信息系统安全监控及审计管理制度.docx

信息系统安全监控及审计管理制度 第一章 总则 第一条本制度的目的是对 （以下简称“ 高速公路”）信息系统相关工作进行定期信息安全监控和审计管理，为安全事件的事后追查提供足够信息，加强对系统管理员、安全管理员操作行为的监督检查，及时发现违规行为，规范信息系统安全监控和审计工作，保障该项工作有序开展，特制定本制度。 第二条本制度适用于 高速公路信息系统安全运行维护与管理相关的监控和审计工作。 第二章 安全监控及审计管理 第三条安全管理员应监控并定期审计各信息系统的安全状况。 第四条安全管理员定期汇报监控及安全审计结果。 第五条对审计结果进行抽检和检验。 第三章 安全监控的内容 第六条安全监控的内容主要包括： 网络监控； 主机监控； 数据库监控； 应用系统监控。 第七条网络监控：应对网络系统中的网络设备运行状况、网络流量、用户行为等进行监控。 第八条主机监控：应对关键主机的重要用户行为、系统资源的异常使用和重要系统命令的使用等重要安全相关事件进行监控。 第九条数据库监控：应对数据库的操作进行监控，以保护数据库的安全，并检测数据在传输过程是否受到破坏及数据存储和保密性。 第十条应用监控：监控应用进程占有的资源量，如CPU时间、内存使用量等；监控应用系统的异常行为；监控应用进程的异常中止、应用的异常连接；监控应用的各种网络连接，对应用系统发送与接受的信息内容进行监控。 第四章 安全审计及分析的内容 第十一条安全审计的内容主要包括： 网络安全审计； 主机安全审计； 数据库安全审计； 应用系统安全审计。 第十二条网络安全审计的主要内容包括对网络登录的审计、网络操作的审计和日志的审计。分别是指： 对网络登录进行审计，审计网络设备的登录情况，记录用户名、时间、登录次数、是否成功等信息； 对网络操作进行审计，审计网络设备的操作情况，记录对网络设备的操作情况、时间、事件类型、操作是否成功等信息； 对网络系统日志进行审计。 第十三条主机安全审计：主要内容包括对系统登录、系统操作、日志、系统文件操作、主机连接、主机拨号、系统进程、系统连接设备以及综合性审计。分别是指： 对系统登录进行审计，审计主机的登录情况，审计登录主机的用户名、时间等； 对系统操作进行审计，审计主机管理员操作情况，记录对主机的操作和变更； 对系统资源的异常使用进行审计； 对重要系统命令的使用进行审计； 对系统信息进行综合审计，审计系统的配置信息和运行情况进行审计，包括主机机器名、网络配置、用户登录、进程情况、CPU和内存使用情况、硬盘容量等； 对系统日志进行审计，系统日志审计包括：系统日志、安全日志、应用程序写入的系统日志、其它服务日志（如：DNS Server）等，同时对系统日志进行管理； 对系统的文件操作进行审计，记录重要文件的使用情况； 对主机网络连接进行审计与保护，记录和监控主机的网络连接情况，审计主机开启的服务，记录数据包情况，便于分析网络对主机的影响； 对主机拔号情况进行审计，审计特定计算机的拨号情况，显示被审计主机的拨号用户、拨号号码、拨号时间等信息；系统默认的情况下，禁止被审计的主机通过任何号码拔号上网； 对被审计主机上光驱、软驱、串口、USB的用户使用情况进行审计，包括访问时间、当前登录用户等； 对系统进程进行审计，审计主机异常进程、未知进程。 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 应保护审计记录，避免受到未预期的删除、修改或覆盖等。 第十四条数据库安全审计：主要内容包括对数据库日志、操作、保密性及数据传输的完整性进行审计。分别是指： 对数据库系统本身所产生的日志文件进行审计； 对数据库操作进行审计，对数据包中数据操作语法的分析，审计对数据库中的某个表、某个字段和视图进行了什么操作； 对数据库内信息的保密性进行审计； 对数据传输的完整性进行审计； 审计记录应包括事件的日期、时间、类型和结果等； 应保护审计记录，避免受到未预期的删除、修改或覆盖等。 第十五条应用系统安全审计：主要内容包括对应用系统网络连接和日志的审计，分别指： 对应用系统自身产生的日志文件与系统日志进行审计； 对应用系统的各种网络连接进行审计，并对相应的发送与接受信息内容进行审计； 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等； 应保证无法删除、修改或覆盖审计记录。 第五章 附则 第十六条本制度由 高速公路息中心负责解释并督促执行； 第十七条本制度自印发之日起实行。