2) 安全职守员应根据XXXX终端和主机所在部门进行逻辑分组,并根据终端和主机
的工作时间,制定扫描策略,建议每周扫描一次,在中午休息时间启动病毒扫描,避免在业务繁忙时执行。
3) 信息管理部防病毒软件必须统一进行病毒特征库的更新,至少每周进行一次。重
大安全漏洞和病毒发布后,应立即进行更新,并在3个工作日内完成所有终端和主机的扫描工作。
4) 安全职守员应及时了解防病毒厂商公布的计算机病毒情报,关注新产生的、传播
面广的计算机病毒,并了解它们的发作特征和存在形态,及时发现计算机系统出现的异常是否与新的计算机病毒有关。
5) 安全职守员应及时了解各系统厂商所发布的漏洞情况,对于很可能被病毒利用的
远程控制的漏洞要及时提醒用户安装相关补丁。
6) 安全职守员负责防病毒软件的总体维护,每天定时登陆防病毒总控制台,检查
XXXX和各地市公司防病毒软件服务的运行状态,病毒实时监测和扫描状况以及防病毒服务器的运转情况,发现异常马上采取控制措施,如发现大规模病毒爆发,应及时上报信息安全管理员。
7) 安全职守员有责任维护各应用服务器及终端防病毒系统的正常运转,也需要定期
对防病毒软件的升级情况进行监控。如果遇到问题或者病毒报警,应采取控制措施并及时上报信息安全管理员。
8) 安全职守员应至少每次/月统计病毒报告,以分析历史病毒事件,加强安全策略防
范。
9) 新入网的终端及主机,在安装完操作系统后,要在第一时间内安装信息管理部统
一部署的防病毒软件;没有安装统一防病毒软件的Windows系统不得接入公司网络;终端及主机不得私自安装非统一部署的防病毒软件。 (3) 终端安全管理软件
1) 信息管理部对终端安全管理软件的部署应该做到统一规划,统一部署,统一管理。 2) 安全职守员应根据XXXX终端和主机所在部门进行逻辑分组,以便于统一管理。
8
3) 安全职守员负责终端安全管理软件的总体维护,每天定时登陆终端安全管理总控
制台,检查XXXX和各地市公司终端安全管理软件服务的运行状态,以及终端违规状况,发现异常马上采取控制措施,应及时上报信息安全管理员。
4) 安全职守员应根据终端和XXXXXX的实际安全需求来制定终端控制策略,策略下
发前,必须进行不少于两天的策略测试运行工作,必须在测试成功后才能对终端进行应用。
5) 新入网的终端及主机,应及时安装信息管理部统一部署的终端安全管理软件;没
有安装统一终端安全管理软件的Windows系统不得接入公司网络;终端及主机不得私自安装或开启非统一部署的终端安全管理软件。 (4) 入侵检测/保护系统
1) 入侵检测系统应实施旁路部署,部署于关键交换区域,建议部署在公司核心交换
机、服务器交换机等区域上,用于检测内网、互联网出口处、服务器区域出口线路等节点的网络入侵事件。
2) 入侵保护系统应实施串联部署,部署于关键交换区域,建议部署在公司核心交换
机、服务器交换机等区域上,用于检测并阻拦内网、互联网出口处、服务器区域出口线路等节点的网络入侵事件。
3) 入侵检测/防护系统必须定期进行入侵特征库的更新,至少每周进行一次。重大安
全漏洞和事件发布后,应立即进行更新。
4) 入侵检测/防护系统根据攻击特性启用入侵攻击、蠕虫病毒、间谍软件、P2P下载
等监控/防护规则。
5) 入侵防护系统应针对不同的入侵采取相应的响应动作。建议对于入侵攻击、蠕虫
病毒、间谍软件类攻击除报警操作外,采取会话丢弃或拒绝会话动作。
6) 入侵防护系统规则配置时应实时监控网络速度及公司业务应用的可用性,及时调
整监控规则,保证业务的正常运行。
7) 入侵检测/防护系统必须配置严密的报警体系,通过电子邮件、界面警示等方式实
现事件报警。
8
8) 安全职守员应针对发生的入侵事件进行跟踪分析,确定入侵源,采取措施消除安
全问题。对于重要安全事件应及时上报信息安全管理员。
9) 安全职守员应至少每次/月统计入侵报告,以分析历史安全事件,加强安全策略防
范。
10) 配置或更改入侵检测/防护系统策略前,必须对设备进行配置备份,安全职守员必
须向信息技术管理员提交入侵检测/防护系统策略调整方案,由信息技术管理员审核通过后方可实施。入侵防护系统的配置和更改必须在非业务时间进行,重大调整必须提前准备应急预案和回退方案。
11) 配置或更改入侵防护系统策略后,必须对网络和业务的连通性进行逐一测试,保
证信息系统的可用性。 (5) 漏洞扫描系统
1) 漏洞扫描系统必须定期进行漏洞特征库的更新,至少每周进行一次。重大安全漏
洞发布后,应立即进行更新。
2) 安全职守员应将XXXX终端主机和设备进行逻辑分组,以便于制定漏洞扫描和统
一管理。
3) 安全职守员应制定一份漏洞扫描策略,保证至少每月对XXXX终端主机以及设备
进行一次漏洞扫描,建议将扫描安排在非工作时间,避免在业务繁忙时执行。
4) 在每次扫描后,安全职守员应根据扫描结果提交一份漏洞扫描报告,上交给信息
安全管理员审核,经审核后责令各终端和系统负责人进行漏洞修补工作。 3.4. 国家法定节假日值班规定
(1) 值班假期指元旦、春节、“五一”、“十一”,不包括双休日及其他一些假期。 (2) 值班时间为:夏季上午8时至12时,下午15时至18时;冬季上午8时至12时,
下午14:30分至17:30分。
(3) 现场值班人员每天必须按照职责分工对网络、机房、业务系统等重点环节和部位
进行巡检,发现异常及时协调解决;对基层单位或其他人员报告的异常及时反馈,
8
及时解决。每日巡检工作,XXXX机关机房由XXXX信息管理部负责,XXXX数据中心机房由省电信代维。
(4) 非现场值班人员必须保证节日期间通讯24小时畅通,确保能够及时反馈及协调各
类设备、网络及信息系统相关问题。
(5) 如果发生重大故障和事件,值班人员要根据XXXX信息安全管理应急响应和事件
处理上报反馈的要求,立即进行上报和处理,以确保信息系统安全、正常运行。
(6) 各单位的值班人员务必坚守岗位,确保信息系统正常运行,有重大事项及时报告
XXXX信息管理部值班人员。
(7) 信息管理部不再执行《XXXXXX机关安全保卫值班管理规定》中有关法定节假日
值班的安排。
4. 相关处理流程
4.1. 应用系统检查流程
(1) 确认并登记应用系统信息,包括;系统名称、系统版本、IP地址等相关信息; (2) 检查应用系统补丁安装情况,并列出未安装补丁清单;
(3) 检查应用系统账户和口令情况,并列出可疑账户和弱口令信息; (4) 检查应用系统网络和服务开放情况,并列出可疑端口和进程信息; (5) 检查应用系统日志策略配置情况以及日志信息,并列出可疑事件; (6) 检查应用系统数据备份历史记录,并验证最后一次备份数据的有效性; (7) 依据以上检查结果生成《应用系统检查表》;
4.2. 网络设备检查流程
(1) 确认并登记网络设备系统信息,包括;设备名称、系统版本、IP地址等相关信息; (2) 检查网络设备账户和口令配置情况; (3) 检查网络设备网络和服务开放情况;
8
(4) 检查网络设备日志策略配置情况以及日志信息,并列出可疑事件; (5) 依据以上检查结果生成《网络设备检查表》;
4.3. 安全设备检查流程
(1) 确认并登记安全设备系统信息,包括;设备名称、系统版本、IP地址等相关信息; (2) 检查网络设备自身安全配置情况,如账户和口令配置、访问控制配置和日志策略
配置等;
(3) 检查防火墙访问控制策略开放情况; (4) 检查防病毒网关设备病毒代码库升级情况; (5) 检查入侵检测/保护设备入侵代码库升级情况。
4.4. 系统漏洞发现及补丁更新流程
第一步:漏洞及补丁更新监视
(1) 信息安全管理员指定一位安全职守员专门负责补丁漏洞及补丁监视和收集工作; (2) 信息管理部订阅第三方专业安全机构提供的安全漏洞和补丁信息。
(3) 安全职守员及时监视、收集第三方专业安全机构和各系统厂商公布的漏洞及补丁
更新信息;
(4) 安全职守员收集到漏洞和补丁信息后,详细填写《漏洞补丁监控及更新记录》,
并在1小时内将此信息上报给信息安全管理员;
(5) 由信息安全管理员根据漏洞影响系统,将漏洞信息下发给对应的系统职守员;
第二步:主动漏洞发现机制
(1) 安全职守员至少每次/月对XXXX终端主机以及设备进行漏洞扫描。 (2) 扫描结束后,安全职守员应根据扫描结果提交一份漏洞扫描报告。 (3) 漏洞扫描报告经信息安全管理员审核后,由其下发给系统负责人。
第三步:补丁安装
8