網絡安全之安全運維管理

網絡安全之安全運維管理目錄 前言 1.安全運維管理要求 1.1.環(huán)境管理要求 1.2.資產管理要求 1.3.介質管理要求 1.4.設備維護管理要求 1.5.漏洞和風險管理要求 1.6.網絡和系統(tǒng)安全管理要求 1.7.惡意代碼防范管理要求 1.8.配置管理要求 1.9.密碼管理要求 2.安全運維管理措施 2.1.環(huán)境管理安全措施 2.2.資產管理安全措施 2.3.介質管理安全措施 2.4.設備維護管理安全措施 2.5.漏洞和風險管理安全措施 2.6.網絡和系統(tǒng)安全管理 2.7.惡意代碼防范管理安全措施 2.8.配置管理安全措施 2.9.密碼管理安全措施 3.示例：xxx單位網絡安全事件應急預案 3.1.總則 3.1.2.編制依據(jù) 3.1.4.事件分級 第2頁共40頁 3.1.6.工作原則 3.2.組織體系與職責 3.3.應急響應 3.3.2.事件上報 3.4.信息管理 28 3.5.后期處置 293.6.保障措施 3.6.2.技術保障 3.7.2.應急演練 3.8.1.預案更新 31第3頁共40頁附錄1《國家網絡安全事件應急預案》事件分級 附錄2應急小組成員及聯(lián)系方式 附錄3重大網絡安全事件報告表 附錄4網絡安全事件處理結果報告 32附錄5網絡安全事件故障分析處置報告 33附錄6網絡故障事件專項預案 附錄7網站故障事件專項預案 附錄8關鍵應用故障事件專項預案 39附錄9數(shù)據(jù)泄露事件專項預案 IT系統(tǒng)能否正常運行直接關系到業(yè)務或生產是否能夠正常進行。但IT管理人員經常面臨的問題是：網絡變慢、設備發(fā)生故障、應用系統(tǒng)運行效率很低。IT系統(tǒng)的任何故障如果沒有及時得到妥善處理都將會產生很大的影響，甚至會造成巨大的經濟損失。IT部門通過采用相關的方法、手段、技術、制度、流程和文檔等，對IT運行環(huán)境(如軟硬件環(huán)境、網絡環(huán)境等)、IT業(yè)務系統(tǒng)和IT運維人員進行綜合管理，構建安全運行維護體系。1.安全運維管理要求1)應指定專門的部門或人員負責機房安全，對機房出入進行管理，定期對機房供配電、空調、溫濕度控制、消防等設施進行維護管理。2)應建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理做出規(guī)定。3)應不在重要區(qū)域接待來訪人員，接待時桌面上沒有包含敏感信息的紙檔文件、移動介質等。1)應編制并保存與保護對象相關的資產清單，包括資產責任部門、重要程度和所處位置等內容。2)應根據(jù)資產的重要程度對資產進行標識管理，根據(jù)資產的價值選擇相應的管理措施。3)應對信息分類與標識方法做出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理。1)應確保介質存放在安全的環(huán)境中，對各類介質進行控制和保護，實行存儲環(huán)境專人管理，并根據(jù)存檔介質的目錄清單定期盤點。確定機房的第一責任人，所有外來人員進入機房必須填寫《機房進出申請表》(見表1),且經過申請人申請日期訪問日期停留時間人人員姓名證件類型證件號碼訪問事由：陪同人員參觀測試線路安裝設備維護□其他訪問審核：主管領導：歸檔人簽名：計算機審批后的機房進入人員由當日的值班人員陪同，并登記《機房出入管理登記簿》(見表2),記錄序號日期姓名事由進入時間離開時間陪同人員號o號表2機房出入管理登記簿第8頁共40頁心協(xié)調清潔人員，清潔一次灰塵。清潔期間當日值班人員必須全程陪同，防止清潔人員誤操作。定期(至少每季度一次)檢查機房消防設備器材，并做好檢查記錄。定期對空調系統(tǒng)運行的各項性能指標(如風量、溫升、濕度、潔凈度、溫度上升率等)進行測試，并做好記錄，通過實際測量各項參數(shù)發(fā)現(xiàn)問題及時解決，保證機房空調的正常運行。機房內禁止隨意丟棄存儲介質和有關業(yè)務保密數(shù)據(jù)資料，對廢棄存儲介質和業(yè)務保密資料要及時銷毀，不得作為普通垃圾處理。嚴禁機房內的設備、存儲介質、資料、工具等私自出借或帶出。機房內嚴禁堆放與機房設備無關的雜物，避免造成安全隱患。機房內應保持清潔，嚴禁吸煙、喝水、吃東西、亂扔雜物、大聲喧嘩。機房禁止放置易燃、易爆、腐蝕、強磁性物品。禁止將機房內的電源引出挪作他用，確保機房安全。未經許可，機房內嚴禁攝影、攝像。機房內機柜、設備未經許可，不得任意改動；如果已獲得許可，需詳細記錄改動后的情況。進入機房工作的人員有責任在工作完成后及時清理工作場地、清除垃圾、做好設備標簽、關閉機柜柜門。3)機房值班管理機房值班員由內部人員當日輪值值班員負責。機房值班人員應具有高度責任心，做到不遲到、不早退、不擅離職守。機房安裝的監(jiān)控設備，由專人監(jiān)控，值班人員須及時對可疑情況排查、確認。機房值班人員應按要求及時監(jiān)控機房內設備，包括網絡設備、服務器、存儲、安全設備、UPS、空調等設備的運行，發(fā)現(xiàn)問題妥善解決，并向相關崗位管理員報告。值班人員負責當日的機房管理、安全檢查；發(fā)現(xiàn)問題應及時報告相應系統(tǒng)或設備管理員，可協(xié)助初步處理網絡、服務器及其他各類設備的技術問題，并做好處理記錄。值班人員須按照事先確定的巡檢頻率定時巡檢機房(每日至少一次),并填寫《機房巡檢記錄單》(見表3)。日期進入時間出去時間攜帶物人員民事項日常巡檢設備安裝設備維帶庫維護網絡調整領物取物升級調妹境監(jiān)測外來參觀表3機房巡檢記錄單遞過程中必須親自交給接受方。敏感信息被傳遞到外部時，內部的標簽需要明確標記為敏感信息，外盒或封套不標記內部信息字樣，由介質保管者確定是否滿足包裝要求，并在介質授權人批準授權后方可帶出。發(fā)送給外部的介質必須得到正確的追蹤。介質使用者應根據(jù)工作范圍劃分使用級別，嚴格控制使用權，嚴禁非法、越權使用。介質需統(tǒng)一存儲在介質管理庫中并統(tǒng)一登記，必須明確記錄介質的轉移和使用。存儲設備的使用人員在安裝和使用時必須防止未授權的訪問；介質需提供給第三方使用時，應先進行審批登記。必須對所有介質的出庫和入庫及其存儲記錄進行控制，如要從庫中移出，由申請人或申請部門填寫《介質進出記錄表》(見表4)。對標記為限制類的介質需經過領導和該介質所屬業(yè)務部門領導簽字同意，對標記為涉密的介質需由高級管理層以上負責人簽字同意，方可移出。該記錄表至少保存1年以上，以備庫存管理和審計。序號物品名稱借用原因借用日期歸還日期IT管理員12345表4介質進出登記表所有含有敏感信息的介質必須做好保密工作，禁止任何人擅自帶離；如更換或維修屬于合作方保修范圍內的損壞介質，需要和合作方簽訂保密協(xié)議，以防止泄漏其中的敏感信息。訪問介質必須要有授權，并在介質管理人員處進行登記，填寫《介質使用授權表》(見表5)。序號物品名稱使用人員批準人員時間123456789表5介質使用授權表序號物品名稱管理人員銷毀原因銷毀時間123民456789計算機表6介質銷毀記錄表對于保存待銷毀介質的容器，應進行上鎖或加封條等操作，防止介質被重新訪問或使用。根據(jù)業(yè)務需要給工作人員發(fā)放U盤、移動硬盤等移動介質僅作為業(yè)務需要之用。工作人員不得將組織發(fā)放的移動介質用于非工作用途。使用移動介質必須先進行病毒掃描。工作人員私人移動介質不得存儲敏感信息。2.4.設備維護管理安全措施建立設備維護管理制度，更好地發(fā)揮計算機信息化的作用，促進辦公自動化、信息化的發(fā)展。應指定專人負責IT設備的外觀保潔、保養(yǎng)和維護等日常管理工作。指定管理人員必須經常檢查所管IT設備的狀況，保持設備的清潔、整齊，及時發(fā)現(xiàn)和解決問題。IT設備使用者應保持設備及其所在環(huán)境的清潔。嚴禁在旁存放易燃品、易爆品、腐蝕品和強磁性物品。嚴禁在鍵盤附近放置水杯、食物，防止異物掉入鍵盤。指定管理人員要定期對進行維護。發(fā)現(xiàn)或發(fā)生故障時，使用者應及時與信息中心聯(lián)系，設備使用人首先確保對數(shù)據(jù)、信息自行備份。當IT設備無法自行維修時，如設備在保修期內出現(xiàn)故障時，由信息中心直接與供應商聯(lián)系維修事宜；如設備已過保修期需要報請外修時，信息中心要及時查明原因，填寫《IT設備維修申請單》(見表7),經負責人審批后聯(lián)系維修事宜。申請部門填寫申請部門申請人申請日期設備名稱緊急程度*可等待(1～2天內解決)*緊急(1～6小時內解決)*非常緊急(0~1小時內解決)問題描述及要求：特別說明號部門負責人意見行政部填寫維修詳情：維修結果：維修時間完工時間維修人申請人確認計算機表7IT設備維修申請單外包人員對IT設備進行維修時，信息中心指派人員陪同。若確實需要將含有敏感信息設備送至維修的IT設備作報廢處理，未到報廢期限的設備，經信息中心批準后作待報廢處理。當IT設備需要報廢時，由申請報廢的部門IT第14頁共40頁申表人所在部門報廢原因申請人簽字部門負責人意見部門負責人簽字物品名稱所在部門Q分管領導意見分管領導簽字計算機表8IT設備報廢申請單由申請報廢的部門憑批準后的《IT設備報廢申請單》將報廢設備交由信息中心進行信息資源回收處理，含有涉密或敏感信息的存儲介質需要進行數(shù)據(jù)清除，并按照保密相關規(guī)定進行報廢，避免信息泄露。應制定和風險管理制度，制定的發(fā)現(xiàn)和補丁管理的獲取、測試、實施的流程，來封堵安全，消除安全隱患，確保信息系統(tǒng)正常、穩(wěn)定、可靠地運行，以及推進風險工作的開展，確保風險評估實施的科學性、規(guī)范性和客觀性。管理是風險管理的過程，風險評估是風險管理的基礎。風險管理是指導和控制組織風險的過程。式。ISO27001標準要求企業(yè)設計、實施、維護信息安全管理體系都要依據(jù)PDCA循環(huán)模式。針對風險評估的范圍，開展詳細的風險分析(RA,RisksAnalysis),包括業(yè)務影響分析(BIA,BusinessImpactAnalysis)。風險分析的結果是風險評定的清單，并隨后體現(xiàn)在風險圖形化(又稱風險輪廓)展示。保證網絡通信暢通和IT系統(tǒng)的正常運營，提高網絡服務質量，確保各類應用系統(tǒng)穩(wěn)定、安全、高效重要網絡設備的口令要定期更改(周期應不超過3個月),一般要設置八個字符以上，并且應包含序號用戶名12345678表9用戶權限分配表用戶權限設置，按照確定的崗責體系以及各應用系統(tǒng)的權限規(guī)則進行，需遵循最小授權原則。新增、刪除或修改用戶權限，應通過運維平臺的用戶權限調整流程來完成。加強系統(tǒng)運行日志和運維管理日志的記錄分析工作，并定期(至少每季度一次)記錄本階段內的系統(tǒng)異常行為，記錄結果填入《系統(tǒng)異常行為分析記錄單》。2.7.惡意代碼防范管理安全措施應建立防病毒管理制度，對計算機進行預防和治理，進一步做好計算機的預防和控制工作，切實有效地防止病毒對計算機及網絡的危害，實現(xiàn)對病毒的持續(xù)控制，保護計算機信息系統(tǒng)安全，保障計算機的安全應用。同時，這部分的管理制度要與應急管理和變更管理等相結合，防止在應急響應期間或因不正確的變更引入惡意代碼。1)病毒事件處理辦法終端用戶發(fā)現(xiàn)病毒必須立刻報告給信息中心，服務器人員發(fā)現(xiàn)病毒必須立刻報告給安全管理員，同時使用計算機自帶的殺毒軟件進行病毒查殺。若防病毒軟件對病毒無效且病毒對系統(tǒng)、數(shù)據(jù)造成較大影響的，相關人員必須立刻聯(lián)系信息中心安全管理員。安全管理員必須詳細記錄下發(fā)生的時間、位置、種類、的具體功能、數(shù)據(jù)的損壞情況、硬件的損壞情況以及系統(tǒng)情況并進行查殺處理；對于難以控制的惡性，為避免進一步傳播，可以將被感染的從網絡中斷開；事后安全管理員必須調查和分析整個事件，并發(fā)出適當?shù)木妗?)主機和服務器防病毒策略所有必須有防軟件保護，同時對于文件保護不僅限于本地文件，也必須包括可移動存儲設備中的文件。防軟件必須被設置成禁止用戶關閉警報、關閉防護功能和防卸載的措施，所有對防軟件的升級申請人電子郵件需要變更的系統(tǒng)名稱及用途責任部門負責人可預見的因變更導致系統(tǒng)穩(wěn)定性和安全性問題因變更導致系統(tǒng)故障的恢復流程表10變更申請表③安全管理員對《變更申請表》的內容進行仔細研讀，確定變更操作安全可控后，在“xx⑥變更結束后由系統(tǒng)管理員和安全管理員共同對配置的公告.特別重大事件(口級).重大事件(口級)及應急響應日常運行小組評估，預計8小時內不可恢復的。②除網站外，同時有4個及以上重要業(yè)務系統(tǒng)無法正常提供服務。.較大事件(口級)急響應日常運行小組評估，預計在1小時以上8小時以內可以恢復的。②除網站外，同時有2個及以上4個以下重要業(yè)務系統(tǒng)無法正常提供服務。.一般事件(口級)應日常運行小組評估，預計1小時內可以恢復的。主要由網絡安全與信息化領導小組部分成員、領導小組辦公室主要負責人構成，由xxx任主要由xxx負責人、網絡安全管理人員、機房管理人員、運維人員以及安全服務技術人員組成，(2)事件上報。應急響應協(xié)調小組負責填寫《附錄3重大網絡安全事件報告表》后級響應由應急響應領導小組啟動，并向xxx網絡安全與信息化領導小組組長報告，其他各應急.口級響應級響應由應急響應協(xié)調小組啟動，并報應急響應小組，其他各應急響應小組在應急響應領導小.口級響應級響應由應急響應協(xié)調小組啟動，其他各應急響應小組在應急響應協(xié)調小組的統(tǒng)一指揮下，開應急響應協(xié)調小組組織應急響應日常運行小組和應急響應調查處置小組.口級響應應急響應日常運行小組組織應急響應調查處置小組的專業(yè)技術人員研究第28頁共40頁(1)事件認定。收集網絡安全事件相關信息，識別事件類別，判斷破壞的來源與性質，確保證據(jù)準確，以便縮短應急響應時間。(2)控制事態(tài)發(fā)展。抑制事件的影響進一步擴大，限制潛在的損失與破壞。(3)事件消除。在事件被抑制之后，找出事件根源，明確響應的補救措施并徹底清除。(4)系統(tǒng)恢復。修復被破壞的信息，清理系統(tǒng)，恢復數(shù)據(jù)、程序、服務，恢復信息系統(tǒng)。把所有被破壞的系統(tǒng)和網絡設備還原到正常運行狀態(tài)?；謴凸ぷ髦腥绻婕懊舾袛?shù)據(jù)資料，要明確數(shù)據(jù)資料保管責任人，資料接觸人員要嚴格保密，做好敏感數(shù)據(jù)資料的防泄漏工作。(5)事件追蹤。關注系統(tǒng)恢復以后的安全狀況，特別是曾經出現(xiàn)問題的地方；建立跟蹤檔案，規(guī)范記錄跟蹤結果；對進入司法程序的事件，配合國家相關部門進行進一步的調查，打擊違法犯罪活動。現(xiàn)場應急處置工作在事件得到控制或者消除后，應當終止。(1)應急響應領導小組決定終止應急，或其他應急響應小組提出，經應急響應領導小組批準；(2)應急響應領導小組向組織處置事件的各應急響應小組下達應急終止命令；(3)應急狀態(tài)終止后，應急響應領導小組應根據(jù)xxx統(tǒng)一安排和實際情況，決定是否繼續(xù)進行環(huán)境各應急響應小組和部門根據(jù)各自職責分工，及時收集、分析、匯總本部門或本系統(tǒng)網絡與信息系統(tǒng)安全運行情況信息，安全風險及事件信息及時報告應急響應協(xié)調小組，由應急響應協(xié)調小組匯總后上報應急響應領導小組。倡導社會公眾參與網絡、網站和信息系統(tǒng)安全運行的監(jiān)督和信息報告，發(fā)現(xiàn)網絡、網站和信息系統(tǒng)發(fā)生安全事件時，應及時報告。發(fā)生回級、回級網絡安全事件后，應由應急響應協(xié)調小組及時填報《重大網絡安全事件報告表》,并在應急事件終止后填報《重大網絡安全事件處理結果報告》。發(fā)生團級、圖級網絡安全事件并處置完成后，應由應急響應日常運行小組及時填報《網絡安全事件故障分析處置報告》。信息報告內容一般包括以下要素：事件發(fā)生時間、發(fā)生事故網絡信息系統(tǒng)名稱及運營使用管理單.應急響應技術服務第30頁共40頁①重要網絡和信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失，造成系統(tǒng)大面積癱瘓，喪失業(yè)務處理能力。①重要網絡和信息系統(tǒng)遭受嚴重的系統(tǒng)損失，造成③其他對國家安全、社會秩序、經濟建設和公眾利益③其他對國家安全、社會秩序、經濟建設和公眾利益附錄2應急小組成員及聯(lián)系方式工作組別姓名內線多與心D計算附錄3重大網絡安全事件報告表電子郵件責任部門負責人初步判定的事件原因事件級別影響范圍□套設備(系統(tǒng))本地局域網本地廣域網□其他□xxx省國家安全局□xxx省通信管理局領導小組組長簽字：計算如與網絡字附錄4網絡安全事件處理結果報告電子郵件(可增頁附文字、圖片以及其他文件)最終判定事件原因(可增頁附文字、圖片以及其他文件)事件級別□I級□Ⅱ級□業(yè)務中斷系統(tǒng)損壞其他影響范圍□套設備(系統(tǒng))本地廣域網□其他(可增頁附文字、圖片以及其他文件)(可增頁附文字、圖片以及其他文件)領導小組組長簽字：附錄5網絡安全事件故障分析處置報告故障編號事件影響范圍故障發(fā)生時間故障修復時間業(yè)務修復時間故障總歷時故障等級□Ⅲ級□IV級審核人職時間收件人收到時間存檔時間其他說明計算機與網絡安全附錄6網絡故障事件專項預案網絡恢復時首先保證網絡可用，再逐步恢復安全性、高可用性等功能。2.恢復步驟業(yè)務網絡恢復步驟主要分為三大部分：故障判斷、故障處理、故障恢復。故障處理流程見附錄6圖1所示和附錄6表1。手動測試否是是是否有否否鏈路故障鏈路故障D否是計算機與網絡安全查看報警信息1登錄監(jiān)控系統(tǒng)，查看告警中心、拓撲圖有無告警監(jiān)控有報警時，根據(jù)網絡拓撲圖2單個設備報警時，手動測試設備是否正常；如果正常，應該是鏈路故障，更換備用鏈路或維修鏈路；如果不正常，應該是設備故障，更換備用設備，或者跳過此設備或鏈路3多個設備報警時，需要使用ping,tracert等網絡工具從內到外或從外到內手動測試故障位置。類型：如果是設備故障，更換備用設備變者跳過此設備或鏈路；如果是鏈路故障，更換備用鏈路或維修鏈路4存在從內到外攻擊時，通或孤包確定源主機IP地址，并關閉源主機網絡連接，協(xié)調源主機維護方處理。存在從外到內攻擊對，判斷來源IP地址是否為單一IP,如果是單一IP地址，聯(lián)系聯(lián)通禁止此IP訪問：如果是多個IP,通知網警，聯(lián)通共同處理，并在設置辦公網防火墻，使辦公人員通過移動線路上網5恢復正常后，通知領導報警解除，恢復正常運營6編制《網絡安全事件處理結果報告》計算機與網給安全第36頁共40頁計現(xiàn)與陰紹安生附錄6圖2網絡中各設備所在網絡位置替換方法1防火墻無無2無核心交換機設備為雙機，一臺故障時不影響使用，維修故障設備即可3導入故障設備配置，更換一算機與網絡安主導入故障設備配置，更換確認病毒感染單臺計算機染毒部分區(qū)域計算機染毒網絡內所有計算機染毒染毒未崩潰染毒崩潰染毒未崩潰染毒崩潰染毒未崩潰染毒崩潰將該計算機斷開將連接將連接這些的算并所有交斷開所有交換機以算機斷網絡連接，格式這些計機的交換析開。化系統(tǒng)分區(qū)，重算機的將該什算規(guī)濟開互聯(lián)網的連將部分有重要資料新安裝系統(tǒng)和殺述安、格式接，為所有的計算機資料備份毒軟件，殺毒軟斷布化緊統(tǒng)分區(qū)，重的計算機進到移動存儲設備；機進行件安裝完畢和病對這些新安裝系統(tǒng)和殺為所有計算機重新殺毒處毒庫存更新后對計算機毒軟件，如有部安裝系統(tǒng)，殺毒軟理計算機其他分區(qū)進行殺門重要資料存放件安裝完畢和病毒進行殺毒處理毒處理在C區(qū)先將資料備份保存后再重裝系統(tǒng)，殺毒軟件安裝完畢和病毒更新后對計算機其他分區(qū)進行殺毒處理丁包庫更新后對計算機其他分區(qū)進行殺毒處理，然后安裝補丁包；最后對移動存儲設備進行殺毒處理，將備份的文正常運行計算機與網絡安全附錄7網站故障事件專項預案1.恢復順序系統(tǒng)恢復時首先確保數(shù)據(jù)的完整性和安全性。當恢復復雜系統(tǒng)時，恢復進程應按照業(yè)務系統(tǒng)重要性的優(yōu)先順序進行恢復，以避免對相關系統(tǒng)及業(yè)務產生重大影響。2.恢復步驟門戶網站頁面異?；謴筒襟E，主要分為三大部分：故障判斷、故障處理、故障恢復。詳細信息和故障處理流程見附錄7圖1和附錄7表1。和應用日志，尋找其他異常D通過樹站目錄感染主機是流程說明操作步驟1使用至少兩款瀏覽