4A审计系统管理规范.doc

XXXX集团 4A审计系统管理规范 版本：1.0 XXXX信息技术部门 第一章 总则 为了加强及保障XXXX集团的网络和数据不受来自外部和内部用户的入侵和破坏，对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计，保证业务支撑系统安全策略的管控，保障业务支撑系统安全、高效的运行，特制订本规范。 本规范适用于XXXX集团信息技术部门（包含其他运维厂商）集中管理维护及审核其在4A审计系统（堡垒机）上的相关信息安全策略操作。 第二章 岗位职责 审计管理员：负责对所有通过4A审计系统（堡垒机）管理的操作系统、数据库、中间件、网络设备以及安全设备等账号进行集中管理，并对系统管理员、策略服务管理员所操作的行为日志进行全生命周期的监控，实现收集、汇总并分析，判定操作的合规性; 系统管理员、策略服务管理员：有责任协助配合审计管理员完成指定的审计任务。 系统管理员、策略服务管理员有责任根据审计管理员提供的审计结果、建议，采取相应的动作，来进一步增强系统的安全性，可审计性，阻止破坏系统安全审计的行为。 为了最大限度地提高有效性，系统管理员、策略服务管理员应该最大程度地减少系统审计过程的干预。 第三章 4A审计管理 在XXXX集团信息安全运维管理中，需要部署4A审计系统（堡垒机）设备，在进行对设备以及系统相关运维的任何时间内，所有的管理流量都必须经过4A审计系统（堡垒机）方可进行操作； XXXX集团的相关运维人员必须遵守4A审计系统（堡垒机）的管理规范，不得私自随意的对运维管理流量进行破坏和更改，分配日志审计责任时，应该考虑把审计人员和被监控者的角色分离开来，须严格执行4A审计系统（堡垒机）的运维工作； 对在4A审计系统（堡垒机）的运维管理中，要对账号使用过程中的行为、资源等异常情况进行合理有效的审计，尤其对新帐户的创建、用户权限升级、口令更改、配置的更改、系统文件的删除、系统启动和停止、I/O 设备连接/分离、端口开启、进程启动等敏感操作要着重进行分析审计和严格把控，做好审计内容的记录归档； 针对各类运维管理操作中，需要对不同类型、不同功能、不同价值的设备日志以及数据进行审计，应包含相关会话时间、会话协议、服务IP、服务端口、操作命令、返回信息、运维帐号、审批帐号、资源账号等信息； 审计日志必须至少包含4W（who/when/where /what）要素： （一）用户ID或帐号 （二）操作日期和时间 （三）终端标识或位置 （四）用户所进行的操作 （五）系统的成功访问和拒绝访问的记录 （六）数据与其它资源的成功访问和拒绝访问记录 审计日志类型应包含： （一）网络类日志（鉴权平台、网络设备日志） （二）主机类日志（主机本身日志） （三）应用类日志（交换机、智能网等应用系统日志） （四）安全类日志（IDS、防火墙等） 应根据监控系统的实际情况定义高危行为集合，并进行分析和处理，其中高危行为可包括： （一）系统文件删除、系统文件的修改、系统文件属性修改、格式化磁盘、操作服务端口开启、启动后台进程和可执行文件安装等。 （二）数据库高危操作包括：关键数据项的修改及删除等。 （三）应用层高危操作包括：用户数据的修改、关键业务系统配置的修改 （四）其他高危行为还包括：用户越权访问、用户权限升级、更改口令、新建用户、非正常时间登陆、多次错误登陆、审计策略更改和其他异常事件。 需要安排专人对4A审计系统（堡垒机）的各管理岗位职责进行学习，定期有效的对所有经过4A审计系统（堡垒机）的管理流量、操作行为、异常情况、安全事件等进行审计分析，应根据审计结果对安全事件进行处理，并记录处理过程和结果。 必须对审计日志做安全的保留及归档，避免受到未预期的删除、修改或覆盖等，其中审计日志记录的保存至少应为6个月，并必须定期对审计的日志进行备份，便于事后的分析审计； 应提供所有运维人员的安全意识，要时刻知晓所有的运维操作必须经过4A审计系统（堡垒机），及时对运维的操作、数据、日志、事件等进行检查，对新通过4A审计系统（堡垒机）进行运维的情况进行及时审计，通知相关管理员进行评估，判断是否允许开设其运维账号以及运维人员的安全意识。 第四章 申请流程 4A审计系统的核心思路是逻辑上将人与目标设备分离，建立“人-主账号（堡垒机用户账号）-授权-从账号（目标设备账号）的模式；在这种模式下，基于唯一身份标识，通过集中管控安全策略的账号管理、授权管理和审计，建立针对维护人员的“主账号-登录-访问操作-退出”的全过程完整审计管理，具体账号申请表请参考附件：《4A审计系统账号申请表》，其中申请流程如下： 申请单位（部门）—所属单位（部门）负责人—信息技术部门审计管理员—分配相关账户并授权—完善<资源管理表>和<自然人表>—归档 第五章 变更流程 为了更好完善对4A审计系统的