安全管理员日常维护规范.docx

1、安全管理员日常维护规范密 级： 文档编号：项目代号： 安全管理员日常维护规范V 1.0保密申明 这份说明书涉及到的商业机密的信息。接受这份说明书表示同意对其内容保密，未经书面请求并得到的书面认可，不得复制，泄露或散布这份说明书。如果你不是有意接受者，请注意对这份说明书内容的任何形式的泄露、复制或散布都有可能引起法律纠纷。文档控制属性内容客户名称:项目名称:项目编号:文档主题:安全管理员日常维护规范文档副标题:拟制:周发桂审核:金海批准:标准化:金海读者:、版本控制版本提交日期相关组织和人员版本描述V1.005月29日、初始化，建立文档框架V1.006月07日金海文档审核1 目的 42 范围 4

2、3 内容 44 安全维护工作细则 44.1 维护安全设备的工作细则 54.1.1 防病毒日常维护细则 54.1.2 防火墙日常维护细则 104.1.3 日常维护细则 144.1.4 安全评估日常维护细则 154.2对主机系统的日常工作细则 164.3 对网络设备的日常工作细则 174.4 编写安全报告工作 194.5 安全加固文档的更新 194.6 对地市安全现状进行审计和评估 201 目的为规范的安全日常维护工作的计划和工作内容管理，明晰 部门的技术人员日常在安全维护时的工作细则，加强对日常安全维护，促进安全维护规范化，特制定本文档。2 范围本策略适用于拥有的、控制和管理的所有信息系统、数据

3、和网络环境，适用于属于范围内的安全维护人员，包括部门的技术负责人、安全管理员、系统管理员、网络管理员和数据库管理员。3 内容用户系统安全维护管理工作中，日常安全维护工作细则是根据和遵循本岗位职责要求而制定的，运维人员必须认真遵循本岗位安全职责规定，然后遵照日常安全工作细则的规定进行安全管理和维护工作，并根据工作实际情况，制定并遵守相应的安全设备配置和实施细则和安全技术、安全事故的操作流程，做好安全维护管理工作。4 安全维护工作细则系统一线和二线维护人员和安全管理员的日常维护工作总则：1. 负责用户与信息安全相关工作的具体实施和有关信息安全问题的处理；2. 根据用户的信息安全需求，定期提出用户的

4、信息安全整改意见，上报信息安全管理机构；3. 根据信息安全事件的处理情况和对于用户信息安全检测的结果， 定期编制用户的信息安全状况报告；4. 指导和监督系统管理员和普通用户的与安全相关的工作；5. 下面规定的与安全管理员相关的各项具体职责。4.1 维护安全设备的工作细则当前的安全设备主要包括安全产品的维护（防病毒、防火墙、扫描软件、入侵监测、身份认证、平台、）,安全日常管理和审核工作。我们针对当前的实际工作情况提供规范的日常维护工作细则。4.1.1 防病毒日常维护细则1、 工作名称：检查升级趋势防病毒的病毒代码和杀毒引擎升级情况工作内容：负责检查趋势病毒防治产品的升级版本，包括软件本身以及病毒

5、库的升级工作范围：省公司的病毒产品；工作方法： 系统一线人员到服务器的数据库中生成报表，检查下载的升级杀毒引擎和病毒代码是否是最新的；然后在安全周报中记录病毒码升级情况，在安全月报中记录杀毒引擎的升级情况； 通过服务器的数据库中生成报表检查防病毒客户端是否全部同步了最新的病毒代码和杀毒引擎；然后在在安全周报中记录病毒代码升级情况，在安全月报中记录杀毒引擎的升级情况负责人员：系统一线人员负责 协作人员：防病毒厂商协作工作周期： 杀毒引擎建议每1月检查一次； 病毒代码建议每1周检查一次； 工作结果：在安全周报中记录病毒码升级检查情况在安全月报中记录杀毒引擎升级检查情况参考文档：趋势产品()维护手册

6、2、 工作名称：重大病毒的发作之前发布病毒预警通知工作内容：根据防病毒产商和安全服务公司的通知，及时的了解重大的病毒发作情况和解决方法，同时马上采取应对措施，做好及时的防范。工作方法： 获得重要病毒的预警通知，通知来源包括：i 维护人员及时到防病毒厂商网站查看全球和国内重大病毒的报告通知；ii 从趋势防病毒产商及时获得；iii 从第三方安全服务公司的安全通告中获得 手工升级最新的病毒代码和杀毒引擎； 发布病毒通知，告知部门所有人员重大病毒的特征、感染方法和杀毒方法； 准备好杀毒的程序和工具；工作周期： 一线人员需要每天到趋势防病毒厂商的网站查看最新的信息； 趋势防病毒厂商负责在重要病毒出现及时

7、发送病毒通告； 第三方安全服务公司在重要病毒出现及时发送安全通告；负责人员：系统一线人员负责 协作人员： 趋势防病毒厂商 第三方安全服务公司工作成果： 防病毒安全通告：及时发出病毒预警通知，发送对象：地市安全管理员、省中心安全管理员 在安全日报中记录到趋势网站查询最新病毒通知；参考文档：3、 工作名称：接收用户的病毒报告工作内容：接受用户的计算机病毒报告，并进行相应的诊断。工作方法： 通过电话、邮件、消息、网管系统等方式接收用户的病毒报警； 分析和记录备案，指导用户和系统管理员进行计算机病毒的清除和系统的恢复；工作周期：不定负责人员：系统一线人员负责 协作人员：计算机用户、系统管理员工作结果：

8、 值班日志中记录病毒告警和处理结果，如果是通过网管系统过来的话在事件处理中体现结果。 在当天的安全日报中进行统计，同时说明日志和事件处理单的编号。参考文档：常见病毒处理方法4、 工作名称：定期对重要服务器进行全盘杀毒工作内容：定期对重要服务器（请填写重要服务器列表）启动全盘杀毒功能，对所有的硬盘中的文件进行一次完整的病毒检查。工作方法： 在该服务器利用率最低的时候自动全盘杀毒程序； 设置自动杀毒时间原则为：提供相同应用的服务器不能设置在同一个时间进行全盘杀毒；选择应用服务器资源利用较低的时间段； 启动全盘杀毒时，最好对所有的文件进行全盘杀毒； 安全管理员负责检查结果，在每月的安全月报中服务器杀

9、毒情况报告中说明； 工作周期：每月一次负责人员: 相关系统维护人员协助人员系统一线人员（确定服务器防病毒的杀毒引擎和病毒代码已经是最新的版本工作结果：在安全月报中记录参考文档： 趋势产品()维护手册 趋势防病毒 维护手册 趋势防病毒 6.5维护手册5、工作名称：服务器防病毒软件运行情况检查 工作内容：对于省公司所有的服务器进行防病毒软件运行情况检查，包括引擎运行、病毒码和引擎升级情况、连接情况、病毒感染情况。 工作方法： 直接登入到省公司服务器（包括 和 的服务器）上进行检查； 检查内容为引擎运行、病毒码和引擎升级情况、连接情况、病毒感染情况； 如果发现存在非正常现象，及时进行处理和记录，联系

10、系统管理员同时发送防病毒软件的事件处理单。工作周期：每天一次负责人员：系统一线人员协作人员：服务器相关维护人员工作结果在安全日报上记录参考文档： 趋势防病毒 维护手册 趋势防病毒 6.5维护手册6、工作名称：负责所管理计算机的趋势防病毒产品的安装 工作内容：对新购置、借入的计算机（服务器）在上线之前及时安装统一的趋势防病毒软件 工作方法： 对新购置、借入的计算机在上线之前及时安装统一的防病毒软件；（系统管理员） 进行计算机病毒的检测和清除，如果检测到病毒，将检测和清除的结果报安全管理员进行备案。（系统管理员负责、安全管理员协调）工作周期：不定负责人员：系统管理员协作人员：无工作结果在设备安全入

11、网确认单上予以签字确认参考文档： 趋势防病毒 维护手册 趋势防病毒 6.5维护手册4.1.2 防火墙日常维护细则1、 工作名称：防火墙运行状况检查工作内容：查看防火墙的使用率、内存使用率等参数工作方法： 在 对于防火墙设备的状态参数进行实时监控，主要包括使用率、内存使用率、连接数等状态信息，通过与正常值进行比较，查看有无异常情况，通告相关安全管理人员进行处理（具体阀值设置参看的阀值配置） 全天实时监控报警情况 填写到安全日报防火墙的性能监控记录表中工作周期：每日实时负责人员：系统一线人员协作人员：无工作结果填写到安全日报参考文档： 防火墙维护手册2、 工作名称：防火墙配置文件备份工作内容：备份

12、安全设备的配置文件工作方法：各厂商提供的配置方式可能不同，一种是通过或管理端对配置进行备份，另一种是通过命令行形式进行备份。注意事项：（1）、保存的配置文件，建议其文件名包含保存的日期、设备名称或、保存人员。如：2004.08.01-192.168.0.1（2）、保存的配置文件建议加密进行保存，并对该文件的访问应进行控制。（3）、策略配置应符合最小权限控制原则、公司安全策略。（4）在安全月报填写防火墙策略备份工作工作周期：每月一次负责人员：系统一线人员工作结果安全月报参考文档： 防火墙维护手册 维护手册3、 工作名称：防火墙策略检查工作内容：安全管理员定期对防火墙（全网防火墙）的策略进行检查，

13、确保防火墙的策略符合用户要求。工作方法： 安全管理员根据防火墙自上到下的原则对策略的有效性进行检查；（建议检查方法：根据原有的防火墙策略登记表中，检查防火墙策略的一致性；检查方法根据原有的防火墙的策略配置备案记录；查看当前策略与备案策略之间的区别；发现策略有变化，及时询问防火墙的维护人员，策略变更的原因；更新最新的防火墙策略备案文档；） 安全管理员根据最小访问控制原则对策略进行检查； 检查系统更新流程中的确认单是否允许防火墙的修改； 在防火墙策略登记表中填写新的策略表； 在安全月报中说明策略更新情况；工作周期：每月一次负责人员：安全管理员负责协作人员：无工作成果： 防火墙策略表 安全月报参考文

14、档： 防火墙维护手册 维护手册 防火墙策略表4、 工作名称：防火墙日志不定期审计工作内容：在网络出现故障或者出现黑客攻击事件时，对防火墙日志不定期进行审计。工作方法： 开启防火墙的设备和关键策略的日志功能，查看防火墙的设备日志、关键策略的通过与拒绝数据包记录，从而获得防火墙设备本身的异常情况和网络中的异常流量。注意事项：只应对防火墙的关键策略开启日志功能，而不应该对所有的策略开启日志功能。 通过日志分析软件和专家经验对日志进行审计，为网络故障事件进行分析，确定出现了哪些问题，对哪些系统造成了影响； 通过日志分析软件和专家经验对日志进行审计，对网络攻击事件进行分析，寻找攻击源，及早恢复正常运行；

15、 同时在安全管理平台上分析被攻击的主机在上要配置报警的显示。工作周期：不定期负责人员：安全管理员负责协作人员：安全审计员工作结果： 在出现问题当天安全日报 在出现问题本周安全周报在事件处理结果单中记录分析结果参考文档： 安全运行中心（）维护手册 防火墙维护手册 维护手册5、 工作名称：防火墙升级工作内容：当防火墙的不能满足当前的性能和安全要求或者存在一些影响到使用的时，对防火墙的进行升级。工作方法： 安全管理员或集成商、厂商采用及方式对防火墙进行升级。在升级之前，需向上级领导申请，并向相关管理员进行通告，保证业务的正常运行；工作周期：根据防火墙的版本更新情况和版本升级的迫切程度负责人员：安全管

16、理员负责协作人员：防火墙厂商或集成商工作结果： 根据系统变更流程在工作任务单中记录升级 在升级当天安全日报中说明参考文档： 防火墙维护手册 维护手册4.1.3 日常维护细则1、工作名称：策略和用户通道审计（安全管理员负责）工作内容：安全管理员定期对策略进行检查，保证策略的有效性、符合性。对用户帐号的有效性和权限进行检查对的安全通道进行有效性检查工作方法： 安全管理员根据自上到下的原则对策略的有效性进行检查； 安全管理员对策略进行检查，防止策略违反用户整体安全策略； 安全管理员检查用户组人员有没有变化、目标范围有没有增大；普通用户检查是否使用； 安全管理员针对当前使用的用户进行检查是否存在在2个

17、月内没有使用过的，这些用户暂时删除； 安全管理员根据用户登记单，看是否存在中存在的用户但是在使用登记单中没有，如果发现在记录单中没有记录，管理员启动事件处理单，进入事件处理流程；工作周期：每月一次负责人员：安全管理员负责协作人员：无工作成果： 策略审计确认单 在安全月报中说明参考文档： 防火墙维护手册 维护手册4.1.4 安全评估日常维护细则1、 工作名称：设计评估对象和扫描内容工作内容： 针对安氏公司的评估工作，提出相关的评估对象、评估的方法和评估的层次。工作方法： 在安氏周期性扫描工作前，提供需要扫描的对象列表； 提出需要采用的扫描工具和扫描策略； 提出需要进行评估的手段和方法；工作周期：

18、每季度负责人员：安氏安全工程师协作人员：需要系统管理员、网络管理员、数据库管理员配合；安氏人员配合工作成果：评估对象列表确认评估手段和方法评估需求建议评估报告参考文档：安全评估方法规范2、 工作名称： 检查评估报告 工作内容：对安氏安全评估的结果报告进行检查 工作方法： 检查评估对象是否都进行了评估； 评估的手段是否达到要求； 发现的漏洞的真实性有没有得到验证； 评估报告有没有提出合理的解决方案；工作周期：每次安氏评估完成；协作人员：系统管理员、网络管理员和数据库管理员。工作成果：分析扫描工具结果表单，分析人工评估和其他评估手段生成扫描报告分析建议书。安全月报参考文档：安全评估技术规范4.2对

19、主机系统的日常工作细则1、 工作名称：定期查看信息安全站点的安全公告工作内容：跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范。工作方法： 定期到相应的主机服务器的网站查看最新的漏洞发布情况；（系统管理员） 定期到安全咨询公司的网站查看当前最新的漏洞公布情况；（安全管理员） 定期到安全厂商的网站查看当前最新的漏洞公布情况；（安全管理员） 定期到国际和国内著名的安全信息网站（、 ）等查看公布的最新的漏洞情况；（安全管理员负责） 把相关的漏洞登记到漏洞信息库中；工作周期：每星期一次，如果漏洞爆发频率较高时期建议

20、每3天1次；协作人员：安全咨询公司；工作成果：安全漏洞信息库2、 工作名称：系统补丁检查工作内容工作内容：定期检查服务器不定升级的情况工作范围：维护的服务器；工作方法： 系统一线人员到服务器或者服务器上检查服务器的当前不定是否升级到最新的；然后在安全周报中记录升级情况；如果发现补丁程序没有升到最新的版本，通过服务器或者服务器把补丁程序推给没有升级的服务器；负责人员：系统一线人员负责 协作人员： 工作周期： 建议每1周检查一次；工作结果：在安全周报中记录升级检查情况参考文档： 维护手册4.3 对网络设备的日常工作细则1、 工作名称：定期分析网络设备日志工作内容：每两周对日志做一次全面的分析，对登

21、录的用户、登录时间、所做的配置和操作进行检查，在分析有异常的现象时及时向网络管理员进行核实并采取相应的措施；工作方法： 针对核心的网络设备和命令，采用抽查方式检查-抽查登入信息10条和命令10个 如果日志服务器存放在服务器本地定期检查日志文件的大小； 使用有效的商业软件，根据筛选要求检查日志文件； 发现存在安全性问题，马上启动相关的事故处理流程；工作周期：建议网络设备的日志检查每两周作一次；协作人员：安全管理员工作成果：网络设备日志审核报告2、工作名称：定期查看信息安全站点的安全公告（安全管理员负责）工作内容：跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，

22、及时做出相应的对策，通知并指导网络管理员进行安全防范。工作方法： 定期到相应的网络设备的网站查看最新的漏洞发布情况； 定期到安全咨询公司的网站查看当前最新的漏洞公布情况； 定期到安全厂商的网站查看当前最新的漏洞公布情况； 定期到国际和国内著名的安全信息网站（、 ）等查看公布的最新的漏洞情况； 把相关的漏洞登记到漏洞信息库中； 检查所有的网络设备是否存在所公布的漏洞；工作周期：每月一次；协作人员：安全咨询公司；网络管理员；工作成果：安全漏洞信息库 4.4 编写安全报告工作1、工作名称：编写要求的安全报告工作内容：系统一线人员和安全管理员需要编写相应的安全报告文档。工作方法： 根据报告模版需要每天

23、完成安全工作日报； 根据报告模版需要每周五完成安全工作周报； 根据报告模版需要每月最后一天完成安全工作日报； 根据报告模版需要每季度最后一天完成安全工作季报；工作周期： 日报是每天； 周报是每周； 月报是每月； 季报是每季度；负责人员：系统一线人员协作人员：安全管理员工作成果： 安全工作日报； 安全工作周报； 安全工作月报； 安全工作季报；4.5 安全加固文档的更新1、工作名称：对管辖的设备的加固手册进行更新工作内容：安全管理员需要根据实际情况更新相应的安全加固手册。工作方法： 根据安全咨询公司和厂商定期提供的安全通告，分析在管辖设备中是否存在相应的漏洞； 分析漏洞是否能够在设备中造成威胁，可

24、以让安全咨询公司提供支持； 进行加固可行性测试； 更新加固手册；具体方法可以参考安全加固维护流程工作周期：每月一次负责人员：安全管理员协作人员：系统一线人员工作成果： 安全工作月报中填写安全通告分析结果； 更新相关的安全加固手册；参考文档： 安全加固维护流程 安全通告 相关的安全加固手册4.6 对地市安全现状进行审计和评估1、工作名称：对地市的安全提交的安全现状周报和月报进行检查和审核工作内容：安全管理员需要对于地市的病毒情况、入侵情况、安全事件处理情况的周报、月报和事件处理单进行检查和审核，同时进行整体统计。工作方法： 每周五和每月底让地市的管理员提交相应的周报、月报和安全事件处理单； 分析和统计报告中出现的病毒情况、入侵情况、安全事故情况； 对地市的严重的安全事件的处理结果进行确认； 把地市的相关内容和统计结果，写到安全周报和月报中；注：对于地市的安全事故的报警通告和事故处理，参见安全事件处理流程工作周期：周报检查每周一次；月报检查每月一次，进行考核评分；负责人员：安全管理员协作人员：系统一线人员工作成果： 安全工作周报中填写地市统计结果； 安全工作月报中填写地市统计结果；