1、3.1日常维护管理(1)安全管理员应每天进行安全设备巡检;(2)安全管理员必须对安全产品的策略进行备份保护,策略发生变更时,必须做好变更记录并进行备份更新;(3)定期备份与维护安全产品的系统日志和安全日志;(4)在总部发布安全产品升级通知后,及时进行产品升级;(5)安全产品的运行维护活动记入安全产品的维护工作日志。3.2故障管理安全管理员应每天在日常维护日志中,记录安全产品的运行状况或使用情况。在产品出现故障时,应及时与厂商联系解决问题,并记录故障现象与处理结果。安全管理员应按附件二要求如实填写本单位运行管理报告中的安全产品故障统计月表。安全产品故障统计月表根据日常维护记录中安全产品的故障情况
2、填写。产品类型包括:防火墙、入侵检测系统、防病毒系统、漏洞扫描系统、终端桌面安全防护系统和安全审计系统。内容包括:a. 故障总数b. 主要故障描述c. 处理结果3.3变更管理总部对网络与信息安全防护产品的配置位置和统配策略做了统一部署。为了保证安全防护体系的完整性和可控性,需要对网络信息安全防护体系中配置的安全产品进行变更管理。(1)总部统一配置的安全产品配置位置变更时必须经总部批准;(2)各级x单位单位负责本单位安全策略的制定,但总部统配安全策略的变更必须报总部批准。(3)对批准实施的变更情况存档并记入本单位运行管理报告中的变更情况说明,包括: 变更的安全设备名称、型号 变更原因 变更后的设
3、备配置拓扑 变更后的设备配置策略3.4安全管理3.4.1例行安全管理安全管理员必须每天分析安全产品的系统日志和安全日志,在发现安全事件时,应及时报告。以下各节描述对各类安全设备的例行安全管理活动。3.4.1.1防火墙(1)防火墙运行状态监测安全管理员应每天监测上下行防火墙和横向防火墙运行状态。监测的内容:a.系统负载(CPU状态)b.系统资源(内存状态)c.防火墙端口状态d.网络连接数(2)防火墙安全事件分析安全管理员应每天检查防火墙的安全日志,分析安全事件。安全事件分析内容:a. 攻击事件描述b. 攻击时间c. 攻击类型d. 攻击源IP和受攻击主机IPe. 阻断IP地址及相关端口(3)防火墙
4、安全事件月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的防火墙安全事件统计月表。防火墙安全事件统计月表根据防火墙日志分析结果填写。安全事件统计内容:a.各种攻击类型数量及百分比统计b.TOP 10攻击源IP与受攻击主机IP统计(4)防火墙阻断事件统计安全管理员应按附件二要求如实填写本单位运行管理报告中防火墙阻断事件报告统计表。防火墙阻断事件报告统计表根据安全审计系统中相应的防火墙日志分析结果填写。阻断事件统计内容:a. 阻断事件总数。b. TOP 10阻断IP地址。c.TOP 10 阻断端口。3.4.1.2入侵检测系统(1)安全事件分析安全管理员应每天分析入侵检测系统记录的安全事件
5、。(2)入侵检测系统安全事件月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的入侵检测系统安全事件统计月表。入侵检测系统安全事件统计月表根据入侵检测日志分析结果填写。a. TOP 10安全事件数量及百分比统计3.4.1.3 防病毒系统(1)防病毒系统运行管理监测安全管理员应进行防病毒系统运行管理监测。监测内容:a.防病毒软件升级信息b.周病毒审计c.周主机变化记录d.周策略维护(2)病毒事件周分析安全管理员应每周监测病毒事件a.病毒总量b.多发病毒统计c.多发病毒主机(3)病毒事件月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的病毒事件报告月表。病毒事件报告月表根据防病毒
6、系统日志分析结果填写。a. 病毒总量b. 多发病毒统计c. 多发病毒主机3.4.1.4漏洞扫描系统(1)漏洞扫描系统管理监控安全管理员要严格管理好漏洞扫描系统,未经领导批准,不得擅自使用。在使用漏洞扫描系统前应填写漏洞扫描系统使用申请(见附件一),获得领导批准后方能使用。申请内容:漏洞扫描系统的扫描地址范围。安全管理员在日常维护日志中记录使用漏洞扫描系统的情况。对发现的重要业务服务器的安全漏洞,必须在报告总部后,根据总部组织的专家咨询意见,获得领导批准后才能打补丁。(2)漏洞管理月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的漏洞管理月报告。漏洞管理报告根据漏洞扫描系统扫描数据分析
7、与处理结果填写。漏洞管理内容:a.主要应用系统的相关信息及漏洞分布情况b.根据漏洞进行配置调整与补丁安装情况3.4.1.5终端桌面安全防护系统安全管理员应每天分析终端桌面安全防护系统的安全事件。a. 高危险级别事件名称。b. 高危险级别事件发生时间。c. 高危险级别事件详细内容和发生原因。d. 发生高危险级别事件的主机信息。(2)终端桌面安全防护系统月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的桌面安全防护系统事件月报告。桌面安全防护系统事件月报告根据桌面安全防护系统的相应查询功能和安全审计系统中桌面安全防护系统的相关日志分析结果填写。终端桌面安全防护系统管理内容:a.资产信息统
8、计b. 安全事件总数,高危险级别事件数量,中危险级别事件数量。c.TOP 10 高危险级别事件。d.TOP 10 高危险级别IP地址.3.4.1.6安全审计系统安全管理员应每天分析安全审计系统收集和处理的安全事件日志信息。a. Windows主机产生的高危险级别事件信息。b.Windows主机产生的高危险级别事件产生的时间。c.Windows主机产生的高危险级别事件所属主机信息。d. UNIX主机产生的高危险级别事件信息。e.UNIX主机产生的高危险级别事件产生的时间。f.UNIX主机产生的高危险级别事件所属主机信息。g. 网络设备产生的高危险级别事件信息。h.网络设备产生的高危险级别事件产生
9、的时间。i.网络设备产生的高危险级别事件所属主机信息。(2)安全审计系统月统计安全管理员应按附件二要求如实填写本单位运行管理报告中的安全审计管理月报告。共包括如下四个报告:安全审计系统审计源及日志统计、Windows主机事件报告统计、Unix主机事件报告统计、网络设备事件报告统计。安全审计管理月报告根据安全审计系统收集的日志结果填写。安全审计管理内容:1、安全审计系统审计源及日志统计a.日志源日志源数量统计b.日志分级数量统计2、Windows主机事件报告统计a. 产生事件总数,高危险级别数量。b. TOP 10高危险级别事件产生数量的IP地址3、Unix主机事件报告统计4、网络设备事件报告统
10、计3.4.2应急安全管理在发现安全系统出现x单位系统重大网络与信息安全事件报告制度中定义的重大安全事件时,按文件规定的流程进行处理和上报,如果与相应的安全产品关联,应同时记录相关情况。附 件附件一:漏洞扫描申请报告漏洞扫描系统使用申请单位名称申请人审批人申请时间审批时间扫描地址范围附件二:运行管理报告x单位系统网络信息安全防护体系 单位运 行 管 理 报 告单位名称 填制人 一、安全产品故障统计月表安全产品故障统计表 产品名称故障总数(台/次)主要故障描述处理结果防火墙入侵检测系统防病毒系统漏洞扫描系统终端桌面安全防护系统安全审计系统二、安全事件与状态统计分析1防火墙安全事件统计月表防火墙安全
11、事件统计表填表人填表时间攻击类型数量百分比说明攻击TOP 10攻击源IPTOP 10攻击目标IP12345678910防火墙阻断事件报告统计表阻断事件报告内容阻断总量报告阻断事件总量阻断IP地址排行报告阻断IP排行IP地址阻断次数备注TOP1 TOP2 TOP3 TOP4 TOP5 TOP6 TOP7 TOP8 TOP9 TOP10 阻断端口排行报告阻断端口排行阻断端口号阻断数量2入侵检测系统安全事件统计月表入侵检测系统安全事件统计表TOP 10安全事件名称3病毒事件报告统计月表病毒事件报告统计表病毒事件报告内容月病毒总量报告月病毒总量多发病毒统计报告病毒名称TOP1病毒TOP2病毒TOP3病
12、毒TOP4病毒TOP5病毒TOP6病毒TOP7病毒TOP8病毒TOP9病毒TOP10病毒多发病毒主机报告主机IP地址TOP1地址TOP2地址TOP3地址TOP4地址TOP5地址TOP6地址TOP7地址TOP8地址TOP9地址TOP10地址4漏洞管理月统计表漏洞管理统计表服务器/主机类别内容处理情况网上申报业务(1)主机信息主机名:主机IP地址:操作系统:(2)用户信息系统用户个数:(3)服务信息端口信息数:(4)漏洞信息系统漏洞总数、风险等级高等级的漏洞比例 银联网业务 银联网数据库协查/稽核数据库协查应用漏洞信息稽核应用查询机数据库应用MQ服务器公文处理系统(OA)办公自动化文件服务办公自动
13、化应用服务5终端桌面安全防护系统统计月表桌面安全防护系统事件报告统计表系统设备设备总数应注册计算机已注册计算机注册率事件报告内容事件总量高危险数量中危险数量高危险级别事件排行事件名称高危险级别主机6安全审计系统统计月表安全审计系统审计源及日志统计报告报警信息内容审计源数量操作系统(Windows、Linux、UNIX)网络产品(交换机、路由器)安全产品(IDS、防火墙、防病毒、桌面防护系统)合计:报警事件非常危险事件比较危险事件一般危险事件低危险事件 合计:Windows主机事件报告统计事件总数高危险事件数量高危险事件所占比例高危险级别事件IP地址排行UNIX主机事件报告统计网络设备事件报告统计表7本单位安全系统风险分析与问题解决三、变更情况1、变更的安全设备名称2、变更原因3、变更后的设备配置拓扑4、变更后的设备配置策略四、需要反映的其他问题
