信息安全防护体系运行管理办法

1、* 系统网络信息安全防护体系运行管理办法（初稿 -参考资料）二OO九年二月第一章总贝y1.1目的1.2 适用范围1.3管理职责第二章安全管理员职责第三章安全产品的管理3.1日常维护管理3.2故障管理3.3变更管理3.4安全管理3.4.1例行安全管理3.4.2应急安全管理附件附件一：漏洞扫描申请报告 附件二：运行管理报告 第一章 总则1.1 目的根据X单位系统网络与信息安全总体方案和X单位系统网络与 信息安全管理岗位及其职责，为进一步规范 X单位系统网络信息安全 防护体系配置的安全产品的运行管理工作，提高 X单位系统信息安全管 理水平，保证安全产品的有效性，特制定本办法。1.2 适用范围运行管理

2、办法适用于X单位总部、各省级局和地市级局对X单位 系统网络信息安全防护体系统一部署的防火墙、入侵检测系统、防病 毒系统和漏洞扫描系统、桌面安全防护系统、安全审计系统等安全产 品的运行管理。X 单位总部、各省级局和地市级局对所配置的其它同类安全产品的 运行管理参照本办法执行。1.3 管理职责X单位总部负责总部网络中部署的安全产品的运行管理工作；并负 责汇总各省级局上报的安全产品运行管理报告；分析安全风险和存在 的安全隐患，形成报表，监督指导各省级局解决发现的安全问题。各省级局负责本单位网络中部署的安全产品的运行管理工作；负责汇总各地市级局上报的安全产品运行管理报告，形成本省范围内的安全产品运行管

3、理报告，当月报告在下月的10日前上报x单位总部；分 析所辖区域内的安全风险和存在的安全隐患，监督指导下一级局解决 发现的安全问题。各省级局负责本单位网络中部署的安全产品的运行管理工作；形 成安全产品运行管理报告，当月报告在下月的 10日前上报x单位总部； 分析安全风险和存在的安全隐患，解决发现的安全问题。各地市级局负责本单位网络中部署的安全产品的运行管理工作； 形成安全产品运行管理报告，当月报告在下月的 5日前上报各省级局； 分析所属网络中的安全风险和存在的安全隐患，解决发现的安全问 题。第二章 安全管理员职责各级X单位机关必须按照x单位系统网络与信息安全管理岗位及其职责的规定，设置安全管理员

4、岗位和具体的执行角色，负责安全产品的运行管理，根据各单位的具体情况，安全管理员岗位可以是安全管 理员角色和安全审计员角色的组合，也可设置多个安全管理员岗位。安全管理员在各X单位机关安全管理机构的领导下工作，负责管理X单位系统网络信息安全防护体系部署的安全产品，主要职责是：（1 ）根据业务需求和网络安全威胁维护安全产品的安全策略，在 必须修改策略时，经领导和上级主管部门批准后实施；（2）负责安全产品的日常维护管理，认真记录维护日志；（3）解决安全产品运行中出现的技术问题，及时排除故障；（4）定期分析安全产品的系统日志和安全日志，检查设备工作状 况，分析是否存在安全风险；（5）发现重大安全问题或事

5、件时，及时向领导报告，并按照应急 预案进行应急处理；（6）按照安全产品运行管理报告（见附件二）的内容要求，提交 安全产品的运行管理报告。第三章 安全产品的管理3.1 日常维护管理（1）安全管理员应每天进行安全设备巡检；（2）安全管理员必须对安全产品的策略进行备份保护，策略发生变更 时，必须做好变更记录并进行备份更新；（3）定期备份与维护安全产品的系统日志和安全日志；（4）在总部发布安全产品升级通知后，及时进行产品升级；（5）安全产品的运行维护活动记入安全产品的维护工作日志。3.2 故障管理安全管理员应每天在日常维护日志中，记录安全产品的运行状况 或使用情况。在产品出现故障时，应及时与厂商联系解

6、决问题，并记 录故障现象与处理结果。安全管理员应按附件二要求如实填写本单位 运行管理报告 中的 安全产品故障统计月表。安全产品故障统计月表根据日常维护记录中安全产品的故障情 况填写。产品类型包括：防火墙、入侵检测系统、防病毒系统、漏洞扫描系 统、终端桌面安全防护系统和安全审计系统。内容包括：a. 故障总数b. 主要故障描述c. 处理结果3.3 变更管理总部对网络与信息安全防护产品的配置位置和统配策略做了统一 部署。为了保证安全防护体系的完整性和可控性，需要对网络信息安 全防护体系中配置的安全产品进行变更管理。（1）总部统一配置的安全产品配置位置变更时必须经总部批准； （ 2）各级 x 单位单位

7、负责本单位安全策略的制定，但总部统配安全策 略的变更必须报总部批准。（3）对批准实施的变更情况存档并记入本单位运行管理报告中的 变更情况说明，包括：变更的安全设备名称、型号 变更原因变更后的设备配置拓扑 变更后的设备配置策略3.4 安全管理3.4.1 例行安全管理安全管理员必须每天分析安全产品的系统日志和安全日志，在发 现安全事件时，应及时报告。以下各节描述对各类安全设备的例行安全管理活动。3.4.1.1 防火墙（1）防火墙运行状态监测 安全管理员应每天监测上下行防火墙和横向防火墙运行状态。 监测的内容：a. 系统负载（ CPU 状态）b. 系统资源（内存状态）c. 防火墙端口状态d. 网络连

8、接数（ 2）防火墙安全事件分析 安全管理员应每天检查防火墙的安全日志，分析安全事件。 安全事件分析内容：a. 攻击事件描述b. 攻击时间c. 攻击类型d. 攻击源 IP 和受攻击主机 IPe. 阻断 IP 地址及相关端口（3）防火墙安全事件月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的 防火墙安全事件统计月表。防火墙安全事件统计月表根据防火墙日志分析结果填写。 安全事件统计内容：a. 各种攻击类型数量及百分比统计b. TOP 10 攻击源 IP 与受攻击主机 IP 统计（4）防火墙阻断事件统计 安全管理员应按附件二要求如实填写本单位 运行管理报告 中防 火墙阻断事件报告统计表。防

9、火墙阻断事件报告统计表根据安全审计系统中相应的防火墙 日志分析结果填写。阻断事件统计内容：a. 阻断事件总数。b. TOP 10 阻断 IP 地址。c. TOP 10 阻断端口。3.4.1.2 入侵检测系统（1）安全事件分析 安全管理员应每天分析入侵检测系统记录的安全事件。安全事件分析内容：a. 攻击事件描述b. 攻击时间c. 攻击类型d. 攻击源 IP 和受攻击主机 IP（2）入侵检测系统安全事件月统计 安全管理员应按附件二要求如实填写本单位 运行管理报告 中的 入侵检测系统安全事件统计月表。入侵检测系统安全事件统计月表根据入侵检测日志分析结果 填写。安全事件统计内容：a. TOP 10 安

10、全事件数量及百分比统计b. TOP 10 攻击源 IP 与受攻击主机 IP 统计3.4.1.3 防病毒系统（1）防病毒系统运行管理监测 安全管理员应进行防病毒系统运行管理监测。 监测内容：a. 防病毒软件升级信息b. 周病毒审计c. 周主机变化记录d. 周策略维护（2）病毒事件周分析安全管理员应每周监测病毒事件监测内容：a. 病毒总量b. 多发病毒统计c. 多发病毒主机（3）病毒事件月统计安全管理员应按附件二要求如实填写本单位 运行管理报告 中的 病毒事件报告月表。病毒事件报告月表根据防病毒系统日志分析结果填写。 安全事件统计内容：a. 病毒总量b. 多发病毒统计c. 多发病毒主机3.4.1.

11、4 漏洞扫描系统（1）漏洞扫描系统管理监控 安全管理员要严格管理好漏洞扫描系统，未经领导批准，不得擅自使用在使用漏洞扫描系统前应填写漏洞扫描系统使用申请（见附件 一），获得领导批准后方能使用。申请内容：漏洞扫描系统的扫描地址范围。安全管理员在日常维护日志中记录使用漏洞扫描系统的情况。对发现的重要业务服务器的安全漏洞，必须在报告总部后，根据总 部组织的专家咨询意见，获得领导批准后才能打补丁。（2）漏洞管理月统计安全管理员应按附件二要求如实填写本单位 运行管理报告 中的 漏洞管理月报告。漏洞管理报告根据漏洞扫描系统扫描数据分析与处理结果填 写。漏洞管理内容：a. 主要应用系统的相关信息及漏洞分布情

12、况b. 根据漏洞进行配置调整与补丁安装情况3.4.1.5 终端桌面安全防护系统（1）安全事件分析 安全管理员应每天分析终端桌面安全防护系统的安全事件。安全事件分析内容：a. 高危险级别事件名称。b. 高危险级别事件发生时间。c. 高危险级别事件详细内容和发生原因。d. 发生高危险级别事件的主机信息。（2）终端桌面安全防护系统月统计 安全管理员应按附件二要求如实填写本单位 运行管理报告 中的 桌面安全防护系统事件月报告。桌面安全防护系统事件月报告根据桌面安全防护系统的相应 查询功能和安全审计系统中桌面安全防护系统的相关日志分析结果填 写。终端桌面安全防护系统管理内容：a. 资产信息统计b. 安全

13、事件总数，高危险级别事件数量，中危险级别事件数量。c. TOP 10 高危险级别事件。d. TOP 10 高危险级别 IP 地址.3.4.1.6 安全审计系统（1）安全事件分析安全管理员应每天分析安全审计系统收集和处理的安全事件日志信 息。安全事件分析内容：a. Windows 主机产生的高危险级别事件信息。b. Windows 主机产生的高危险级别事件产生的时间。c. Windows 主机产生的高危险级别事件所属主机信息。d. UNIX 主机产生的高危险级别事件信息e. UNIX 主机产生的高危险级别事件产生的时间f. UNIX 主机产生的高危险级别事件所属主机信息。g. 网络设备产生的高危

14、险级别事件信息。h. 网络设备产生的高危险级别事件产生的时间。i. 网络设备产生的高危险级别事件所属主机信息。（2）安全审计系统月统计 安全管理员应按附件二要求如实填写本单位 运行管理报告 中的安全审计管理月报告 。共包括如下四个报告： 安全审计系统审计 源及日志统计、 Windows 主机事件报告统计、 Unix 主机事件 报告统计、网络设备事件报告统计。安全审计管理月报告根据安全审计系统收集的日志结果填 写。安全审计管理内容：1、安全审计系统审计源及日志统计a. 日志源日志源数量统计b. 日志分级数量统计2、Windows 主机事件报告统计a. 产生事件总数，高危险级别数量。b. TOP

15、10 高危险级别事件产生数量的 IP 地址3、Unix 主机事件报告统计a. 产生事件总数，高危险级别数量。b. TOP 10 高危险级别事件产生数量的 IP 地址4、网络设备事件报告统计a. 产生事件总数，高危险级别数量。b. TOP 10高危险级别事件产生数量的IP地址3.4.2应急安全管理在发现安全系统出现x单位系统重大网络与信息安全事件报告制度中定义的重大安全事件时，按文件规定的流程进行处理和上报， 如果与相应的安全产品关联，应同时记录相关情况。附件附件一：漏洞扫描申请报告漏洞扫描系统使用申请单位名称申请人审批人申请时间审批时间扫描地址范围附件二：运行管理报告x单位系统网络信息安全防护

16、体系单位运行管理报告运行管理报告单位名称 填制人、安全产品故障统计月表安全产品故障统计表产品名称故障总数（台/次）主要故障描述处理结果防火墙入侵检测系统防病毒系统漏洞扫描系统终端桌面安全防护系统安全审计系统二、安全事件与状态统计分析1.防火墙安全事件统计月表防火墙安全事件统计表单位名称填表人审批人填表时间审批时间攻击类型数量百分比说明攻击T0P 10攻击源IPT0P 10攻击目标IP12345678910防火墙阻断事件报告统计表单位名称填表人审批人填表时间审批时间阻断事件报告内容阻断总量报告阻断事件总量阻断IP排行IP地址阻断次数备注T0P1T0P2阻断IP地址排行报告T0P3T0P4T0P5

17、T0P7T0P8T0P9TOP10阻断端口排行报告阻断端口排行阻断端口号阻断数量备注T0P1T0P2T0P3T0P4T0P5T0P6T0P7T0P8T0P9T0P102.入侵检测系统安全事件统计月表入侵检测系统安全事件统计表单位名称填表人审批人填表时间审批时间T0P 10安全事件名称数量百分比说明12345678910TOP 10攻击源IPTOP 10攻击目标IP123456789103 .病毒事件报告统计月表病毒事件报告统计表单位名称填表人审批人填表时间审批时间病毒事件报告内容月病毒总量报告月病毒总量多发病毒统计报告病毒名称数量备注T0P1病毒T0P2病毒T0P3 病毒T0P4病毒T0P5

18、病毒T0P6病毒T0P7病毒T0P8病毒T0P9病毒T0P10病毒多发病毒主机报告主机IP地址T0P1地址T0P2地址T0P3地址T0P4地址T0P5地址T0P6地址T0P7地址T0P8地址T0P9地址TOP10地址4. 漏洞管理月统计表漏洞管理统计表单位名称申请人审批人申请时间审批时间服务器/主机类别内容处理情况网上申报业务（1）主机信息主机名：主机IP地址：操作系统：（2）用户信息系统用户个数：（3）服务信息端口信息数：（4）漏洞信息系统漏洞总数、风险等级高等级的漏洞比例银联网业务银联网数据库协查/稽核数据库协查应用漏洞信息系统漏洞总数、风险等级高等级的漏洞比例稽核应用查询机数据库应用MQ服务器公文处理系统（OA）漏洞信息系统漏洞总数、风险等级办公自动化文件服务办公自动化应用服务高等级的漏洞比例5. 终端桌面安全防护系统统计月表桌面安全防护系统事件报告统计表单位名称填表人审批人填表时间审批时间系统设备设备总数应注册计算机已注册计算机注册率事件报告内容事件总量咼危险数量中危险数量高危险级别事件排行事件名称数量备注T0P1T0P2T0P3T0P4T0P5T0P6T0P7T0P8T0P9TOP10咼危险级别主机报告主机IP地址备注T0P1地址T0P2地址T0P3地址T0P4地址T