信息安全防护体系运行管理办法
第一章 总则
1.1目的
根据《x单位系统网络与信息安全总体方案》和《x单位系统网络与信息安全管理岗位及其职责》,为进一步规范x单位系统网络信息安全防护体系配置的安全产品的运行管理工作,提高x单位系统信息安全管理水平,保证安全产品的有效性,特制定本办法。
1.2 适用范围
《运行管理办法》适用于x单位总部、各省级局和地市级局对x单位系统网络信息安全防护体系统一部署的防火墙、入侵检测系统、防病毒系统和漏洞扫描系统、桌面安全防护系统、安全审计系统等安全产品的运行管理。
x单位总部、各省级局和地市级局对所配置的其它同类安全产品的运行管理参照本办法执行。
1.3管理职责
x单位总部负责总部网络中部署的安全产品的运行管理工作;并负责汇总各省级局上报的安全产品运行管理报告;分析安全风险和存在的安全隐患,形成报表,监督指导各省级局解决发现的安全问题。
各省级局负责本单位网络中部署的安全产品的运行管理工作;负责汇总各地市级局上报的安全产品运行管理报告,形成本省范围内的安全产品运行管理报告,当月报告在下月的10日前上报x单位总部;分析所辖区域内的安全风险和存在的安全隐患,监督指导下一级局解决发现的安全问题。
各省级局负责本单位网络中部署的安全产品的运行管理工作;形成安全产品运行管理报告,当月报告在下月的10日前上报x单位总部;分析安全风险和存在的安全隐患,解决发现的安全问题。
各地市级局负责本单位网络中部署的安全产品的运行管理工作;形成安全产品运行管理报告,当月报告在下月的5日前上报各省级局;分析所属网络中的安全风险和存在的安全隐患,解决发现的安全问题。
第二章 安全管理员职责
各级x单位机关必须按照《x单位系统网络与信息安全管理岗位及其职责》的规定,设置安全管理员岗位和具体的执行角色,负责安全产品的运行管理,根据各单位的具体情况,安全管理员岗位可以是安全管理员角色和安全审计员角色的组合,也可设置多个安全管理员岗位。
安全管理员在各x单位机关安全管理机构的领导下工作,负责管理x单位系统网络信息安全防护体系部署的安全产品,主要职责是:
(1)根据业务需求和网络安全威胁维护安全产品的安全策略,在必须修改策略时,经领导和上级主管部门批准后实施;
(2)负责安全产品的日常维护管理,认真记录维护日志;
(3)解决安全产品运行中出现的技术问题,及时排除故障;
(4)定期分析安全产品的系统日志和安全日志,检查设备工作状况,分析是否存在安全风险;
(5)发现重大安全问题或事件时,及时向领导报告,并按照应急预案进行应急处理;
(6)按照安全产品运行管理报告(见附件二)的内容要求,提交安全产品的运行管理报告。
第三章 安全产品的管理
3.1日常维护管理
(1)安全管理员应每天进行安全设备巡检;
(2)安全管理员必须对安全产品的策略进行备份保护,策略发生变更时,必须做好变更记录并进行备份更新;
(3)定期备份与维护安全产品的系统日志和安全日志;
(4)在总部发布安全产品升级通知后,及时进行产品升级;
(5)安全产品的运行维护活动记入安全产品的维护工作日志。
3.2故障管理
安全管理员应每天在日常维护日志中,记录安全产品的运行状况或使用情况。在产品出现故障时,应及时与厂商联系解决问题,并记录故障现象与处理结果。
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《安全产品故障统计月表》。
《安全产品故障统计月表》根据日常维护记录中安全产品的故障情况填写。
产品类型包括:防火墙、入侵检测系统、防病毒系统、漏洞扫描系统、终端桌面安全防护系统和安全审计系统。
内容包括:
a. 故障总数
b. 主要故障描述
c. 处理结果
3.3变更管理
总部对网络与信息安全防护产品的配置位置和统配策略做了统一部署。为了保证安全防护体系的完整性和可控性,需要对网络信息安全防护体系中配置的安全产品进行变更管理。
(1)总部统一配置的安全产品配置位置变更时必须经总部批准;
(2)各级x单位单位负责本单位安全策略的制定,但总部统配安全策略的变更必须报总部批准。
(3)对批准实施的变更情况存档并记入本单位《运行管理报告》中的变更情况说明,包括:
l 变更的安全设备名称、型号
l 变更原因
l 变更后的设备配置拓扑
l 变更后的设备配置策略
3.4安全管理
3.4.1例行安全管理
安全管理员必须每天分析安全产品的系统日志和安全日志,在发现安全事件时,应及时报告。
以下各节描述对各类安全设备的例行安全管理活动。
3.4.1.1防火墙
(1)防火墙运行状态监测
安全管理员应每天监测上下行防火墙和横向防火墙运行状态。
监测的内容:
a.系统负载(cpu状态)
b.系统资源(内存状态)
c.防火墙端口状态
d.网络连接数
(2)防火墙安全事件分析
安全管理员应每天检查防火墙的安全日志,分析安全事件。
安全事件分析内容:
a. 攻击事件描述
b. 攻击时间
c. 攻击类型
d. 攻击源ip和受攻击主机ip
e. 阻断ip地址及相关端口
(3)防火墙安全事件月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《防火墙安全事件统计月表》。
《防火墙安全事件统计月表》根据防火墙日志分析结果填写。
安全事件统计内容:
a.各种攻击类型数量及百分比统计
b.top 10攻击源ip与受攻击主机ip统计
(4)防火墙阻断事件统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中《防火墙阻断事件报告统计表》。
《防火墙阻断事件报告统计表》根据安全审计系统中相应的防火墙日志分析结果填写。
阻断事件统计内容:
a. 阻断事件总数。
b. top 10阻断ip地址。
c.top 10 阻断端口。
3.4.1.2入侵检测系统
(1)安全事件分析
安全管理员应每天分析入侵检测系统记录的安全事件。
安全事件分析内容:
a. 攻击事件描述
b. 攻击时间
c. 攻击类型
d. 攻击源ip和受攻击主机ip
(2)入侵检测系统安全事件月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《入侵检测系统安全事件统计月表》。
《入侵检测系统安全事件统计月表》根据入侵检测日志分析结果填写。
安全事件统计内容:
a. top 10安全事件数量及百分比统计
b.top 10攻击源ip与受攻击主机ip统计
3.4.1.3 防病毒系统
(1)防病毒系统运行管理监测
安全管理员应进行防病毒系统运行管理监测。
监测内容:
a.防病毒软件升级信息
b.周病毒审计
c.周主机变化记录
d.周策略维护
(2)病毒事件周分析
安全管理员应每周监测病毒事件
监测内容:
a.病毒总量
b.多发病毒统计
c.多发病毒主机
(3)病毒事件月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《病毒事件报告月表》。
《病毒事件报告月表》根据防病毒系统日志分析结果填写。
安全事件统计内容:
a. 病毒总量
b. 多发病毒统计
c. 多发病毒主机
3.4.1.4漏洞扫描系统
(1)漏洞扫描系统管理监控
安全管理员要严格管理好漏洞扫描系统,未经领导批准,不得擅自使用。
在使用漏洞扫描系统前应填写《漏洞扫描系统使用申请》(见附件一),获得领导批准后方能使用。
申请内容:漏洞扫描系统的扫描地址范围。
安全管理员在日常维护日志中记录使用漏洞扫描系统的情况。
对发现的重要业务服务器的安全漏洞,必须在报告总部后,根据总部组织的专家咨询意见,获得领导批准后才能打补丁。
(2)漏洞管理月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《漏洞管理月报告》。
《漏洞管理报告》根据漏洞扫描系统扫描数据分析与处理结果填写。
漏洞管理内容:
a.主要应用系统的相关信息及漏洞分布情况
b.根据漏洞进行配置调整与补丁安装情况
3.4.1.5终端桌面安全防护系统
(1)安全事件分析
安全管理员应每天分析终端桌面安全防护系统的安全事件。
安全事件分析内容:
a. 高危险级别事件名称。
b. 高危险级别事件发生时间。
c. 高危险级别事件详细内容和发生原因。
d. 发生高危险级别事件的主机信息。
(2)终端桌面安全防护系统月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《桌面安全防护系统事件月报告》。
《桌面安全防护系统事件月报告》根据桌面安全防护系统的相应查询功能和安全审计系统中桌面安全防护系统的相关日志分析结果填写。
终端桌面安全防护系统管理内容:
a.资产信息统计
b. 安全事件总数,高危险级别事件数量,中危险级别事件数量。
c.top 10 高危险级别事件。
d.top 10 高危险级别ip地址.
3.4.1.6安全审计系统
(1)安全事件分析
安全管理员应每天分析安全审计系统收集和处理的安全事件日志信息。
安全事件分析内容:
a. windows主机产生的高危险级别事件信息。
b.windows主机产生的高危险级别事件产生的时间。
c.windows主机产生的高危险级别事件所属主机信息。
d. unix主机产生的高危险级别事件信息。
e.unix主机产生的高危险级别事件产生的时间。
f.unix主机产生的高危险级别事件所属主机信息。
g. 网络设备产生的高危险级别事件信息。
h.网络设备产生的高危险级别事件产生的时间。
i.网络设备产生的高危险级别事件所属主机信息。
(2)安全审计系统月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《安全审计管理月报告》。共包括如下四个报告:《安全审计系统审计源及日志统计》、《windows主机事件报告统计》、《unix主机事件报告统计》、《网络设备事件报告统计》。
《安全审计管理月报告》根据安全审计系统收集的日志结果填写。
安全审计管理内容:
1、安全审计系统审计源及日志统计
a.日志源日志源数量统计
b.日志分级数量统计
2、windows主机事件报告统计
a. 产生事件总数,高危险级别数量。
b. top 10高危险级别事件产生数量的ip地址
3、unix主机事件报告统计
a. 产生事件总数,高危险级别数量。
b. top 10高危险级别事件产生数量的ip地址
4、网络设备事件报告统计
a. 产生事件总数,高危险级别数量。
b. top 10高危险级别事件产生数量的ip地址
3.4.2应急安全管理
在发现安全系统出现《x单位系统重大网络与信息安全事件报告制度》中定义的重大安全事件时,按文件规定的流程进行处理和上报,如果与相应的安全产品关联,应同时记录相关情况。