信息系统安全审计管理制度
第一条 为了加强对威尼斯98488信息系统的安全审计管理,结合威尼斯98488信息与教育技术中心实际情况特制定本管理制度。
第二条 本制度适用于威尼斯98488信息系统及用户的安全审计管理。
第三条 本制度中的安全审计是指威尼斯98488计算机信息系统的可靠性、安全性进行了解和评价,并找到极佳途径在最大限度保障系统安全的基础上使得科研生产工作正常进行的行为和手段。
第四条 威尼斯98488计算机信息系统的安全审计采取系统层主机监控与审计、网络层扫描侦听、应用层审计日志相结合的方式,由安全审计员与安全管理员定期提交系统综合审计报告。
第五条 所有接入威尼斯98488网络的计算机必须安装主机监控与审计系统客户端监控引擎,没有安装监控引擎的不准接入威尼斯98488网络,特殊情况下需要技术服务中心批准;严禁擅自删除、更改或停止客户端审计监控引擎。
第六条 主机监控与审计系统采用分级管理模式,一级管理中心负责为各二级管理中心分发权限,各二级管理中心负责对所管辖的终端进行监控与审计,并将报警级别为高及以上的信息传送到一级管理中心。
第七条 主机监控与审计系统一级管理中心由信息与教育技术中心负责管理,技术总监负责监督检查;二级管理中心由各单位信息部门负责管理,各单位保密部门负责监督检查。信息与教育技术中心负责一、二级管理中心系统技术支持。
第八条 主机监控与审计系统默认安全策略由信息与教育技术中心负责制订,参见附件1(主机监控与审计系统默认安全策略);各单位参照默认策略进行策略调整并制订适合于本单位的安全策略,由技术总监审批后执行。
第九条 主机监控与审计系统采用权限分级管理,根据不同的管理权限将管理员划分为三员:系统管理员、审计管理员、密钥管理员。各级管理中心必须设置三员,其职责参见附件2(主机监控与审计系统三员及管理职责)。
第十条 服务器的系统访问日志由所在单位系统管理员负责管理,并须建立系统用户的审计日志,包括用户登录的用户名、登录时间、注销时间、访问操作对象等(参见附表1),且鉴别失败、系统配置修改、用户权限修改等重要事件须有详细记录,以便提交给安全管理员进行审查。
第十一条 系统层审计监控台由各级安全管理员负责管理,并须建立安全审计监控记录,包括客户机的安全策略、审计日志、系统登录、设备和端口访问等(参见附表2)。
第十二条 网络层扫描侦听由网络管理员配合安全审计员完成,主要负责定期对服务器网段、网络设备网段和其它部分网段实施漏洞扫描和网络侦听,并提交相应的报告供安全管理员审查。
第十三条 应用层审计日志(包括门户网站和OA系统、各数据库应用系统、电子邮件应用系统等)由不同的应用系统管理员分别负责管理,并须建立应用系统用户的审计日志,包括登录系统的用户名、登录时间、注销时间、访问操作对象等(参见附表3),且鉴别失败、应用系统配置修改、用户权限修改、系统出错等重要事件须有详细记录,以便提交给安全管理员进行审查。
第十四条 对有关的安全审计日志应采取设定访问权限、定期备份(周期不得长于一个月)等保护措施来保障审计日志的保密性与完整性。
第十五条 安全审计员必须配合安全管理员定期审查各种安全审计日志和报告,并向技术服务中心提交系统综合审计报告,周期不得长于一个月。
第十六条 根据审计日志发现有非授权或非法操作行为的用户,由各部门对该用户发出书面警告通知书(见附表4);对于造成事故或严重后果的,由信息与教育技术中心按相关规定处理。
附表1:服务器系统用户审计日志记录表
服务器名称: 服务器系统类型: 系统管理员:
用户计算机IP/MAC地址 | 用户名 | 登录时间 | 注销时间 | 访问的服务名称或端口 | 操作内容 | 事件记录 | 记录时间 | 备注 |
附表2:安全审计监控记录表
安全管理员: 安全审计员:
用户计算机IP/MAC地址 | 用户计算机安全策略情况 | 用户计算机审计日志情况 | 用户计算机系统帐号及登录情况 | 用户计算机设备及端口情况 | 用户计算机文件访问情况 | 其它审计监控情况 | 记录时间 |
附表3:应用系统用户审计日志记录表
应用系统服务器名称: 应用系统类型: 应用系统管理员:
用户计算机IP/MAC地址 | 用户名 | 登录时间 | 注销时间 | 访问的服务名称或端口 | 操作内容 | 事件记录 | 记录时间 | 备注 |
附表4:网络安全事件警告通知书
威尼斯98488信息与教育技术中心
网络安全限期整改通知书
成中医信息【 】 号
:
根据《网络安全法》、《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全管理办法》、《互联网安全保护技术措施规定》、《信息安全等级保护管理办法》,教育部于 年 月 日对你单位网络安全保护工作进行了检测和扫描,发现存在下列违法违规行为,并提出整改建议(附件1):
目前我中心已关闭该系统外网访问权限,请你单位于 年 月 日前整改,并在期限届满前将整改反馈表(附件2)报信息中心,我中心确认整改完成后再开放外网。
附件1:信息系统安全详情
附件2:威尼斯98488信息系统安全整改反聩表
信息与教育技术中心
年 月 日
威尼斯98488信息系统安全整改反聩表
年 月 日
信息安全事件名称 | |||
域名及IP地址 | |||
危害程度/等级 | |||
责任单位 | |||
信息员 | 联系电话 | ||
电子邮箱 | |||
是否第三方合作单位提供,单位名称 | |||
联系人 | 联系电话 | ||
处理过程 | |||
处理结果 | |||
单位负责人 | (盖章) | ||
附件1:主机监控与审计系统默认安全策略
1、一级管理中心设置二级管理中心策略:
类别 | 管理对象名称 | 可设置策略 | 备注 | ||
接口 | 串口 | 启用、 | 禁用 | ||
并口 | 启用、 | 禁用 | |||
红外接口 | 启用、 | 禁用 | |||
设备 | 光驱 | 启用、 | 禁用 | ||
软驱 | 启用、 | 禁用 | |||
MODEM | 监控、 | 禁用 | |||
打印机 | 监控、 | 禁用 | |||
新添加硬盘 | 监控、 | 禁用 | |||
新添加网卡 | 监控、 | 禁用 | |||
USB存储设备 | 监控、 | 禁用 | |||
USB打印设备 | 监控 | 禁用 | |||
USB集线器 | 监控 | 禁用 | |||
USB通信设备 | 监控 | 禁用 | |||
USB输入设备 | 监控 | 禁用 | |||
其它USB设备 | 监控 | 禁用 | 除上面五种USB设备之外的USB类设备 | ||
1394设备 | 监控 | 禁用 | |||
PCIMA设备 | 监控 | 禁用 | |||
行为 | 文件监视 | 启用 | 禁用 | 启用文件监控即可记录对光驱、软驱、移动硬盘等移动存储设备及指定的文件或文件夹的读写操作。禁止就是不记录上述操作。 | |
更改网络参数 | 启用 | 禁用 | 禁用是指不允许修改网络配置,并不是不允许使用网卡。 | ||
允许终端进入安全模式 | 启用 | 禁用 | 禁用,则用户无法通过进入安全模式登陆计算机系统 | ||
介质 | 使用未注册U盘 | 监控 | 禁用 | ||
使用普通U盘 | 监控 | 禁用 | |||
其他 | 是否转发终端报警 | 转发 | 不转发 | 注:此部分为上、下级管理中心策略特有 | |
报警事件级别范围 | 信息 低 中 高 最高 | ||||
2、终端策略:(在各管理中心设置)
根据不同的岗位、职责、涉密范围、工作需要等来界定所用策略:暂定为:单位领导、行政人员、部门领导、科研人员、其他人员
| 单位领导 | 行政人员 | 部门领导 | 科研人员 | 其他人员 |
串口 | 禁用 | 禁用 | 禁用 | 禁用 | 禁用 |
并口 | 禁用 | 禁用 | 禁用 | 禁用 | 禁用 |
红外接口 | 禁用 | 禁用 | 禁用 | 禁用 | 禁用 |
光驱 | 启用 | 禁用 | 启用 | 启用 | 禁用 |
软驱 | 启用 | 禁用 | 启用 | 启用 | 禁用 |
MODEM | 禁用 | 禁用 | 禁用 | 禁用 | 禁用 |
打印机 | 监控 | 监控 | 监控 | 监控 | 禁用 |
新添加硬盘 | 禁用 | 禁用 | 禁用 | 禁用 | 禁用 |
新添加网卡 | 禁用 | 禁用 | 禁用 | 禁用 | 禁用 |
USB存储设备 | 监控 | 监控 | 监控 | 监控 | 监控 |
USB打印设备 | 监控 | 监控 | 监控 | 监控 | 禁用 |
USB集线器 | 监控 | 监控 | 监控 | 监控 | 禁用 |
USB通信设备 | 禁用 | 禁用 | 禁用 | 禁用 | 禁用 |
USB输入设备 | 启用 | 启用 | 启用 | 启用 | 启用 |
其它USB设备 | 禁用 | 禁用 | 禁用 | 禁用 | 禁用 |
1394设备 | 禁用 | 禁用 | 禁用 | 监控 | 禁用 |
PCIMA设备 | 禁用 | 禁用 | 禁用 | 禁用 | 禁用 |
文件监视 | 启用 | 启用 | 启用 | 启用 | 启用 |
更改网络参数 | 禁用 | 禁用 | 禁用 | 禁用 | 禁用 |
允许终端进入安全模式 | 启用 | 禁用 | 启用 | 启用 | 禁用 |
使用未注册U盘 | 禁用 | 禁用 | 禁用 | 禁用 | 禁用 |
使用普通U盘 | 禁用 | 禁用 | 禁用 | 禁用 | 禁用 |
