安全管理员日常维护规范文档格式.docx

安全管理员日常维护规范文档格式.docx

《安全管理员日常维护规范文档格式.docx》由会员分享，可在线阅读，更多相关《安全管理员日常维护规范文档格式.docx（18页珍藏版）》请在冰豆网上搜索。

V1.0

05月29日

初始化，建立文档框架

06月07日

文档审核

1目的4

2范围4

3内容4

4安全维护工作细则4

4.1维护安全设备的工作细则5

4.1.1防病毒日常维护细则5

4.1.2防火墙日常维护细则10

4.1.3VPN日常维护细则14

4.1.4安全评估日常维护细则15

4.2对主机系统的日常工作细则16

4.3对网络设备的日常工作细则17

4.4编写安全报告工作19

4.5安全加固文档的更新19

4.6对地市安全现状进行审计和评估20

1

目的

为规范EPSON的安全日常维护工作的计划和工作内容管理，明晰EPSONISD部门的技术人员日常在安全维护时的工作细则，加强对日常安全维护，促进安全维护规范化，特制定本文档。

2范围

本策略适用于EPSON拥有的、控制和管理的所有信息系统、数据和网络环境，适用于属于EPSON范围内的安全维护人员，包括ISD部门的技术负责人、安全管理员、系统管理员、网络管理员和数据库管理员。

3内容

用户系统安全维护管理工作中，日常安全维护工作细则是根据和遵循本岗位职责要求而制定的，运维人员必须认真遵循本岗位安全职责规定，然后遵照日常安全工作细则的规定进行安全管理和维护工作，并根据工作实际情况，制定并遵守相应的安全设备配置和实施细则和安全技术、安全事故的操作流程，做好安全维护管理工作。

4安全维护工作细则

系统一线和二线维护人员和安全管理员的日常维护工作总则：

1.负责用户与信息安全相关工作的具体实施和有关信息安全问题的处理；

2.根据用户的信息安全需求，定期提出用户的信息安全整改意见，上报信息安全管理机构；

3.根据信息安全事件的处理情况和对于用户信息安全检测的结果，定期编制用户的信息安全状况报告；

4.指导和监督系统管理员和普通用户的与安全相关的工作；

5.下面规定的与安全管理员相关的各项具体职责。

4.1维护安全设备的工作细则

EPSON当前的安全设备主要包括安全产品的维护（防病毒、防火墙、VPN、扫描软件、入侵监测、身份认证、SOC平台、Radware）,安全日常管理和审核工作。

我们针对当前EPSON的实际工作情况提供规范的日常维护工作细则。

4.1.1防病毒日常维护细则

1、工作名称：

检查升级趋势防病毒的病毒代码和杀毒引擎升级情况

工作内容：

负责检查趋势病毒防治产品的升级版本，包括软件本身以及病毒库的升级

工作范围：

省公司的病毒产品；

工作方法：

Ø

系统一线人员到TMCM服务器的数据库中生成报表，检查下载的升级杀毒引擎和病毒代码是否是最新的；

然后在EPSON安全周报中记录病毒码升级情况，在EPSON安全月报中记录杀毒引擎的升级情况；

通过TMCM服务器的数据库中生成报表检查防病毒客户端是否全部同步了最新的病毒代码和杀毒引擎；

然后在在EPSON安全周报中记录病毒代码升级情况，在EPSON安全月报中记录杀毒引擎的升级情况

负责人员：

系统一线人员负责

协作人员：

防病毒厂商协作

工作周期：

杀毒引擎建议每1月检查一次；

病毒代码建议每1周检查一次；

工作结果：

在《EPSON安全周报》中记录病毒码升级检查情况

在《EPSON安全月报》中记录杀毒引擎升级检查情况

参考文档：

《EPSON趋势产品（OSCE_SPNT_TMCM）维护手册》

2、工作名称：

重大病毒的发作之前发布病毒预警通知

根据防病毒产商和安全服务公司的通知，及时的了解重大的病毒发作情况和解决方法，同时马上采取应对措施，做好及时的防范。

获得重要病毒的预警通知，通知来源包括：

i．维护人员及时到防病毒厂商网站查看全球和国内重大病毒的报告通知；

ii．从趋势防病毒产商及时获得；

iii．从第三方安全服务公司的安全通告中获得

手工升级最新的病毒代码和杀毒引擎；

发布病毒通知，告知部门所有人员重大病毒的特征、感染方法和杀毒方法；

准备好杀毒的程序和工具；

一线人员需要每天到趋势防病毒厂商的网站查看最新的信息；

趋势防病毒厂商负责在重要病毒出现及时发送病毒通告；

第三方安全服务公司在重要病毒出现及时发送安全通告；

趋势防病毒厂商

第三方安全服务公司

工作成果：

防病毒安全通告：

及时发出病毒预警通知，发送对象：

地市安全管理员、省中心安全管理员

在《EPSON安全日报》中记录到趋势网站查询最新病毒通知；

3、工作名称：

接收用户的病毒报告

接受用户的计算机病毒报告，并进行相应的诊断。

通过电话、邮件、消息、网管系统等方式接收用户的病毒报警；

分析和记录备案，指导用户和系统管理员进行计算机病毒的清除和系统的恢复；

不定

计算机用户、系统管理员

值班日志中记录病毒告警和处理结果，如果是通过网管系统过来的话在事件处理中体现结果。

在当天的《EPSON安全日报》中进行统计，同时说明日志和事件处理单的编号。

《常见病毒处理方法》

4、工作名称：

定期对重要服务器进行全盘杀毒

定期对重要服务器（请填写重要服务器列表）启动全盘杀毒功能，对所有的硬盘中的文件进行一次完整的病毒检查。

在该服务器利用率最低的时候自动全盘杀毒程序；

设置自动杀毒时间原则为：

提供相同应用的服务器不能设置在同一个时间进行全盘杀毒；

选择应用服务器资源利用较低的时间段；

启动全盘杀毒时，最好对所有的文件进行全盘杀毒；

安全管理员负责检查结果，在每月的《EPSON安全月报》中服务器杀毒情况报告中说明；

每月一次

负责人员:

相关系统维护人员

协助人员

系统一线人员（确定服务器防病毒的杀毒引擎和病毒代码已经是最新的版本

在《EPSON安全月报》中记录

《EPSON趋势防病毒ServerProtect维护手册》

《EPSON趋势防病毒officescan6.5维护手册》

5、工作名称：

服务器防病毒软件运行情况检查

工作内容：

对于省公司所有的服务器进行防病毒软件运行情况检查，包括引擎运行、病毒码和引擎升级情况、连接情况、病毒感染情况。

工作方法：

直接登入到省公司服务器（包括Serverprotect和OfficeScan的服务器）上进行检查；

检查内容为引擎运行、病毒码和引擎升级情况、连接情况、病毒感染情况；

如果发现存在非正常现象，及时进行处理和记录，联系系统管理员同时发送防病毒软件的事件处理单。

每天一次

系统一线人员

协作人员：

服务器相关维护人员

工作结果

在《EPSON安全日报》上记录

6、工作名称：

负责所管理计算机的趋势防病毒产品的安装

对新购置、借入的计算机（服务器）在上线之前及时安装统一的趋势防病毒软件

对新购置、借入的计算机在上线之前及时安装统一的防病毒软件；

（系统管理员）

进行计算机病毒的检测和清除，如果检测到病毒，将检测和清除的结果报安全管理员进行备案。

（系统管理员负责、安全管理员协调）

系统管理员

无

在《设备安全入网确认单》上予以签字确认

4.1.2防火墙日常维护细则

防火墙运行状况检查

查看防火墙的CPU使用率、内存使用率等参数

在CheckpointSmartConsole对于防火墙设备的状态参数进行实时监控，主要包括CPU使用率、内存使用率、连接数等状态信息，通过与正常值进行比较，查看有无异常情况，通告相关安全管理人员进行处理（具体阀值设置参看Smartconsole的阀值配置）

全天实时监控报警情况

填写到《EPSON安全日报》防火墙的性能监控记录表中

每日实时

填写到《EPSON安全日报》

《EPSONNOKIA防火墙维护手册.doc》

防火墙配置文件备份

备份安全设备的配置文件

各厂商提供的配置方式可能不同，一种是通过Web或管理端对配置进行备份，另一种是通过命令行形式进行备份。

注意事项：

（1）、保存的配置文件，建议其文件名包含保存的日期、设备名称或IP、保存人员。

如：

2004.08.01-192.168.0.1-liushuang.txt

（2）、保存的配置文件建议加密进行保存，并对该文件的访问应进行控制。

（3）、策略配置应符合最小权限控制原则、公司安全策略。

（4）在〈EPSON安全月报〉填写防火墙策略备份工作

《EPSON安全月报》

《EPSONNOKIA防火墙维护手册.doc》

《EPSONPIX&

FWSM维护手册.doc》

防火墙策略检查

安全管理员定期对防火墙（全网防火墙）的策略进行检查，确保防火墙的策略符合用户要求。

安全管理员根据防火墙自上到下的原则对策略的有效性进行检查；

（建议检查方法：

根据原有的〈防火墙策略登记表〉中，检查防火墙策略的一致性；

检查方法根据原有的防火墙的策略配置备案记录；

查看当前策略与备案策略之间的区别；

发现策略有变化，及时询问防火墙的维护人员，策略变更的原因；

更新最新的防火墙策略备案文档；

）

安全管理员根据最小访问控制原则对策略进行检查；

检查《系统更新流程》中的确认单是否允许防火墙的修改；

在《防火墙策略登记表》中填写新的策略表；

在《EPSON安全月报》中说明策略更新情况；

安全管理员负责

《EPSON防火墙策略表》

〈EPSONNOKIA防火墙维护手册.doc〉

〈EPSONPIX&

FWSM维护手册.doc〉

防火墙日志不定期审计

在网络出现故障或者出现黑客攻击事件时，对防火墙日志不定期进行审计。

开启防火墙的设备和关键策略的日志功能，查看防火墙的设备日志、关键策略的通过与拒绝数据包记录，从而获得防火墙设备本身的异常情况和网络中的异常流量。

只应对防火墙的关键策略开启日志功能，而不应该对所有的策略开启日志功能。

通过日志分析软件和专家经验对日志进行审计，为网络故障事件进行分析，确定出现了哪些问题，对哪些系统造成了影响；

通过日志分析软件和专家经验对日志进行审计，对网络攻击事件进行分析，寻找攻击源，及早恢复正常运行；

同时在安全管理平台上分析被攻击的主机在SOC上要配置报警的显示。

不定期

安全审计员

在出现问题当天《EPSON安全日报》

在出现问题本周《EPSON安全周报》

在事件处理结果单中记录分析结果

〈EPSON安全运行中心（soc）维护手册.doc〉

防火墙OS升级

当防火墙的OS不能满足当前的性能和安全要求或者存在一些影响到使用的BUG时，对防火墙的OS进行升级。

安全管理员或集成商、厂商采用FTP及Web方式对防火墙OS进行升级。

在升级之前，需向上级领导申请，并向相关管理员进行通告，保证业务的正常运行；

根据防火墙的版本更新情况和版本升级的迫切程度

防火墙厂商或集成商

根据《系统变更流程》在工作任务单中记录升级

在升级当天《EPSON安全日报》中说明

4.1.3VPN日常维护细则

VPN策略和用户通道审计（安全管理员负责）

安全管理员定期对VPN策略进行检查，保证策略的有效性、符合性。

对VPN用户帐号的有效性和权限进行检查

对VPN的安全通道进行有效性检查

安全管理员根据VPN自上到下的原则对VPN策略的有效性进行检查；

安全管理员对策略进行检查，防止VPN策略违反用户整体安全策略；

安全管理员检查用户组人员有没有变化、目标范围有没有增大；

普通用户检查是否使用RSA；

安全管理员针对当前使用VPN的用户进行检查是否存在在2个月内没有使用过VPN的，这些用户暂时删除；

安全管理员根据VPN用户登记单，看是否存在VPN中存在的用户但是在VPN使用登记单中没有，如果发现在记录单中没有记录，管理员启动事件处理单，进入事件处理流程；

《EPSONVPN策略审计确认单》

在《EPSON安全月报》中说明

《EPSONPIX&

4.1.4安全评估日常维护细则

设计评估对象和扫描内容

针对安氏公司的评估工作，提出相关的评估对象、评估的方法和评估的层次。

在安氏周期性扫描工作前，提供需要扫描的对象列表；

提出需要采用的扫描工具和扫描策略；

提出需要进行评估的手段和方法；

每季度

安氏安全工程师

需要系统管理员、网络管理员、数据库管理员配合；

安氏人员配合

评估对象列表

确认评估手段和方法

评估需求建议

评估报告

《安全评估方法规范》

检查评估报告

对安氏安全评估的结果报告进行检查

检查评估对象是否都进行了评估；

评估的手段是否达到要求；

发现的漏洞的真实性有没有得到验证；

评估报告有没有提出合理的解决方案；

每次安氏评估完成；

系统管理员、网络管理员和数据库管理员。

分析扫描工具结果表单，分析人工评估和其他评估手段生成扫描报告分析建议书。

《安全评估技术规范》

4.2对主机系统的日常工作细则

定期查看信息安全站点的安全公告

跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范。

定期到相应的主机服务器的网站查看最新的漏洞发布情况；

定期到安全咨询公司的网站查看当前最新的漏洞公布情况；

（安全管理员）

定期到安全厂商的网站查看当前最新的漏洞公布情况；

定期到国际和国内著名的安全信息网站（CERT、SecurityFocus）等查看公布的最新的漏洞情况；

（安全管理员负责）

把相关的漏洞登记到漏洞信息库中；

每星期一次，如果漏洞爆发频率较高时期建议每3天1次；

安全咨询公司；

《安全漏洞信息库》

windows系统补丁检查工作内容

定期检查Windows服务器不定升级的情况

维护的服务器；

系统一线人员到SMS服务器或者SUS服务器上检查Windows服务器的当前不定是否升级到最新的；

然后在EPSON安全周报中记录升级情况；

如果发现补丁程序没有升到最新的版本，通过SMS服务器或者SUS服务器把补丁程序推给没有升级的服务器；

建议每1周检查一次；

在《EPSON安全周报》中记录升级检查情况

《EPSONSMS维护手册》

4.3对网络设备的日常工作细则

1、工作名称：

定期分析网络设备日志

每两周对日志做一次全面的分析，对登录的用户、登录时间、所做的配置和操作进行检查，在分析有异常的现象时及时向网络管理员进行核实并采取相应的措施；

针对核心的网络设备和命令，采用抽查方式检查-抽查登入信息10条和命令10个

如果日志服务器存放在服务器本地定期检查日志文件的大小；

使用有效的商业软件，根据筛选要求检查日志文件；

发现存在安全性问题，马上启动相关的事故处理流程；

建议网络设备的日志检查每两周作一次；

安全管理员

《网络设备日志审核报告》

定期查看信息安全站点的安全公告（安全管理员负责）

跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导网络管理员进行安全防范。

定期到相应的网络设备的网站查看最新的漏洞发布情况；

检查所有的网络设备是否存在所公布的漏洞；

每月一次；

网络管理员；

《安全漏洞信息库》

4.4编写安全报告工作

编写要求的安全报告

系统一线人员和安全管理员需要编写相应的安全报告文档。

根据报告模版需要每天完成《EPSON安全工作日报》；

根据报告模版需要每周五完成《EPSON安全工作周报》；

根据报告模版需要每月最后一天完成《EPSON安全工作日报》；

根据报告模版需要每季度最后一天完成《EPSON安全工作季报》；

日报是每天；

周报是每周；

月报是每月；

季报是每季度；

《EPSON安全工作日报》；

《EPSON安全工作周报》；

《EPSON安全工作月报》；

《EPSON安全工作季报》；

4.5安全加固文档的更新

对管辖的设备的加固手册进行更新

安全管理员需要根据实际情况更新相应的安全加固手册。

根据安全咨询公司和厂商定期提供的安全通告，分析在管辖设备中是否存在相应的漏洞；

分析漏洞是否能够在设备中造成威胁，可以让安全咨询公司提供支持；

进行加固可行性测试；

更新加固手册；

具体方法可以参考《EPSON安全加固维护流程》

《EPSON安全工作月报》中填写安全通告分析结果；

更新相关的安全加固手册；

《EPSON安全加固维护流程》

《安全通告》

相关的安全加固手册

4.6对地市安全现状进行审计和评估

对地市的安全提交的安全现状周报和月报进行检查和审核

安全管理员需要对于地市的病毒情况、入侵情况、安全事件处理情况的周报、月报和事件处理单进行检查和审核，同时进行整体统计。

每周五和每月底让地市的管理员提交相应的周报、月报和安全事件处理单；

分析和统计报告中出现的病毒情况、入侵情况、安全事故情况；

对地市的严重的安全事件的处理结果进行确认；

把地市的相关内容和统计结果，写到安全周报和月报中；

注：

对于地市的安全事故的报警通告和事故处理，参见《EPSON安全事件处理流程》

周报检查每周一次；

月报检查每月一次，进行考核评分；

《EPSON安全工作周报》中填写地市统计结果；

《EPSON安全工作月报》中填写地市统计结果；