1、5.相关表单文档 165.1.信息系统日常操作及维护管理责任表 165.2.信息系统维护值班表 165.3.系统进程及端口开放记录表 175.4.应用系统检查表 175.5.网络设备检查表 185.6.安全设备检查表 195.7.硬件设备物理检查流程 205.8.漏洞补丁监控及更新记录 215.9.系统异常故障记录单 215.10.值班表 22.言、八刖XXX信息化、国家为了保护XXXXX信息网络系统的安全,促进信息化建设的顺利进行,保障 的应用和发展,根据公安部发布的计算机信息网络国际联网安全保护管理办法 xx专卖公司发布的xX亍业计算机信息网络安全保护规定,制定本规定。本标准由XXXXX提
2、出本标准由XXXXX信息管理部归口本标准起草部门:信息管理部本标准主要起草人:XXX1. 目的为了保障 XXXXXX 业务的正常开展,确保信息系统的正常运行,规范信息系统日常 操作及维护阶段安全要求,特制订此管理制度。2. 适用范围本制度适用于 XXXXXX 信息管理部的所有信息系统管理和维护人员。3.信息系统日常操作及维护管理 所有信息系统内的资源,包括主机操作系统、应用系统、网络设备和安全设备,信息 管理部都应指派专门的信息技术管理员和职守员,进行日常操作和维护的管理工作,制定 信息系统日常操作及维护管理责任表 ,责任到人,保证信息系统的正常运行。信息系统实行7X24小时运行。在法定工作日
3、的工作时间应安排具备相应专业技术水 平的人员进行5X8小时现场值班,制定信息系统维护值班表,于每月初定期发布,遇 当月有重大节假日,应根据实际情况提前安排值班表,并通知到值班人员。信息管理部信息系统第三方职守员应实行主、副岗备用制度。当主岗不在时,第三方公司应指派具备主岗同等专业技术水平的副岗,代替其执行相关工作。 所有信息系统第三方职守员应每天向对应主管的信息管理部信息技术管理员或信息安全管理员提交工作日报。 第三方职守员对信息系统的所有操作都必须进行记录,日常维护操作应在工作日报中进行说明;对信息系统进行较大操作或修改前,必须向所对应的信息管理部信息技术管理 员或信息安全管理员提交修改方案
4、及申请。3.1.操作系统日常操作及维护(1)必须严格管理操作系统账号,定期对操作系统账号和用户权限分配进行检查,系 统职守员至少每月检查一次,并报信息技术管理员审核,删除长期不用和废弃的 系统账号和测试账号。(2)必须加强操作系统口令的选择、保管和更换,系统口令做到:长度要求: 8 位字符以上; 复杂度要求:使用数字、大小写字母及特殊符号混合; 定期更换要求:每 90 天至少修改一次。(3)订阅计算机紧急响应机构的公告或第三方专业安全机构提供的安全漏洞信息的相 关资源,及时提醒信息管理部信息技术管理员和信息安全管理员任何可能影响系 统正常运行的漏洞。(4)信息安全管理员应指定安全职守员专门负责
5、补丁更新工作,并根据系统漏洞发 现及补丁更新流程完成补丁更新工作。(5)安全职守员需定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于每周一 次,重大安全漏洞发布后,应在 3 个工作日内进行上述工作。为了防止网络安全 扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时间做出 规定,需安排在非业务繁忙时段。信息技术管理员应为每个系统指定专门的系统 职守员,由系统职守员对所负责的服务器进行检查,至少每天一次,确保各系统 都能正常工作;监控系统的 CPU 利用率、进程、内存和启动脚本等使用情况。(6)当系统职守员监测到以下几种已知的或可疑的信息安全问题、违规行为或紧急安 全事件系统时
6、,应立即报告信息技术管理员,同时采取控制措施,并记录系统 异常故障记录单:a)系统出现异常进程;b)CPU 利用率,内存占用量异常;c)系统突然不明原因的性能下降;d)系统不明原因的重新启动;e)系统崩溃,不能正常启动;f)系统中出现异常的系统账户;g)系统账户口令突然失控;h)系统账户权限发生不明变化;i)系统出现来源不明的文件;j)系统中文件出现不明原因的改动;k)系统时钟出现不明原因的改变;(7)系统日志中出现非正常时间登录,或有不明 IP 地址的登录;(8)系统职守员对操作系统的任何修改,都需要进行备案,对操作系统的重大修改和 配置(如补丁安装、系统升级等操作)必须向信息技术管理员提交
7、系统调整方案, 由信息技术管理员审核通过后方可实施。操作系统的配置和修改必须在非业务时 间进行,重大调整必须提前准备应急预案和回退方案。(9)保证操作系统日志处于运行状态,系统值守员应定期对日志进行审计分析,至少 每月审计一次,重点对登录的用户、登录时间、所做的配置和操作做检查,在发 现有异常的现象时及时向信息技术管理员报告。(10)系统职守员应设置操作系统日志归档保存功能, 历史记录保持时间不得低于一年3.2.应用系统安全日常操作及维护(1)新的应用系统在正式上线运行前应由信息管理部信息安全管理员进行安全检查, 检查通过方能正式运行使用。严禁在不检查或检查未通过的情况下将应用部署到 正式环境
8、中。检查的内容包括:a)检查应用系统的软件版本;b)检查应用系统软件是否存在已知的系统漏洞或者其它安全缺陷;c)检查应用系统补丁安装是否完整;d)检查应用系统进程和端口开放情况,并登记系统进程及端口开放记录表备 案;e)应用系统安装所在文件夹是否为只读权限;f)检查是否开启应用系统日志记录功能,并启用日志定期备份策略。(2)应用系统上线运行后,应经过一段时间的试运行,在试运行阶段,应严密监控其 运行情况;当发现应用系统运行不稳定或者出现明显可疑情况时,应立即将事件 报告 IT 服务平台,必要时应启动应用系统应急预案。(3)应用系统经试运行正式上线运行后,信息技术管理员应指派专门的系统职守员,
9、由职守员与开发测试人员进行系统交接。(4)应用系统软件安装之后,应立即进行备份;在后续使用过程中,在应用系统软件 的变更以及配置的修改前后,也应立即进行备份工作;确保存储的软件和文档都 是最新的,并定期验证备份和恢复策略的有效性。(5)必须严格管理应用系统账号,定期对应用系统账号和用户权限分配进行检查,至 少每月审核一次,删除长期不用和废弃的系统账号和测试账号。(6)必须加强应用系统口令的选择、保管和更换,系统口令做到:(7)信息安全管理员应指定安全职守员专门负责应用系统补丁更新工作,并根据系 统漏洞及补丁更新流程完成应用系统补丁更新工作。(8)系统职守员应对所负责的应用系统进行检查,至少每天
10、一次,确保各系统都能正 常工作,当发现应用系统运行不稳定或者出现明显可疑情况时,应立即将事件报 告 IT 服务平台,发生重大安全事件时,应立即报告信息管理部信息安全管理员, 并记录系统异常故障表,必要时应启动应用系统应急预案。(9)系统职守员对应用系统的任何修改,都需要进行备案,对应用系统的重大修改和 配置(如补丁安装、系统升级等操作)必须向信息技术管理员提交系统调整方案, 由信息技术管理员审核通过后方可实施。应用系统的配置和修改必须在非业务时 间进行,重大调整必须提前准备应急预案和回退方案。(10)保证各应用系统的系统日志处于运行状态,系统值守员应定期对日志进行审计分 析,至少每月审计一次,
11、重点对登录的用户、登录时间、所做的配置和操作做检 查。(11)系统职守员应设置应用系统日志归档保存功能, 历史记录保持时间不得低于一年3.3.网络及安全设备日常操作及维护3.3.1.网络及安全设备管理(1)必须严格管理设备系统账号,定期对设备系统账号和用户权限分配进行检查,至 少每月审核一次,删除长期不用和废弃的用户账号。(2)必须加强设备系统口令的选择、保管和更换,设备口令做到:(3)对网络和安全设备的管理必须经过严格的身份认证和访问权限的授予,认证机制 应综合使用多认证方式,如强密码认证 +特定 IP 地址认证等。(4)网络和安全设备的用户名和密码必须以加密方式保存在本地和系统配置文件中,
12、 禁止使用明文密码保存方式。(5)网络和安全设备的配置文件,必须由负责此设备的职守员加密保存,由信息技术 管理员加密留档保存, 职守员和信息技术管理员必须确保配置文件不被非法获取。(6)对网络和安全设备的远程维护,建议使用 SSH、HTTPS 等加密管理方式,禁止使 用 Telnet、 http 等明文管理协议。(7)限定远程管理的用户数量,每设备管理用户不能超过 5 个;限定远程管理的终端 IP 地址,设置控制口和远程登录口的超时响应时间,让控制口和远程登录口在空 闲一定时间后自动断开,超时响应时间最多不能超过 3 分钟。(8)对网络和安全设备的管理维护,尽可能避免使用 SNMP 协议进行管
13、理,如果的确 需要,应使用 V3 版本代替 V1 、V2 版本,并启用 MD5 等校验功能; SNMP 协 议的 Community String 字串长度应大于 12 位,并由数字、大小写字母和特殊字 符共同组成;启用 SNMP 协议后,必须指定 SNMP 服务器的地址。(9)信息技术管理员应为每个网络和安全设备指定专门的职守员,由职守员对所负责 的网络和安全设备进行账户、口令、账户认证方式、密码存储方式、远程管理方 式等项目的检查, 具体检查标准请参见 4.3.1章节中的第 1至 8条制度;至少每月 检查一次,确保各网络和设备都能正常工作。(10)网络和安全设备职守员应定期对所负责的设备进
14、行性能和故障检查,至少每天一 次,监控设备的CPU、内存、硬盘使用率和网络接口状态等使用情况,确保各设 备都能正常工作,如发现异常情况,应立即报告信息管理部信息安全管理员,同 时采取控制措施,并记录系统异常故障表。(11)网络和安全设备职守员对网络和安全设备的任何修改,都需要进行备案,对设备 的重大修改和配置(如路由调整、系统升级等)必须向信息技术管理员提交设备 调整方案,由信息技术管理员审核通过后方可实施。设备的配置和修改必须在非 业务时间进行,重大调整必须提前准备应急预案和回退方案。(12)开启网络和安全设备日志记录功能,并将日志同步到集中网管系统上,系统值守 员应定期对日志进行审计分析,
15、至少每月审计一次,重点对登录的用户、登录时 间、所做的配置和操作做检查,在发现有异常的现象时及时向信息技术管理员报 告。(13)网络和安全设备职守员应设置定期对设备日志进行归档保存,历史记录保持时间 不得低于一年。3.3.2.网络设备安全配置以下网络设备的安全维护制度,均为 Cisco 路由器和交换机操作命令为例。 启用enable secret代替enable password从而对配置文件中的 password进行加密, 防止用户口令泄密。 应关闭banner显示,远程拨入维护方式,以及不需要开放的服务,如 tcp-small-servers udp-small-servers等。(3)在
16、接入层交换机中,对于不需要用来进行第三层连接的端口,通过设置使其属于 相应的VLAN,应将所有空闲交换机端口设置为 Disable,防止空闲的交换机端口 被非法使用。(4)对于交换机做流量镜像的情况,应充分评估镜像的作用以及因为镜像造成的流量 增加对交换机性能的影响,做镜像后交换机后的整体性能(如cpu、内存等)不能 超过 60%。 关闭非必需的网络协议。对于 CISCO路由器,禁止用户侧接口的 CDP协议功能。(6)对于交换机, 防止 VTP 攻击,应设置口令认证, 口令强度应大于 12位,并由数字、 大小写字母和特殊字符共同组成。(7)限制 SYN 包流量带宽,控制 ICMP、 TCP、
17、UDP 的连接数,每秒会话连接数不超 过 2000PPS。3.3.3.安全设备配置规范(1)防火墙设备1)防火墙应部署在网络边界处,如XX公司与各直属单位,公司与互联网连接处等网 络连接处进行风险和攻击隔离。2)防火墙应保证正常应用的连通性,保证网络和应用系统的性能不因部署防火墙有 明显下降,特别是一些重要业务系统。3)尽量保持防火墙规则的清晰与简洁,并遵循 “默认拒绝,特殊规则靠前,普通规则 靠后,规则不重复 ”的原则,通过调整规则的次序进行优化。4)防火墙各区域的路由设置应合理,严格禁止任何旁路路由。5)配置或更改防火墙策略前,必须对防火墙进行配置备份,设备职守员必须向信息 技术管理员提交
18、防火墙策略调整方案,由信息技术管理员审核通过后方可实施。 防火墙的配置和更改必须在非业务时间进行,重大调整必须提前准备应急预案和 回退方案。6)配置或更改防火墙策略时,必须根据源地址、目的地址、目标端口、时间、策略 行为这五个基本元素进行设计,确定每个元素的具体数值。尽量避免使用 Any 、 All 等全值参数进行允许访问策略配置。如:各直属单位、下属卷烟集团和下属卷 烟分厂与 XXXX 连接的防火墙,必须针对应用以及访问主机对 IP 地址、开放服 务端口进行访问策略设置; 互联网防火墙必须严格禁止从 INTERNET 主动对内网 发起访问请求,开放 DMZ 区服务器的访问,必须根据所提供业务
19、开放固定端口,如web服务器开放TCP80端口,邮件服务器开放TCP25、110等。7)配置或更改防火墙策略后,必须对网络和业务的连通性进行逐一测试,保证信息 系统的可用性。8)临时性增加的访问控制规则在使用完成后,应及时删除。9)安全职守员应定期对防火墙的访问控制规则进行检查和必要调整,至少每月执行 一次。(2)网络版防病毒软件1)信息管理部对防病毒软件的部署应该做到统一规划,统一部署,统一管理2)安全职守员应根据 XXXX 终端和主机所在部门进行逻辑分组,并根据终端和主机 的工作时间,制定扫描策略,建议每周扫描一次,在中午休息时间启动病毒扫描, 避免在业务繁忙时执行。3)信息管理部防病毒软
20、件必须统一进行病毒特征库的更新,至少每周进行一次。重 大安全漏洞和病毒发布后,应立即进行更新,并在 3 个工作日内完成所有终端和 主机的扫描工作。4)安全职守员应及时了解防病毒厂商公布的计算机病毒情报,关注新产生的、传播 面广的计算机病毒,并了解它们的发作特征和存在形态,及时发现计算机系统出 现的异常是否与新的计算机病毒有关。5)安全职守员应及时了解各系统厂商所发布的漏洞情况,对于很可能被病毒利用的 远程控制的漏洞要及时提醒用户安装相关补丁。6)安全职守员负责防病毒软件的总体维护,每天定时登陆防病毒总控制台,检查 XXXX 和各地市公司防病毒软件服务的运行状态,病毒实时监测和扫描状况以及 防病
21、毒服务器的运转情况, 发现异常马上采取控制措施, 如发现大规模病毒爆发, 应及时上报信息安全管理员。7)安全职守员有责任维护各应用服务器及终端防病毒系统的正常运转,也需要定期 对防病毒软件的升级情况进行监控。如果遇到问题或者病毒报警,应采取控制措 施并及时上报信息安全管理员。8)安全职守员应至少每次 /月统计病毒报告,以分析历史病毒事件,加强安全策略防 范。9)新入网的终端及主机,在安装完操作系统后,要在第一时间内安装信息管理部统 一部署的防病毒软件; 没有安装统一防病毒软件的 Windows 系统不得接入公司网 络;终端及主机不得私自安装非统一部署的防病毒软件。(3)终端安全管理软件1)信息
22、管理部对终端安全管理软件的部署应该做到统一规划,统一部署,统一管理。2)安全职守员应根据 XXXX 终端和主机所在部门进行逻辑分组,以便于统一管理3)安全职守员负责终端安全管理软件的总体维护,每天定时登陆终端安全管理总控 制台,检查 XXXX 和各地市公司终端安全管理软件服务的运行状态,以及终端违 规状况,发现异常马上采取控制措施,应及时上报信息安全管理员。4)安全职守员应根据终端和 XXXXXX 的实际安全需求来制定终端控制策略, 策略下 发前,必须进行不少于两天的策略测试运行工作,必须在测试成功后才能对终端 进行应用。5)新入网的终端及主机,应及时安装信息管理部统一部署的终端安全管理软件;
23、没 有安装统一终端安全管理软件的 Windows 系统不得接入公司网络; 终端及主机不 得私自安装或开启非统一部署的终端安全管理软件。(4)入侵检测 /保护系统1)入侵检测系统应实施旁路部署,部署于关键交换区域,建议部署在公司核心交换 机、服务器交换机等区域上,用于检测内网、互联网出口处、服务器区域出口线 路等节点的网络入侵事件。2)入侵保护系统应实施串联部署,部署于关键交换区域,建议部署在公司核心交换 机、服务器交换机等区域上,用于检测并阻拦内网、互联网出口处、服务器区域 出口线路等节点的网络入侵事件。3)入侵检测 /防护系统必须定期进行入侵特征库的更新,至少每周进行一次。重大安 全漏洞和事
24、件发布后,应立即进行更新。4)入侵检测 /防护系统根据攻击特性启用入侵攻击、蠕虫病毒、间谍软件、 P2P 下载 等监控 /防护规则。5)入侵防护系统应针对不同的入侵采取相应的响应动作。建议对于入侵攻击、蠕虫 病毒、间谍软件类攻击除报警操作外,采取会话丢弃或拒绝会话动作。6)入侵防护系统规则配置时应实时监控网络速度及公司业务应用的可用性,及时调 整监控规则,保证业务的正常运行。7)入侵检测 /防护系统必须配置严密的报警体系,通过电子邮件、界面警示等方式实 现事件报警。8)安全职守员应针对发生的入侵事件进行跟踪分析,确定入侵源,采取措施消除安 全问题。对于重要安全事件应及时上报信息安全管理员。9)
25、安全职守员应至少每次 /月统计入侵报告,以分析历史安全事件,加强安全策略防 范。10)配置或更改入侵检测 /防护系统策略前,必须对设备进行配置备份,安全职守员必 须向信息技术管理员提交入侵检测 / 防护系统策略调整方案,由信息技术管理员审 核通过后方可实施。入侵防护系统的配置和更改必须在非业务时间进行,重大调 整必须提前准备应急预案和回退方案。11)配置或更改入侵防护系统策略后,必须对网络和业务的连通性进行逐一测试,保 证信息系统的可用性。(5)漏洞扫描系统1)漏洞扫描系统必须定期进行漏洞特征库的更新,至少每周进行一次。重大安全漏 洞发布后,应立即进行更新。2)安全职守员应将 XXXX 终端主
26、机和设备进行逻辑分组,以便于制定漏洞扫描和统 一管理。3)安全职守员应制定一份漏洞扫描策略,保证至少每月对 XXXX 终端主机以及设备 进行一次漏洞扫描,建议将扫描安排在非工作时间,避免在业务繁忙时执行。4)在每次扫描后,安全职守员应根据扫描结果提交一份漏洞扫描报告,上交给信息 安全管理员审核,经审核后责令各终端和系统负责人进行漏洞修补工作。3.4.国家法定节假日值班规定(1)值班假期指元旦、春节、 “五一”、“十一 ”,不包括双休日及其他一些假期。(2)值班时间为:夏季上午 8 时至 12 时,下午 15 时至 18 时;冬季上午 8 时至 12时, 下午 14: 30分至 17:30分。(
27、3)现场值班人员每天必须按照职责分工对网络、机房、业务系统等重点环节和部位 进行巡检, 发现异常及时协调解决; 对基层单位或其他人员报告的异常及时反馈, 及时解决。每日巡检工作, XXXX 机关机房由 XXXX 信息管理部负责, XXXX 数 据中心机房由省电信代维。(4)非现场值班人员必须保证节日期间通讯 24 小时畅通,确保能够及时反馈及协调各 类设备、网络及信息系统相关问题。(5)如果发生重大故障和事件,值班人员要根据 XXXX 信息安全管理应急响应和事件 处理上报反馈的要求,立即进行上报和处理,以确保信息系统安全、正常运行。(6)各单位的值班人员务必坚守岗位,确保信息系统正常运行 ,有
28、重大事项及时报告 XXXX 信息管理部值班人员。(7)信息管理部不再执行 XXXXXX 机关安全保卫值班管理规定中有关法定节假日 值班的安排。4.相关处理流程4.1.应用系统检查流程(1)确认并登记应用系统信息,包括;系统名称、系统版本、 IP 地址等相关信息;(2)检查应用系统补丁安装情况,并列出未安装补丁清单;(3)检查应用系统账户和口令情况,并列出可疑账户和弱口令信息;(4)检查应用系统网络和服务开放情况,并列出可疑端口和进程信息;(5)检查应用系统日志策略配置情况以及日志信息,并列出可疑事件;(6)检查应用系统数据备份历史记录,并验证最后一次备份数据的有效性;(7)依据以上检查结果生成
29、应用系统检查表;4.2.网络设备检查流程(1)确认并登记网络设备系统信息,包括;设备名称、系统版本、 IP 地址等相关信息;(2)检查网络设备账户和口令配置情况;(3)检查网络设备网络和服务开放情况;(4)检查网络设备日志策略配置情况以及日志信息,并列出可疑事件;(5)依据以上检查结果生成网络设备检查表;4.3.安全设备检查流程(1)确认并登记安全设备系统信息,包括;(2)检查网络设备自身安全配置情况,如账户和口令配置、访问控制配置和日志策略 配置等;(3)检查防火墙访问控制策略开放情况;(4)检查防病毒网关设备病毒代码库升级情况;(5)检查入侵检测 /保护设备入侵代码库升级情况。4.4.系统
30、漏洞发现及补丁更新流程第一步:漏洞及补丁更新监视(1)信息安全管理员指定一位安全职守员专门负责补丁漏洞及补丁监视和收集工作;(2)信息管理部订阅第三方专业安全机构提供的安全漏洞和补丁信息。(3)安全职守员及时监视、收集第三方专业安全机构和各系统厂商公布的漏洞及补丁 更新信息;(4)安全职守员收集到漏洞和补丁信息后,详细填写漏洞补丁监控及更新记录, 并在 1 小时内将此信息上报给信息安全管理员;(5)由信息安全管理员根据漏洞影响系统,将漏洞信息下发给对应的系统职守员; 第二步:主动漏洞发现机制(1)安全职守员至少每次 /月对 XXXX 终端主机以及设备进行漏洞扫描。(2)扫描结束后,安全职守员应根据扫描结果提交一份漏洞扫描报告。(3)漏洞扫描报告经信息安全管理员审核后,由其下发给系统负责
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 