事件统计 匕）.I 安全管理员应按附件二要求如实填写本单位运行管理报告中防,J e .ji* 厂火墙阻断事件报告统计表。防火墙阻断事件报告统计表 根据安全审计系统中相应的防火墙日 志分析结果填写。阻断事件统计内容：a. 阻断事件

9、总数。b. TOPIO阻断IP地址。C.TOP10阻断端口。341.2入侵检测系统（1）安全事件分析安全管理员应每天分析入侵检测系统记录的安全事件。安全事件分析内容：8a. 攻击事件描述b. 攻击时间c. 攻击类型d. 攻击源IP和受攻击主机IP（2）入侵检测系统安全事件月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的 入侵检测系统安全事件统计月表。入侵检测系统安全事件统计月表根据入侵检测日志分析结果填 写。I 歹 I安全事件统计内容：- X .X* $ * jtf yXa. TOPIO安全事件数量及百分比统计b. TOPIO攻击源IP与受攻击主机IP统计341.3防病毒系统卩i

10、；（1）防病毒系统运行管理监测安全管理员应进行防病毒系统运行管理监测。监测内容：a. 防病毒软件升级信息b. 周病毒审计c. 周主机变化记录d. 周策略维护（2）病毒事件周分析安全管理员应每周监测病毒事件监测内容：a. 病毒总量b. 多发病毒统计c. 多发病毒主机（3）病毒事件月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的病毒事件报告月表。病毒事件报告月表根据防病毒系统日志分析结果填写。安全事件统计内容：y ntJjf 八产 | 1a. 病毒总量b. 多发病毒统计Cj- 一c. 多发病毒主机341.4漏洞扫描系统（1）漏洞扫描系统管理监控安全管理员要严格管理好漏洞扫描系统，未经领

11、导批准，不得擅自使用。在使用漏洞扫描系统前应填写漏洞扫描系统使用申请（见附件一）， 获得领导批准后方能使用。申请内容：漏洞扫描系统的扫描地址范围。安全管理员在日常维护日志中记录使用漏洞扫描系统的情况。10对发现的重要业务服务器的安全漏洞， 必须在报告总部后，根据总部 组织的专家咨询意见，获得领导批准后才能打补丁。（2）漏洞管理月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的 漏洞管理月报告。漏洞管理报告根据漏洞扫描系统扫描数据分析与处理结果填 写。漏洞管理内容：a. 主要应用系统的相关信息及漏洞分布情况b. 根据漏洞进行配置调整与补丁安装情况341.5终端桌面安全防护系统（1）安全

12、事件分析安全管理员应每天分析终端桌面安全防护系统的安全事件。I ；安全事件分析内容：a. 高危险级别事件名称。b. 高危险级别事件发生时间。c. 高危险级别事件详细内容和发生原因。d. 发生高危险级别事件的主机信息。（2）终端桌面安全防护系统月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的桌面安全防护系统事件月报告桌面安全防护系统事件月报告根据桌面安全防护系统的相应查询功能和安全审计系统中桌面安全防护系统的相关日志分析结果填写。 终端桌面安全防护系统管理内容：a. 资产信息统计b. 安全事件总数，高危险级别事件数量，中危险级别事件数量。C.TOP10高危险级别事件。d. TOPIO

13、高危险级别IP地址.341.6安全审计系统 _ I.（1）安全事件分析一 J dJ屮 厂安全管理员应每天分析安全审计系统收集和处理的安全事件日志信 /息、。 - 安全事件分析内容：a. Wi ndows主机产生的高危险级别事件信息。I ；b. Wi ndows主机产生的高危险级别事件产生的时间。c. Wi ndows主机产生的高危险级别事件所属主机信息。d. UNIX主机产生的高危险级别事件信息。e. UNIX主机产生的高危险级别事件产生的时间。f. UNIX主机产生的高危险级别事件所属主机信息。g. 网络设备产生的高危险级别事件信息。h. 网络设备产生的高危险级别事件产生的时间。i. 网络设

14、备产生的高危险级别事件所属主机信息。11(2)安全审计系统月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的安全审计管理月报告。共包括如下四个报告：安全审计系统审计 源及日志统计、Windows主机事件报告统计、Unix主机事件报 告统计、网络设备事件报告统计。安全审计管理月报告根据安全审计系统收集的日志结果填写。安全审计管理内容：1、安全审计系统审计源及日志统计a. 日志源日志源数量统计I 歹 Ib. 日志分级数量统计2、Windows主机事件报告统计a. 产生事件总数，高危险级别数量。b. TOPIO高危险级别事件产生数量的IP地址3、Unix主机事件报告统计a. 产生事件总数，高危险级别数量。i | 丿7b. TOPIO高危险级别事件产生数量的IP地址4、网络设备事件报告统计a. 产生事件总数，高危险级别数量。b. TOP10高危险级别事件产生数量的IP地址3.4.2应急安全管理在发现安全系统出现x单位系统重大网络与信息安全事件报告制度中定义的重大安全事件时，按文件规定的流程进行处理和上报，如 果与相应的安全产品关联，应同时记录相关情况附件附件一：漏洞扫描申请报告漏洞扫描系统使用申请单位名称申请人审批人申请时间：- - 审批时间扫描地址范围13附件二：运行管理报告x单位系统网络信息安全防护体系单位运行管理报告运行管理报告单位名称填制人、安全产品故障统计月表安