驻地安全服务安全运维技术方案.docx

驻地安全服务安全运维技术方案 (可以直接使用，可编辑 优质资料，欢迎下载） 1.1 信息系统安全服务 1.1.1 服务范围和服务内容 本次服务范围为XXX信息系统硬件及应用系统，主要包括计算机终端、打印机、服务器、存储设备、网络（安全）设备以及应用系统。服务内容包括日常运维服务（驻场服务）、专业安全服务、信息化建设咨询服务等。 1.1.2 服务目标 l 保障软硬件的稳定性和可靠性； l 保障软硬件的安全性和可恢复性； l 故障的及时响应与修复； l 硬件设备的维修服务； l 人员的技术培训服务； l 信息化建设规划、方案制定等咨询服务。 1.1.3 服务内容 1.1.3.1 风险评估 风险评估的目的是了解和控制运行过程中的信息系统安全风险，运维阶段的风险评估是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。 （1）资产评估：对真实环境下较为细致的评估，包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等。本阶段资产识别是前期资产识别的补充与增加； （2）威胁评估：真实环境中的威胁分析，应全面地评估威胁的可能性和影响程度。对非故意威胁产生安全事件的评估可以参照事故发生率；对故意威胁主要由评估人员就威胁的各个影响因素做出专业判断；同时考虑已有控制措施； （3）脆弱性评估：全面的脆弱性评估。包括运行环境下物理、网络、系统、应用、安全保障设备、管理的脆弱性。对于技术的脆弱性评估采取核查、扫描、案例验证、渗透性测试的方式验证脆弱性；对安全保障设备脆弱性评估时考虑安全功能的实现情况和安全措施本身的脆弱性。对于管理脆弱性采取文档、记录核查进行验证； （4）风险计算：根据相关标准，对主要资产的风险进行定性或定量的风险分析，描述不同资产的风险高低状况。 1.1.3.2 安全加固 安全加固是指对在风险评估中发现的系统安全风险进行处理，按照级别不同，应该在相应时间内完成。安全加固的内容主要包括： （1）日常安全加固工作，主要是根据风险评估结果进行系统安全调优服务，根据系统运行需要适时调整各类设备及系统配置、合理规划系统资源、消除系统漏洞，提高系统稳定性和可靠性； （2）主动安全加固，在未出现安全事故之前就对已经通报或者暴露出来的软件漏洞或最新病毒库更新，就主动进计划的升级和改进，从而避免出现安全事故。 具体加固内容包括但不限于：帐户策略、帐户锁定策略、审核策略、NTFS、用户权限分配、系统服务策略、补丁管理、事件日志、应用软件的更新等。 1.1.3.3 应急响应 应急状态的安全值守、响应工作，主要是系统应急响应、重大安全故障处理，确保系统出现安全事件时快速反应、及时处理，降低系统安全问题对XX局内工作的影响。 1.1.3.4 安全巡检 安全巡检主要是指深入现场，了解情况：质检服务内容中的各类安全设备，了解安全设备运行情况，仔细观察各个安全节点的可靠性，并综合安全巡检情况，定制安全策略。 1.1.3.5 安全监控 对服务内容进行监控，在安全环境产生变化时，及时更新安全策略，在现有设备和网络情况有改变的时候，快速制定，针对更新后设备环境的安全策略，并实施部署。避免因设备变更而带来的安全风险。 1.1.3.6 安全通告 定期安全通告，在互联网上出现新型病毒或者新出现漏洞并且部分修补的情况下，制作安全通告及时告知相关运维人员，增强对于新型病毒和漏洞的防御力。 1.1.3.7 安全培训 根据驻地需要，组织开展涉及漏洞扫描、渗透性测试、安全配置、安全意识和法律法规等信息安全相关培训。 1.1.4 服务要求及交付物 安全运维管理 检查点 检查要求 交付物 日常维护 核心系统及关键服务器定义 需对关键系统和服务器有清晰的定义（如DNS/DHCP、防病毒等影响全网层面的服务器、承载重要业务或包含敏感信息的系统等） 核心业务、关键服务器列表 应急与演练 信息化系统和关键服务器需有详尽故障应急预案 应急预案 应定期进行相关应急演练，并形成演练报告，保证每年所有的平台和关键服务器都至少进行一次演练 应急演练报告 根据应急演练结果更新应急预案，并保留更新记录，记录至少保留3年 应急预案更新记录，预案版本记录 备份管理 系统所涉及不同层面（如系统的重要性、操作系统/数据库）应当制定数据的备份恢复以及备份介质管理制度 备份管理制度，包括备份策略管理制度与备份介质管理制度 系统所涉及不同层面应根据业务要求制定数据的本地和异地备份（存放）策略 备份管理制度，包括备份策略管理制度与备份介质管理制度 相关人员对本地和异地备份策略的结果进行每季度审核 策略审核表，加入备份管理制度 备份的数据进行恢复性测试，确保数据的可用性，每年不少于一次 备份恢复应急演练记录 相关人员对备份介质的更换记录进行每半年审核 备份介质更换记录表，加入备份管理制度 相关人员对备份介质的销毁记录进行每半年审核 备份介质销毁记录表，加入备份管理制度 故障管理 各地市需制定相应的园区信息化系统及服务器故障处理流程 故障处理流程 系统中发现的异常情况由系统维护人员根据相关流程在规定时间内处理 故障处理流程 故障处理完成后必须留有相应的故障处理记录 故障处理报告 上线管理 为保障设备接入网络的安全性，设备上线前必须安装防病毒系统及更新操作系统补丁，并对设备进行进行安全扫描评估，针对安全漏洞进行安全加固 企业网接入管理办法、接入记录 为避免系统上线对其它系统和设备造成影响，发布前必须对系统应用站点、数据库、后台服务、网络端口进行安全评估。系统投入正式运营前必须在测试环境中对系统进行模拟运行一周以上 应用系统接入申请流程、接入记录 系统上线之后如需对系统进行功能更新，必须由系统管理员或系统管理员指定专门维护人员进行更新操作，严格按照公司安全管理规范执行 1、应用系统更新申请流程 2、更新记录 Web应用应根据业务需求与安全设计原则进行安全编码,合理划分帐号权限，确保用户帐号密码安全,加强敏感数据安全保护，提供详细的日志 1、根据规范对开发规范进行修正，用户名密码的管理要求、敏感数据的管理要求、系统日志的开发要求 2、现有应用的安全检查 漏洞与防病毒 定期进行服务器漏洞扫描，并根据漏洞扫描报告封堵高危漏洞，每季度至少对所有服务器扫描一次 扫描记录与扫描结果报告 需建立统一的WSUS服务器，并每季度对关键服务器进行高危漏洞升级，并留有升级记录 1、WSUS服务器中的关键更新的补丁清单，每个月1份 2、应用服务器端每次更新的补丁清单 任何终端必须安装正版防病毒软件，且保证90%以上病毒库最新（五日以内） 防病毒检查记录 每周检查防病毒软件隔离区，排除病毒威胁 防病毒检查记录 核心系统和关键服务器日志审计 在操作系统层、数据库层、应用层建立日志记录功能，日志记录中保存1年的内容，日志安全记录能够关联操作用户的身份 1、操作系统层日志策略 2、数据库日志策略 3、应用层日志要求加入开发规范中 操作系统日志中需记录“账户管理”“登录事件”“策略更改”“系统事件”等内容 操作系统层日志策略 操作行为记录需进行定期审计 数据库层日志需记录每次数据库操作的内容 数据库日志策略 应用层日志需记录每次应用系统出错的信息 应用层日志要求加入开发规范中 检查关键错误日志、应用程序日志中的关键错误记录，保证日志审核正常 关键访问与操作应立即启用日志记录功能，避免因日志记录不全，造成入侵后无法被追踪的问题 信息发布管理 每天检查平台短信发送、接收的可用性 每天短信检查记录 短信必须设置关键字过滤，每个月进行关键字更新，并检查其有效性 短信关键字更新记录，有效性检查记录 信息防泄密 需对所有信息化系统、应用系统的核心信息进行清晰的界定，核心信息包括但不限于涉及客户资料、客户账户信息、客户密码、操作记录 应用系统-核心信息矩阵图 需对核心信息设定保密措施 应用系统核心信息管理制度 对核心信息的操作进行特殊监控，并留下记录 访问控制 账号密码管理 服务器上任何账号必须有审批人员审核确认 1、账号管理办法 2、账号申请表 所有系统和服务器上账号必须每季度进行审核 账号审核表 密码复杂度要求： 一．静态密码：密码应至少每90天进行更新，密码长度应至少6位或以上，密码应由大小写字母、数字或标点符号等字符组成，五次内不能重复 二．动态密码。 1、密码修改记录表 2、历史密码记录表 远程访问 不得有互联网远程维护的访问方式。 现场检查 远程访问只能通过SSL VPN或IBM VPN，不得存在互联网以VPN等形式的远程访问 现场检查 平台运维保障方案 1. 目的 为了保障平台各项业务的正常开展，确保信息系统的正常运行，规范信息系统日常操作及维护阶段安全要求，特制订此方案。 2. 系统日常操作及维护管理 1. 2. 2.1. 建立双向联动责任人机制 所有涉及到业务平台的资源，包括主机操作系统、应用系统、网络设备和安全设备， 指定电信接口人和支撑单位接口人双向联动，由电信公司指定维护接口人专门负责对接支撑单位的技术负责人和维护人员，电信公司的接口人对支撑单位的日常工作进行监督，支撑单位对业务系统的日常操作和维护按照本方案进行记录，做到责任到人，保证各个业务平台的正常运行。 2.2. 操作系统日常操作及维护 (1) 必须严格管理操作系统账号，定期对操作系统账号和用户权限分配进行检查，系统维护人员至少每月检查一次，并报信息技术管理员审核，删除长期不用和废弃的系统账号和测试账号。 (2) 必须加强操作系统口令的选择、保管和更换，系统口令做到： l 长度要求：8位字符以上； l 复杂度要求：使用数字、大小写字母及特殊符号混合； l 定期更换要求：每90天至少修改一次。 (3) 支撑单位维护人员需定期进行安全漏洞扫描和病毒查杀工作，平均频率应不低于每月一次，重大安全漏洞发布后，应在3个工作日内进行上述工作。为了防止网络安全扫描以及病毒查杀对网络性能造成影响，应根据业务的实际情况对扫描时间做出规定，需安排在非业务繁忙时段。技术负责人应为每个系统指定专门的系统维护人员，由系统维护人员对所负责的服务器进行检查，至少每天一次，确保各系统都能正常工作；监控系统的CPU利用率、进程、内存和启动脚本等使用情况。 (4) 当支撑单位维护人员监测到以下几种已知的或可疑的信息安全问题、违规行为或紧急安全事件系统时，应立即报告技术负责人，同时采取控制措施，并进行记录： a) 系统出现异常进程； b) CPU利用率，内存占用量异常； c) 系统突然不明原因的性能下降； d) 系统不明原因的重新启动； e) 系统崩溃，不能正常启动； f) 系统中出现异常的系统账户； g) 系统账户口令突然失控； h) 系统账户权限发生不明变化； i) 系统出现来源不明的文件； j) 系统中文件出现不明原因的改动； k) 系统时钟出现不明原因的改变； (5) 系统日志中出现非正常时间登录，或有不明IP地址的登录； (6) 系统维护人员对操作系统的任何修改，都需要进行备案，对操作系统的重大修改和配置（如补丁安装、系统升级等操作）必须向技术负责人提交系统调整方案，由信息技术管理员审核通过后方可实施。操作系统的配置和修改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。 (7) 保证操作系统日志处于运行状态，系统维护人员应定期对日志进行审计分析，至少每月审计一次，重点对登录的用户、登录时间、所做的配置和操作做检查，在发现有异常的现象时及时向信息技术管理员报告。 (8) 系统维护人员应设置操作系统日志归档保存功能，历史记录保持时间不得低于一年。 2.3. 业务系统安全日常操作及维护 (1) 新的应用系统在正式上线运行前应由技术负责人进行安全检查，检查通过方能正式运行使用。严禁在不检查或检查未通过的情况下将应用部署到正式环境中。检查的内容包括： a) 检查应用系统的软件版本； b) 检查应用系统软件是否存在已知的系统漏洞或者其它安全缺陷； c) 检查应用系统补丁安装是否完整； d) 检查应用系统进程和端口开放情况，并登记《系统进程及端口开放记录表》备案； e) 应用系统安装所在文件夹是否为只读权限； f) 检查是否开启应用系统日志记录功能，并启用日志定期备份策略。 (2) 应用系统上线运行后，应经过一段时间的试运行，在试运行阶段，应严密监控其运行情况；当发现应用系统运行不稳定或者出现明显可疑情况时，应立即将事件报告IT服务平台，必要时应启动应用系统应急预案。 (3) 应用系统经试运行正式上线运行后，技术负责人应指派专门的系统维护人员，由系统维护人员与开发测试人员进行系统交接。 (4) 应用系统软件安装之后，应立即进行备份；在后续使用过程中，在应用系统软件的变更以及配置的修改前后，也应立即进行备份工作；确保存储的软件和文档都是最新的，并定期验证备份和恢复策略的有效性。 (5) 必须严格管理应用系统账号，定期对应用系统账号和用户权限分配进行检查，至少每月审核一次，删除长期不用和废弃的系统账号和测试账号。 (6) 必须加强应用系统口令的选择、保管和更换，系统口令做到： l 长度要求：8位字符以上； l 复杂度要求：使用数字、大小写字母及特殊符号混合； l 定期更换要求：每90天至少修改一次。 (7) 系统维护人员应对所负责的应用系统进行检查，至少每天一次，确保各系统都能正常工作，当发现应用系统运行不稳定或者出现明显可疑情况时，应立即将事件报告IT服务平台，发生重大安全事件时，应立即报告信息管理部信息安全管理员，并记录《系统异常故障表》，必要时应启动应用系统应急预案。 (8) 系统维护人员对应用系统的任何修改，都需要进行备案，对应用系统的重大修改和配置（如补丁安装、系统升级等操作）必须向电信责任部门提交系统调整方案，审核通过后方可实施。应用系统的配置和修改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。 (9) 保证各应用系统的系统日志处于运行状态，系统维护人员应定期对日志进行审计分析，至少每月审计一次，重点对登录的用户、登录时间、所做的配置和操作做检查。 (10) 系统维护人员应设置应用系统日志归档保存功能，历史记录保持时间不得低于一年。 2.4. 网络及安全设备日常操作及维护 1. 1.1. 1.2. 1. 1.1. 1.2. 1. 2. 2.1. 2.2. 2.3. 2.4. 2.4.1. 网络及安全设备管理 (1) 必须严格管理设备系统账号，定期对设备系统账号和用户权限分配进行检查，至少每月审核一次，删除长期不用和废弃的用户账号。 (2) 必须加强设备系统口令的选择、保管和更换，设备口令做到： l 长度要求：8位字符以上； l 复杂度要求：使用数字、大小写字母及特殊符号混合； l 定期更换要求：每90天至少修改一次。 (3) 对网络和安全设备的管理必须经过严格的身份认证和访问权限的授予，认证机制应综合使用多认证方式，如强密码认证+特定IP地址认证等。 (4) 网络和安全设备的用户名和密码必须以加密方式保存在本地和系统配置文件中，禁止使用明文密码保存方式。 (5) 网络和安全设备的配置文件，必须由负责此设备的维护人员加密保存，由信息技术管理员加密留档保存，维护人员和信息技术管理员必须确保配置文件不被非法获取。 (6) 对网络和安全设备的远程维护，建议使用SSH、HTTPS等加密管理方式，禁止使用Telnet、http等明文管理协议。 (7) 限定远程管理的用户数量，每设备管理用户不能超过5个；限定远程管理的终端IP地址，设置控制口和远程登录口的超时响应时间，让控制口和远程登录口在空闲一定时间后自动断开，超时响应时间最多不能超过3分钟。 (8) 对网络和安全设备的管理维护，尽可能避免使用SNMP协议进行管理，如果的确需要，应使用V3 版本代替V1、V2 版本，并启用MD5 等校验功能；SNMP协议的 Community String 字串长度应大于12位，并由数字、大小写字母和特殊字符共同组成；启用SNMP协议后，必须指定SNMP服务器的地址。 (9) 各应为每个网络和安全设备指定专门的系统维护人员，由系统维护人员对所负责的网络和安全设备进行账户、口令、账户认证方式、密码存储方式、远程管理方式等项目的检查；至少每月检查一次，确保各网络和设备都能正常工作。 (10) 网络和安全设备维护人员应定期对所负责的设备进行性能和故障检查，至少每天一次，监控设备的CPU、内存、硬盘使用率和网络接口状态等使用情况，确保各设备都能正常工作，如发现异常情况，应采取控制措施，并记录。 (11) 网络和安全设备维护人员对网络和安全设备的任何修改，都需要进行备案，对设备的重大修改和配置（如路由调整、系统升级等）必须提交设备调整方案，审核通过后方可实施。设备的配置和修改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。 (12) 网络和安全设备维护人员应设置定期对设备日志进行归档保存，历史记录保持时间不得低于一年。 2.4.2. 安全设备配置规范 1 2 3 4 4.1 4.2 4.3 4.3.1 4.3.2 4.3.3 (1) 防火墙设备 1) 防火墙应保证正常应用的连通性，保证网络和应用系统的性能不因部署防火墙有明显下降，特别是一些重要业务系统。 2) 尽量保持防火墙规则的清晰与简洁，并遵循“默认拒绝，特殊规则靠前，普通规则靠后，规则不重复”的原则，通过调整规则的次序进行优化。 3) 防火墙各区域的路由设置应合理，严格禁止任何旁路路由。 4) 配置或更改防火墙策略前，必须对防火墙进行配置备份，设备维护人员必须向信息技术管理员提交防火墙策略调整方案，由信息技术管理员审核通过后方可实施。防火墙的配置和更改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。 5) 配置或更改防火墙策略后，必须对网络和业务的连通性进行逐一测试，保证信息系统的可用性。 6) 临时性增加的访问控制规则在使用完成后，应及时删除。 7) 维护人员应定期对防火墙的访问控制规则进行检查和必要调整，至少每月执行一次。 (2) 网络版防病毒软件 1) 信息管理部对防病毒软件的部署应该做到统一规划，统一部署，统一管理。 2) 维护人员应根据终端和主机所在部门进行逻辑分组，并根据终端和主机的工作时间，制定扫描策略，建议每周扫描一次，在中午休息时间启动病毒扫描，避免在业务繁忙时执行。 3) 防病毒软件必须统一进行病毒特征库的更新，至少每周进行一次。重大安全漏洞和病毒发布后，应立即进行更新，并在3个工作日内完成所有终端和主机的扫描工作。 4) 维护人员应及时了解防病毒厂商公布的计算机病毒情报，关注新产生的、传播面广的计算机病毒，并了解它们的发作特征和存在形态，及时发现计算机系统出现的异常是否与新的计算机病毒有关。 5) 维护人员应及时了解各系统厂商所发布的漏洞情况，对于很可能被病毒利用的远程控制的漏洞要及时提醒用户安装相关补丁。 6) 维护人员负责防病毒软件的总体维护，每天定时登陆防病毒总控制台，检查防病毒软件服务的运行状态，病毒实时监测和扫描状况以及防病毒服务器的运转情况，发现异常马上采取控制措施，如发现大规模病毒爆发，应及时上报。 7) 维护人员有责任维护各应用服务器及终端防病毒系统的正常运转，也需要定期对防病毒软件的升级情况进行监控。如果遇到问题或者病毒报警，应采取控制措施并及时上报。 8) 维护人员应至少每次/月统计病毒报告，以分析历史病毒事件，加强安全策略防范。 9) 新入网的终端及主机，在安装完操作系统后，要在第一时间内安装信息管理部统一部署的防病毒软件；没有安装统一防病毒软件的Windows系统不得接入公司网络；终端及主机不得私自安装非统一部署的防病毒软件。 (3) 终端安全管理软件 1) 对终端安全管理软件的部署应该做到统一规划，统一部署，统一管理。 2) 维护人员负责终端安全管理软件的总体维护，每天定时登陆终端安全管理总控制台，检查安全管理软件服务的运行状态，以及终端违规状况，发现异常马上采取控制措施，应及时上报。 3) 维护人员应根据终端实际安全需求来制定终端控制策略，策略下发前，必须进行不少于两天的策略测试运行工作，必须在测试成功后才能对终端进行应用。 4) 新入网的终端及主机，应及时安装信息管理部统一部署的终端安全管理软件；没有安装统一终端安全管理软件的Windows系统不得接入公司网络；终端及主机不得私自安装或开启非统一部署的终端安全管理软件。 (4) 入侵检测/保护系统 1) 入侵检测系统应实施旁路部署，部署于关键交换区域，建议部署在公司核心交换机、服务器交换机等区域上，用于检测内网、互联网出口处、服务器区域出口线路等节点的网络入侵事件。 2) 入侵保护系统应实施串联部署，部署于关键交换区域，建议部署在公司核心交换机、服务器交换机等区域上，用于检测并阻拦内网、互联网出口处、服务器区域出口线路等节点的网络入侵事件。 3) 入侵检测/防护系统必须定期进行入侵特征库的更新，至少每周进行一次。重大安全漏洞和事件发布后，应立即进行更新。 4) 入侵检测/防护系统根据攻击特性启用入侵攻击、蠕虫病毒、间谍软件、P2P下载等监控/防护规则。 5) 入侵防护系统应针对不同的入侵采取相应的响应动作。建议对于入侵攻击、蠕虫病毒、间谍软件类攻击除报警操作外，采取会话丢弃或拒绝会话动作。 6) 入侵防护系统规则配置时应实时监控网络速度及公司业务应用的可用性，及时调整监控规则，保证业务的正常运行。 7) 入侵检测/防护系统必须配置严密的报警体系，通过电子邮件、界面警示等方式实现事件报警。 8) 维护人员应针对发生的入侵事件进行跟踪分析，确定入侵源，采取措施消除安全问题。对于重要安全事件应及时上报信息安全管理员。 9) 维护人员应至少每次/月统计入侵报告，以分析历史安全事件，加强安全策略防范。 10) 配置或更改入侵检测/防护系统策略前，必须对设备进行配置备份，维护人员必须向信息技术管理员提交入侵检测/防护系统策略调整方案，由信息技术管理员审核通过后方可实施。入侵防护系统的配置和更改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。 11) 配置或更改入侵防护系统策略后，必须对网络和业务的连通性进行逐一测试，保证信息系统的可用性。 (5) 漏洞扫描系统 1) 漏洞扫描系统必须定期进行漏洞特征库的更新，至少每周进行一次。重大安全漏洞发布后，应立即进行更新。 2) 维护人员应制定一份漏洞扫描策略，保证至少每月对终端主机以及设备进行一次漏洞扫描，建议将扫描安排在非工作时间，避免在业务繁忙时执行。 3) 在每次扫描后，维护人员应根据扫描结果提交一份漏洞扫描报告，上交给信息安全管理员审核，经审核后责令各终端和系统负责人进行漏洞修补工作。 8 XXXX公司 发布 XXXX工业有限责任公司 发布 2021-xx-xx实施 2021-xx-xx实施 2021-xx-xx发布 2021-xx-xx发布 安全运维管理制度 XX.XX—2021 XX.G023—2021 XX XXXXXXXX企业标准 XXXXXXXX企业标准 目 录 目录1 前言2 1.目的3 2.适用范围3 3.信息系统日常操作及维护管理3 3.1.操作系统日常操作及维护3 3.2.应用系统安全日常操作及维护5 3.3.网络及安全设备日常操作及维护6 3.3.1.网络及安全设备管理6 3.3.2.网络设备安全配置8 3.3.3.安全设备配置规范8 3.4.国家法定节假日值班规定12 4.相关处理流程13 4.1.应用系统检查流程13 4.2.网络设备检查流程13 4.3.安全设备检查流程14 4.4.系统漏洞发现及补丁更新流程14 4.5.硬件设备物理检查流程15 4.6.国家法定节假日值班流程15 5.相关表单文档16 5.1.信息系统日常操作及维护管理责任表16 5.2.信息系统维护值班表16 5.3.系统进程及端口开放记录表17 5.4.应用系统检查表17 5.5.网络设备检查表18 5.6.安全设备检查表19 5.7.硬件设备物理检查流程20 5.8.漏洞补丁监控及更新记录21 5.9.系统异常故障记录单21 5.10.值班表22 前 言 为了保护XXXXXX信息网络系统的安全，促进信息化建设的顺利进行，保障XXXX信息化的应用和发展，根据公安部发布的《计算机信息网络国际联网安全保护管理办法》、国家XX专卖公司发布的《XX行业计算机信息网络安全保护规定》，制定本规定。 本标准由XXXXXX提出 本标准由XXXXXX信息管理部归口 本标准起草部门：信息管理部 本标准主要起草人：XXX 3. 目的 为了保障XXXXXX业务的正常开展，确保信息系统的正常运行，规范信息系统日常操作及维护阶段安全要求，特制订此管理制度。 4. 适用范围 本制度适用于XXXXXX信息管理部的所有信息系统管理和维护人员。 5. 信息系统日常操作及维护管理 所有信息系统内的资源，包括主机操作系统、应用系统、网络设备和安全设备，信息管理部都应指派专门的信息技术管理员和职守员，进行日常操作和维护的管理工作，制定《信息系统日常操作及维护管理责任表》，责任到人，保证信息系统的正常运行。 信息系统实行7×24小时运行。在法定工作日的工作时间应安排具备相应专业技术水平的人员进行5×8小时现场值班，制定《信息系统维护值班表》，于每月初定期发布，遇当月有重大节假日，应根据实际情况提前安排值班表，并通知到值班人员。 信息管理部信息系统第三方职守员应实行主、副岗备用制度。当主岗不在时，第三方公司应指派具备主岗同等专业技术水平的副岗，代替其执行相关工作。 所有信息系统第三方职守员应每天向对应主管的信息管理部信息技术管理员或信息安全管理员提交工作日报。 第三方职守员对信息系统的所有操作都必须进行记录，日常维护操作应在工作日报中进行说明；对信息系统进行较大操作或修改前，必须向所对应的信息管理部信息技术管理员或信息安全管理员提交修改方案及申请。 3. 4. 5. 5.1. 操作系统日常操作及维护 (9) 必须严格管理操作系统账号，定期对操作系统账号和用户权限分配进行检查，系统职守员至少每月检查一次，并报信息技术管理员审核，删除长期不用和废弃的系统账号和测试账号。 (10) 必须加强操作系统口令的选择、保管和更换，系统口令做到： l 长度要求：8位字符以上； l 复杂度要求：使用数字、大小写字母及特殊符号混合； l 定期更换要求：每90天至少修改一次。 (11) 订阅计算机紧急响应机构的公告或第三方专业安全机构提供的安全漏洞信息的相关资源，及时提醒信息管理部信息技术管理员和信息安全管理员任何可能影响系统正常运行的漏洞。 (12) 信息安全管理员应指定安全职守员专门负责补丁更新工作，并根据《系统漏洞发现及补丁更新流程》完成补丁更新工作。 (13) 安全职守员需定期进行安全漏洞扫描和病毒查杀工作，平均频率应不低于每周一次，重大安全漏洞发布后，应在3个工作日内进行上述工作。为了防止网络安全扫描以及病毒查杀对网络性能造成影响，应根据业务的实际情况对扫描时间做出规定，需安排在非业务繁忙时段。信息技术管理员应为每个系统指定专门的系统职守员，由系统职守员对所负责的服务器进行检查，至少每天一次，确保各系统都能正常工作；监控系统的CPU利用率、进程、内存和启动脚本等使用情况。 (14) 当系统职守员监测到以下几种已知的或可疑的信息安全问题、违规行为或紧急安全事件系统时，应立即报告信息技术管理员，同时采取控制措施，并记录《系统异常故障记录单》： l) 系统出现异常进程； m) CPU利用率，内存占用量异常； n) 系统突然不明原因的性能下降； o) 系统不明原因的重新启动； p) 系统崩溃，不能正常启动； q) 系统中出现异常的系统账户； r) 系统账户口令突然失控； s) 系统账户权限发生不明变化； t) 系统出现来源不明的文件； u) 系统中文件出现不明原因的改动； v) 系统时钟出现不明原因的改变； (15) 系统日志中出现非正常时间登录，或有不明IP地址的登录； (16) 系统职守员对操作系统的任何修改，都需要进行备案，对操作系统的重大修改和配置（如补丁安装、系统升级等操作）必须向信息技术管理员提交系统调整方案，由信息技术管理员审核通过后方可实施。操作系统的配置和修改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。 (17) 保证操作系统日志处于运行状态，系统值守员应定期对日志进行审计分析，至少每月审计一次，重点对登录的用户、登录时间、所做的配置和操作做检查，在发现有异常的现象时及时向信息技术管理员报告。 (18) 系统职守员应设置操作系统日志归档保存功能，历史记录保持时间不得低于一年。 5.2. 应用系统安全日常操作及维护 (11) 新的应用系统在正式上线运行前应由信息管理部信息安全管理员进行安全检查，检查通过方能正式运行使用。严禁在不检查或检查未通过的情况下将应用部署到正式环境中。检查的内容包括： g) 检查应用系统的软件版本； h) 检查应用系统软件是否存在已知的系统漏洞或者其它安全缺陷； i) 检查应用系统补丁安装是否完整； j) 检查应用系统进程和端口开放情况，并登记《系统进程及端口开放记录表》备案； k) 应用系统安装所在文件夹是否为只读权限； l) 检查是否开启应用系统日志记录功能，并启用日志定期备份策略。 (12) 应用系统上线运行后，应经过一段时间的试运行，在试运行阶段，应严密监控其运行情况；当发现应用系统运行不稳定或者出现明显可疑情况时，应立即将事件报告IT服务平台，必要时应启动应用系统应急预案。 (13) 应用系统经试运行正式上线运行后，信息技术管理员应指派专门的系统职守员，由职守员与开发测试人员进行系统交接。 (14) 应用系统软件安装之后，应立即进行备份；在后续使用过程中，在应用系统软件的变更以及配置的修改前后，也应立即进行备份工作；确保存储的软件和文档都是最新的，并定期验证备份和恢复策略的有效性。 (15) 必须严格管理应用系统账号，定期对应用系统账号和用户权限分配进行检查，至少每月审核一次，删除长期不用和废弃的系统账号和测试账号。 (16) 必须加强应用系统口令的选择、保管和更换，系统口令做到： l 长度要求：8位字符以上； l 复杂度要求：使用数字、大小写字母及特殊符号混合； l 定期更换要求：每90天至少修改一次。 (17) 信息安全管理员应指定安全职守员专门负责应用系统补丁更新工作，并根据《系统漏洞及补丁更新流程》完成应用系统补丁更新工作。 (18) 系统职守员应对所负责的应用系统进行检查，至少每天一次，确保各系统都能正常工作，当发现应用系统运行不稳定或者出现明显可疑情况时，应立即将事件报告IT服务平台，发生重大安全事件时，应立即报告信息管理部信息安全管理员，并记录《系统异常故障表》，必要时应启动应用系统应急预案。 (19) 系统职守员对应用系统的任何修改，都需要进行备案，对应用系统的重大修改和配置（如补丁安装、系统升级等操作）必须向信息技术管理员提交系统调整方案，由信息技术管理员审核通过后方可实施。应用系统的配置和修改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。 (20) 保证各应用系统的系统日志处于运行状态，系统值守员应定期对日志进行审计分析，至少每月审计一次，重点对登录的用户、登录时间、所做的配置和操作做检查。 (21) 系统职守员应设置应用系统日志归档保存功能，历史记录保持时间不得低于一年。 5.3. 网络及安全设备日常操作及维护 2. 2.1. 2.2. 2. 2.1. 2.2. 3. 4. 5. 5.1. 5.2. 5.3. 5.3.1. 网络及安全设备管理 (13) 必须严格管理设备系统账号，定期对设备系统账号和用户权限分配进行检查，至少每月审核一次，删除长期不用和废弃的用户账号。 (14) 必须加强设备系统口令的选择、保管和更换，设备口令做到： l 长度要求：8位字符以上； l 复杂度要求：使用数字、大小写字母及特殊符号混合； l 定期更换要求：每90天至少修改一次。 (15) 对网络和安全设备的管理必须经过严格的身份认证和访问权限的授予，认证机制应综合使用多认证方式，如强密码认证+特定IP地址认证等。 (16) 网络和安全设备的用户名和密码必须以加密方式保存在本地和系统配置文件中，禁止使用明文密码保存方式。 (17) 网络和安全设备的配置文件，必须由负责此设备的职守员加密保存，由信息技术管理员加密留档保存，职守员和信息技术管理员必须确保配置文件不被非法获取。 (18) 对网络和安全设备的远程维护，建议使用SSH、 S等加密管理方式，禁止使用Telnet、 等明文管理协议。 (19) 限定远程管理的用户数量，每设备管理用户不能超过5个；限定远程管理的终端IP地址，设置控制口和远程登录口的超时响应时间，让控制口和远程登录口在空闲一定时间后自动断开，超时响应时间最多不能超过3分钟。 (20) 对网络和安全设备的管理维护，尽可能避免使用SNMP协议进行管理，如果的确需要，应使用V3 版本代替V1、V2 版本，并启用MD5 等校验功能；SNMP协议的 Community String 字串长度应大于12位，并由数字、大小写字母和特殊字符共同组成；启用SNMP协议后，必须指定SNMP服务器的地址。 (21) 信息技术管理员应为每个网络和安全设备指定专门的职守员，由职守员对所负责的网络和安全设备进行账户、口令、账户认证方式、密码存储方式、远程管理方式等项目的检查，具体检查标准请参见4.3.1章节中的第1至8条制度；至少每月检查一次，确保各网络和设备都能正常工作。 (22) 网络和安全设备职守员应定期对所负责的设备进行性能和故障检查，至少每天一次，监控设备的CPU、内存、硬盘使用率和网络接口状态等使用情况，确保各设备都能正常工作，如发现异常情况，应立即报告信息管理部信息安全管理员，同时采取控制措施，并记录《系统异常故障表》。 (23) 网络和安全设备职守员对网络和安全设备的任何修改，都需要进行备案，对设备的重大修改和配置（如路由调整、系统升级等）必须向信息技术管理员提交设备调整方案，由信息技术管理员审核通过后方可实施。设备的配置和修改必须在非业务时间进行，重大调整必须提前准备应急预案和回退方案。 (24) 开启网络和安全设备日志记录功能，并将日志同步到集中网管系统上，系统值守员应定期对日志进行审计分析，至少每月审计一次，重点对登录的用户、登录时间、所做的配置和操作做检查，在发现有异常的现象时及时向信息技术管理员报告。 (25) 网络和安全设备职守员应设置定期对设备日志进行归档保存，历史记录保持时间不得低于一年。 5.3.2. 网络设备安全配置 以下网络设备的安全维护制度，均为Cisco路由器和交换机操作命令为例。 (1)