公司信息系统安全设备运行维护规范.docx

PAGE 228 公司信息系统安全设备运行维护规范 总则 为统一AA省BB单位（公司）信息化管理处管理人员对AA省BB单位（公司）信息系统中安全设备的运行维护规范, 特制定本规范。 本规范适用于AA省BB单位（公司）。 适用产品范围 AA省BB单位（公司）信息系统中的所有相关安全设备实施必须执行本规定，包括： （一）安全防护类产品，如UTM、防火墙等； （二）恶意代码防护类产品，如防病毒软件； （三）监测审计类产品，如IDS、网络通讯协议分析系统等； 安全策略配置规范 安全设备部署规范 （一）安全防护类产品：AA省BB单位（公司）所有局域网内的出网连接必须通过安全防护类产品进行防护。安全防护类产品至少部署在以下几个方面： 互联网接入区； 广域网接入区； 内部各个区域边界与核心交换机之间。 （二）恶意代码防护类产品:对AA省BB单位（公司）的整体网络建立有效的、多层次的恶意代码防护体系，恶意代码防护类产品应分别部署到网关、邮件服务器、应用服务器以及客户端，并采用集中管理的方式。 （三）监测审计类产品：AA省BB单位（公司）信息系统中的重点服务器网段都应部署监测审计类产品。 安全设备策略配置规范 安全防护类产品策略配置规范如下： 默认状态下拒绝通信： 对于未明确允许的连接路径和互联网服务，必须通过安全防护类产品锁死，所有可允许通过的服务必须得到信息化管理处的批准并备案； 所有访问AA省BB单位（公司）网络的入站通信（除普通互联网用户外）必须通过统一部署的VPN网关进行加密； 对所有的重要网段进行子网的划分； 互联网出口安全防护产品必须使用网络地址转换功能，各区域间的安全防护产品采用网桥的方式透明接入网络中，并启用访问控制功能； 除普通的互联网用户外，对外服务系统应当使用动态口令或数字证书对用户进行认证； 对所配策略应做出相应的注释，标明该策略的作用范围；对于临时的配置变更策略，应在《安全设备配置变更申请表》（附件6-1-1）中注明该策略生效时间，系统管理员配置临时策略时应对其添加时间限制策略。 （二）恶意代码防护类产品策略配置规范如下： 设定每日进行预约更新； 每日自动检测客户端的恶意代码定义文件是否都已经更新到最新版本； 透过管理主控台，每周对各产品是否都已正常更新到新版的病毒定义状态进行检查； 每周检查防病毒控制端软件的扫描记录文件； 每两周对PC进行一次扫描； 每月对服务器执行全面扫描，应当生成月报表记录。 （三）监测审计类产品策略配置规范如下： 监测审计类产品监控范围应当包括重要应用服务器、各级网络设备等； 监控策略配置为全策略，并不断优化。 安全运维规范 报告及日志管理规范 安全防护类产品报告及日志管理规范： 对于安全防护类产品的配置参数、已启用服务和允许的连接等任何变化以及意外情况的处理，必须予以记录。另外，所有违背安全策略的可疑行为也必须予以记录； 至少保留两周日志，并保证日志的完整性； 每月生成一次安全防护类产品运行状况的报告。 恶意代码防护类产品报告及日志管理规范： 基于不同应用层次和操作系统上的恶意代码防护类产品必须进行实时监控，建立系统内部完整的层次化更新体系，收集和汇总网络范围内的病毒事件，并可以通过单一节点进行恶意代码防护类产品的日常管理。对于防病毒软件配置参数、部署情况的任何变化以及意外情况的处理，应当予以记录。 至少保留六个月日志，并保证日志的完整性； 当恶意代码防护类产品运行发生问题时，系统管理员应进行记录，并向安全管理员提交报告。 监测审计类产品报告及日志管理规范： 对于配置参数、部署情况的任何变化以及意外情况的处理，必须予以记录。另外，所有违背安全策略的可疑行为也必须予以记录； 至少保留两周日志，并保证日志的完整性； 每月生成一次监测审计类产品运行状况的报告。 安全产品备份管理规范 应当每日对安全产品日志进行自动增量备份； 至少每个月对安全产品日志、配置文件、报告等进行全备份； 当配置发生变化或遇紧急事件的前后必须对这些数据进行全备份。 定期审查规范 安全防护类产品定期审查规范： 必须每个月对安全防护类产品进行审查。审查内容至少必须包括对配置参数、启用的服务、允许的连接、日志以及安全措施是否充分等问题的考虑； 必须每月使用漏洞扫描软件对安全防护类产品进行一次安全评估； 审查必须由系统管理员或熟练的专业技术人员进行。 恶意代码防护类产品定期审查规范 必须每周对恶意代码防护类产品的更新、病毒爆发事件、病毒清除等情况进行审查； 必须每个月对恶意代码防护类产品的部署、策略管理、日志以及安全措施是否充分等进行审查； 审查必须由系统管理员或熟练的专业技术人员进行。 监测审计类产品定期审查规范 必须每个月对监测审计类产品进行审查。审查内容至少必须包括对配置参数、日志以及安全措施是否充分等