1、网络安全管理规范网络安全管理规范编撰人:网络安全设计组编撰人:网络安全设计组 郭宏礼郭宏礼2目录第一部分:概述第二部分:总则第三部分:行为规范第四部分:网络安全管理u VPNVPN的安全管理的安全管理u 防火墙的安全管理防火墙的安全管理u IDSIDS的安全管理的安全管理u SMSSMS的安全管理的安全管理u 病毒防护的安全管理病毒防护的安全管理 3第一部分:概述 中国石油信息管理部精心组织,建成广域网改进项目网络安全设计组(以下简称:安全组),形成了分级运行,集中管理,安全、快捷、易使用、可扩展的中国石油企业网络安全管理系统。 安全设计组负责防病毒网站的推广,防病毒工具研究,防病毒工作检查;
2、负责网络接入、防火墙、VPN、IDS、代理服务器等控制、服务器安全、终端安全等;负责协助信息安全项目建设;负责密码的管理和操作确认。 为防止黑客攻击、入侵、病毒、不良内容和垃圾邮件等通过区域网络中心的Internet的入口进入中国石油广域网,同时也为通过网络管理数据,提升中国石油的企业管理效率和效益,使得网络信息的安全风险得到有效降低,保障企业网络的高可用性。4整个系统由5大板块组成,分别是:移动办公(以下简称“VPN”),防火墙,入侵检测系统(以下简称“IDS”),微软补丁分发系统(以下简称“SMS”)和病毒防护。作为企业网络安全的守护者,中国石油企业网络安全管理系统在企业的生产、经营、管理
3、活动中,发挥着重要作用。因此,做好它的运行维护工作,保证系统高速、安全、可靠地运行是极其重要的,这也正是安全组的工作宗旨,同时也是各个地区公司网络安全管理员积极配合的结果。5 第一条 为保障网络安全管理系统高速、安全、可靠运行,规范日常的维护、操作和使用行为,使其高效、优质地服务于中国石油生产、经营和管理活动,为企业内部用户提供便捷、高效、安全、可靠的网络安全服务,根据中国石油信息技术管理规定及相关管理的要求,编制本网络安全管理规范。 第二条 本管理规范所指的内部网络系统,是由广域网项目组(以下简称“项目组”)统一部署、维护和管理的内部网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站
4、所构成的,服务于内部网络应用的软硬件集成系统。6 第三条项目组可以委托相关指定人员代为管理子节点设备。任何部门和个人,未经信息管理部授权、不得擅自安装、拆卸或改变网络设备;如确需改动,应事先与信息管理部取得联系,确保公司内部网络系统正常运行。 第四条任何部门和个人、不得利用联网计算机从事危害内部网络及本地局域网服务器、工作站、网络节点等行为。 第五条 网络安全管理规范适用于中国石油总部及下属各企事业单位的网络安全系统管理人员、技术支持人员。7第三部分:行为规范第三部分:行为规范衣着整洁、得体,符合工作身份,不戴与环境不相称衣着整洁、得体,符合工作身份,不戴与环境不相称的饰品;的饰品;文明用语、
5、礼貌待人;咨询解答,热情耐心;迅速受文明用语、礼貌待人;咨询解答,热情耐心;迅速受理、及时反馈;理、及时反馈;认真执行认真执行“首问负责首问负责”制。凡是涉及信息技术的问题,制。凡是涉及信息技术的问题,作为第一受理人,即使不属于本人职责范围,也不能作为第一受理人,即使不属于本人职责范围,也不能以任何理由推脱,而应通过适当的方式,为用户解决以任何理由推脱,而应通过适当的方式,为用户解决问题,或做好衔接和引导工作,力争为用户提供更多问题,或做好衔接和引导工作,力争为用户提供更多方便与支持;方便与支持;8 接听电话时,首先问好,然后报出自己的身份;用语文明礼貌,态度和蔼,口齿清楚;耐心解答用户的各种
6、问题,不得无礼怠慢,推诿搪塞; 对待用户的态度要热情周到,切忌冷漠、恶劣;回答问题时要详尽、细致、全面、不厌其烦,直到用户满意;对于当时不能解答的问题要认真记录,在最短的时间内与其它服务人员沟通,一旦得到解决方案,马上反馈用户。9第四部分:网络安全管理第四部分:网络安全管理 网络安全维护系统包含移动办公(以下简称“VPN”),防火墙,入侵检测系统(以下简称“IDS”),微软补丁分发系统(以下简称“SMS”)和病毒防护,共5部分。10第一章第一章 VPN的安全管理的安全管理 为了满足各地方为了满足各地方公司有移动办公公司有移动办公需求,使出差的需求,使出差的员工,能够更方员工,能够更方便、更快捷
7、地访便、更快捷地访问公司网络,获问公司网络,获取有效信息,总取有效信息,总部更新了部更新了VPNVPN系系统。统。11中国石油中国石油VPN系统系统 中国石油设立了九大VPN接入点,分别是集团公司总部、股份公司总部、北京区域、大庆区域、辽河区域、新疆区域、兰州区域、西南区域、长庆区域,为中国石油系统内用户服务。 系统采用相同的VPN 接入域名,用户就近接入,各点之间互为备份;使用统一的用户身份验证策略和加密策略,采用同一的AD(域控制器)用户管理,集团公司和股份公司使用各自的AD。 中国石油采用GSLB(全局负载均衡)整体解决方案,通过在两个全国中心节点(洲际大厦和勘探院)部署GSLB设备(T
8、MX)和各接入中心部署SSL VPN设备(SPX),将用户的访问请求进行全局的负载均衡处理,将用户定向到最近的接入中心访问,使用户的请求得到最快的响应。12中国石油中国石油SSL VPN部署示意图部署示意图SPX3000:SPX3000是SSL VPN设备,实现远程用户的接入。TMX2000TMX2000主要用于全国范围内用户接入的负载均衡。TMX2000对各接入中心的SPX3000设备和互联网出口链路进行检查,实现SSL VPN接入的冗余功能,提高服务的可用性。两台TMX2000部署在不同的地方,实现自身的冗余备份。在洲际大厦和勘探院分别部署一台在洲际大厦和勘探院分别部署一台TMX2000和
9、和SPX3000设备设备在其余的在其余的7个接入中心各部署一台个接入中心各部署一台SPX3000设备:设备:集团总部;大庆区域;辽河区域;新疆区域;兰州区域;西安区域;西南区域。13工作目标工作目标 信息系统的安全性和服务的便利性是中国石油考虑的首要问题,因此如何在开放的互联网上构筑安全的信息通道,如何对遍布全国的用户进行身份认证和权限检查,同时保证各地用户快速,方便的接入中国石油专网是目前工作的主要目标。14工作任务工作任务 中国石油VPN系统的主要任务是根据公司移动办公用户的需求,快速审核申请,及时开通和注销账户,保证满足用户的工作需求,切实保障系统的安全。15 VPN移动办公设备权限管理
10、规定移动办公设备权限管理规定1、管理员权限 为保障VPN系统安全、可靠地运行,规范日常维护、操作和使用行为,特制定本规定。 管理员分为系统管理员和账号管理员。 1)系统管理员具有对整个设备管理和账号管理的权限; 2)账号管理员具有添加、删除、管理用户账号的权限,能够查看用户的登陆信息,分析用户的需求,分配用户相应的权限。162 2、管理员权限申请 系统管理员的账号是在VPN系统安装与维护过程中建立的,系统管理员账号主要用于对整个设备管理。 账号管理员的申请需要向系统管理员申请,经技术主管签字后,由系统管理员在中国石油账号管理工具的组中添加账号。3、管理员账号注销 账号管理员的账号注销需要向系统
11、管理员申请,经许可后,在中国石油账号管理工具(管理软件)的组中删除账号。17系统管理员岗位职责系统管理员岗位职责 1)全面掌握移动办公系统的功能和操作程序; 2)遵守中华人民共和国计算机信息网络国际联网管理暂行规定的各项管理规定; 3)负责所有VPN设备及相关服务器的日常维护工作; 4)负责移动办公系统紧急故障的处理; 5)负责移动办公系统运行过程的监控工作; 6)负责接收账号管理员提交的用户申请表,核查用户使用权限; 7)负责为呼叫中心进行故障问题解答; 8)负责与总部网络中心和区域数据中心进行沟通; 9)负责编写移动办公系统日常维护计划; 10)负责文档的整理和存档工作; 11)完成领导交
12、办的临时任务。18账号管理员岗位职责账号管理员岗位职责 1)基本掌握移动办公系统的功能和操作程序; 2)负责账号的审核、开通、注销、变更等服务工作; 3)负责解答用户的服务咨询和一般性技术咨询; 4)负责提交用户申请表给系统管理员; 5)负责通知移动办公用户账号是否开通; 6)负责移动办公用户日志的检查,分析; 7)协助系统管理员处理紧急故障; 8)负责文档的整理和存档工作; 9)完成领导交办的临时任务。19VPN设备管理规定设备管理规定 为保障 VPN系统安全、可靠运行,规范日常维护、操作和使用行为,制定此设备管理规定。 1、VPN系统运行维护工作,由总部网络安全组承担,其主要的工作职责是:
13、在信息管理部的领导下,负责中国石油VPN系统的运行、维护;负责VPN系统申请表的审核、开通与整理;负责中国石油VPN系统的安全运行。 2、在VPN系统运行期间,VPN系统维护人员、网络维护人员要保证VPN系统724稳定运行,如设备出现故障,应尽快排除。20VPN工作流程工作流程1、系统管理员工作流程 1)每日检查所有VPN设备及相关服务器的运行情况,出现故障应及时排除; 2)每日监控办公系统运行过程; 3)定期对系统进行检测,包括电源、VPN设备配置、相关网络、系统安全保障等,填写定期检测情况记录,由负责人签字存档。 4)定期检查用户申请表、核查和修改用户使用权限; 5)定期组织总部网络中心和
14、区域数据中心沟通; 6)定期做文档的整理和存档工作; 7)系统管理员复查远程登陆检查表,并入库存档。212、账号管理员工作流程账号管理员工作流程 1)每日监督每日监督VPNVPN用户访问的内容,根据用户权限查看用用户访问的内容,根据用户权限查看用户是否在相应的权限内访问,如发现违规行为应修改其户是否在相应的权限内访问,如发现违规行为应修改其权限。权限。 2)2)及时发现软件在运行时出现的故障与问题,出现问题及时发现软件在运行时出现的故障与问题,出现问题应及时排除;应及时排除; 3)3)定期查看定期查看VPNVPN系统的日志信息,填写远程登录权限检系统的日志信息,填写远程登录权限检查表,由负责人
15、签字交系统管理员;查表,由负责人签字交系统管理员; 4)4)定期对定期对VPNVPN用户的申请进行审核、统计、存档,并通用户的申请进行审核、统计、存档,并通知已到期的用户,及时关闭过期用户。知已到期的用户,及时关闭过期用户。 5)5)定期做文档的维护整理和存档工作;定期做文档的维护整理和存档工作; 6)6)定期与区域数据中心之间沟通;定期与区域数据中心之间沟通;22第二章第二章 防火墙的安全管理防火墙的安全管理防火墙部署范围现在包括集团公司总部、股份公司总部、北京区域、大庆区域、辽河区域、新疆区域、兰州区域、西南区域、长庆区域的防火墙设备、相关服务器、相应的网络链路和网络设备。系统管理实行总部
16、统一管理、分工负责的原则。安全组负责对防火墙策略的管理,各区域中心网络管理员配合工作。23岗位职责岗位职责 1、负责区域数据中心Internet出口防火墙的管理工作,制定相应的访问控制策略等工作。 2、负责区域数据中心Internet出口安全控制,保障中国石油内部网络安全,为VPN设备提供相应的出口策略。 3、负责区域数据中心的防火墙运行情况检查,地区公司网络管理员保证防火墙设备的7*24小时供电,保证相关线路、设备正常运行。如果区域数据中心需要对网络结构作改动,请提前上报项目组,确保网络正常运行。 4、禁止利用职权私自在防火墙、代理服务器上开通未经许可的对外信息服务。 5、数据中心防火墙设备
17、损坏,应立即向总部网络安全组呈交书面报告,以便及时安排更换或维修,并同时发出通知公告。 6、项目组的相关负责人必须落实各项管理制度和技术规范,监控、封堵、清除网上有害信息。 7、进出内部网络,访问信息的所有用户,必须使用内部网络部门设立的代理服务器。24防火墙设备权限管理规定防火墙设备权限管理规定 1、 防火墙的登录口令和更改口令必须由至少两个人掌握,通常为网络维护人员和网络管理人员,该口令只有经过授权的人可以进行更改。相关口令和更改的记录需在网络管理部门领导处登记备案。2、 防火墙的控制策略应根据业务需求进行调整和设置。所有的改动必须经过网络维护技术人员反复确认其正确性,并且在改动之前必须备
18、份原有设置,最后在经过部门领导人员认可的情况下方可执行。25防火墙设备管理权限防火墙设备管理权限 由项目组部署的防火墙设备由项目组 防火墙管理员统一管理,统一制定出口策略,地区公司网络管理员负责防火墙设备的7*24小时供电,保证相关线路、设备正常运行。如果区域数据中心需要对网络结构作改动,请提前上报项目组,确保网络正常运行。26防火墙日常运行与维护防火墙日常运行与维护 1、防火墙、代理服务器日志定期检查,对告警信息作详细的检查,定期做代理服务器RIAD维护,有问题及时联系厂家解决。 2、防火墙、代理服务器上开设端口或服务必须以书面的形式上报项目组。 3、防火墙管理员每周对出口网络运行情况进行测
19、试,保障内网的安全高效运行。 4、防火墙、代理服务器管理账户和口令为项目组所拥有,相关负责人员对用户口令保密,不得向任何部门和个人透露相关信息。27第三章第三章 IDS系统的安全管理系统的安全管理 入侵检测作为一种积极主动安全防护 技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。28工作范围工作范围 在本项目安全建设中,共涉及中国石油北京区域中心及所属六个分支区域(华南,兰州,大庆,吉林,辽河,新疆),分布范围广,因此管理上采取集中检测、分级部署的方式,将各分支区域产生的重要网络事件上报给北京区域中心,通过对整体事件的分析,形成重要事件的安全报告,同时
20、总控制中心对各区域的控制中心进行管理。29工作任务及目标工作任务及目标1、建立全网统一策略的非法入侵检测体系2、建立全网对于重大潜在攻击和破坏源的预警体系3、逐步建立网络纵深防御体系30岗位职责岗位职责 1、全面负责中国石油北京区域中心及所属六个区域中心的IDS软硬件维护及实时监控工作,负责制定工作计划并实施。 2、及时下载最新事件升级包,并向中心及分支区域下发更新。 3、负责建立本区域计算机网络攻击应急响应及处理机制,当计算机被攻击时,启动IDS应急响应及处理机制,使影响降到最低。 4、发现计算机入侵事件时,应向领导汇报并通知分支区域,及时处理。 5、学习最新防入侵技术,提高自身的工作能力。
21、 31IDS设备权限管理规定设备权限管理规定1、用户管理 IDS的用户分级管理是对系统运行安全的基本保障,针对不同用户,设置不同权限,各用户未经授权不得越权管理,具体分为三级: 1)用户管理员:该权限的用户可为系统,按照上级要求添加不同权限的用户,并能够根据要求对用户的权限做调整。 职责:按照要求合理的添加用户以及分配用户权限。 限制:用户管理员只有一个,系统不具备单独分配用户管理的功能,用户管理员不具备撤消或删除默认审计员权限或身份的功能。 2)审计员:审计所有用户行为的合法和安全性。 权限:查看用户日志。 职责:对所有用户日志进行审计。 限制:除了查看用户日志外,没有其他的权限。 3)管理
22、员:该权限的用户有权限调整个系统的运行状态,确保系统安全稳定的运行。32 权限:默认拥有除了用户管理和用户审计之外的系统所有功能,但其权限可以被用户管理员调整。 职责:利用自身权限内的功能,及时有效的调整系统运行的模块以及参数,保证系统安全稳定的运行。 限制:没有用户管理和用户日志审计功能。2、 IDS软硬件使用权限管理 1)硬件使用权:设备日常维护由分支区域的设备管理员负责,北京区域中心统一管理。其他人未经允许不得开、关、调试设备,遇到特殊情况(断电重启、移机等)必须对硬件设备进行操作时,经领导或IDS管理员批准后方可操作,并填报操作日志,报相关人员备案。 2) 软件使用权:由北京区域中心指
23、定的IDS管理员负责维护,其他人未经允许不得对软件进行任何操作,确实需要授权管理的人员 ,经领导批准后,应该在规定权限内对软件进行操作,任务完成后,管理员应及时取消该临时用户的权限。33IDS设备管理规定设备管理规定 IDS系统在统一部署、实施与更新改造过程中,涉及大量设备收发、储运和验收活动。为了有效管理设备从接收货到上线运行的全过程,指导设备管理各环节工作,结合工作实际制定IDS系统系统设备管理规定。34IDS系统日常运行与维护系统日常运行与维护 1、设备到位后,由设备所在地理位置的硬件管理员统一管理,保证设备有一个正常的物理环境,包括网络物理链路的连接、用电、运行温度等。如遇到异常情况(
24、电压不稳、断电、火灾等)需要对设备进行操作时,要及时通知IDS管理员。 2、全天利用控制管理中心和综合信息显示平台,监测设备的正常连接、系统记录,根据具体情况做出相应处理(详见表-11)。 3、根据安全信息手册查看事件和漏洞的详细信息,联系网络管理员;查看具体设备是否存在威胁、漏洞并及时排除。 4、定期根据网络安全的需要,增加对新的安全事件的检测特征或调整一些事件特征,然后根据事件生成策略集,把策略集下发到各个引擎上使系统具有更好的性能。 5、定期根据报表模板分析网络状况,得出网络是否安全的结论。 6、数据库的备份维护,保证一定时间段内检测日志的完整性。 7、保证服务器正常工作,系统高效运行。
25、35第四章第四章 SMS的安全管理的安全管理 SMS(Systems Management Server)是微软公司的一款管理基于Windows桌面和服务器系统变动和配置的解决方案。它主要的功能包括了补丁更新、软、硬件清单、软件计量、软件分发以及远程排错等,它同时又是一个高扩展性低成本的解决方案。 从软件的角度来看,SMS是由多个完成不同任务的功能模块构成的网络用户管理系统。它将网络中各个独立的用户统领起来,在SMS 系统管理员的控制之下,让企业的所有基于Windows的桌面和服务器遵从企业的网络及网络用户管理策略。这就极大地减轻了企业网络和系统管理员的工作负担,同时又通过提高企业网络用户的可
26、管理性加强了企业网络运行的安全和稳定性。36中国石油中国石油SMS系统系统 为近一步提高桌面计算机、服务器整体管理水平,减少计算机病毒感染机率,经过在股份公司机关、勘探开发研究院、规划总院的试点,按照项目计划,中国石油在股份公司范围内推广微软补丁自动分发系统(SMS),通过此系统可以实现对企业进行安全补丁管理、资产管理以及应用系统部署等功能。一期部署主要是实现安全补丁管理功能。37 中国石油中国石油SMS系统的规划结构系统的规划结构 此次部署采用层次化架构,分为中心站点地区公司站点地区公司二级站点,三层体系,包括总部在内,共计27家单位。38岗位职责岗位职责 为保障SMS系统安全、可靠运行,从
27、而进一步提高桌面计算机、服务器整体管理水平,减少计算机病毒感染机率,各岗人员必须明确职责,按照SMS系统日常运行维护工作流程的要求做好SMS系统的管理、运行维护和服务工作。 根据组织设置和运行现状,SMS系统的管理、运行、维护和服务工作,由中心站点管理员、区域中心管理员两级岗位完成。1、中心站点管理员职责 1)在信息管理部的领导下,全面负责SMS系统的日常管理工作; 2)负责跟踪微软补丁更新的最新信息,及时制作补丁数据包,并同时做好记录; 3)负责SMS系统的正常运行和及时服务; 4)负责解答区域中心站点管理员的技术咨询; 5)负责SMS系统的更新改造计划;39 6)全面掌握SMS系统功能,指
28、导、检查其它岗位的工作,并提供相关技术支持; 7)完成信息管理部领导交办的其它工作。 2、 区域中心管理员职责 1)掌握SMS系统的功能和操作程序; 2)负责中心站点下传数据包的播发,并做好记录; 3)负责所辖服务器的日常维护工作; 4)负责SMS系统运行过程的监控工作; 5)负责解答所辖范围用户技术咨询; 6)负责与中心站点管理员的沟通; 7)完成领导交办的其它工作。40SMS设备权限管理规定设备权限管理规定 为保障SMS系统安全、可靠运行,规范日常维护、操作和使用行为,特制定管理员的权限管理规定。 1、 总部中心站点SMS服务器管理员权限管理 1)中心站点服务器管理员权限设置 中心站点管理
29、员账号是在SMS系统安装与维护过程中建立的,管理员账号主要用于SMS管理控制台操作、维护和补丁分发管理。 2)中心站点服务器管理员身份申请 中心站点的管理员账号是在SMS系统安装后创建的,添加在SMS本地管理员组中。如果需要管理中心站点的SMS管理控制台,必须向中心站点的管理员申请加入中心站点服务器的管理员组。 3)中心站点服务器管理员身份注销 中心站点管理员的账号的注销需要向上级管理部门申请,许可后,在SMS服务器的SMS管理员组中删除账号。412、 地区公司主站点管理员权限管理 1)地区公司主站点管理员权限设置 地区公司主站点服务器管理员负责维护本区域中心主站点服务器,监视服务器的运行状况
30、,查看本站点用户端的状态,备份系统数据,播发补丁,不允许对中心站点服务器进行操作。 2)地区公司主站点服务器管理员身份申请与管理 地区公司SMS服务器管理员管理权限的申请,需要向主站点管理员申请。 地区公司SMS服务器管理员要妥善保管自己的密码,不得向他人透露; 3)地区公司服务器管理员身份注销 当地区公司服务器管理员离职后,应立即将其账号从SMS主站点服务器的SMS本地管理员组中删除。42SMS日常工作流程日常工作流程1、中心站点日常工作流程 1)每日检查微软补丁更新发布情况,发现新的补丁更新,要及时在服务器上更新并制作数据包,然后邮件通知各个站点管理员。 2)每日检查各个主站点系统状态,有
31、情况及时通知站点负责人,及时排错。 3)定期进行补丁安装情况检查,并做好记录。 4)根据下级站点需求,制作所需数据包。 5)定期系统备份。 6)服务器硬件监测。 7)情况汇总月报。432、地区公司站点日常工作流程 1)每日查收邮件,如有新的数据包,及时确定播发集合和播发时间,播发后做好记录; 2)每日检查SMS系统状态,发现问题及时解决,如有困难,向中心站点汇报,协助中心站点共同解决问题; 3)根据自身需求,向中心站点申请特殊数据包制作; 4)定期检查SMS用户端状态; 5)定期系统备份; 6)服务器硬件监测; 7)情况汇总月报。44第五章第五章 病毒防护的安全管理病毒防护的安全管理 病毒防护
32、系统作为保障系统和网络良好运行的一种重要技术手段,对各级单位网络建设有着极其重要的作用。 中国石油病毒防护系统采取集中监控、分级部署的方式,在北京中心部署中心监控管理设备,各地区中心部署病毒防护服务器设备,各个桌面终端安装客户端。 系统管理实行统一管理、分工负责的原则。各区域病毒防护服务器通过北京监控管理中心统一配置管理,客户端通过各地区服务器进行病毒库升级。45工作任务工作任务 安全组病毒防护工作是为了加强中国石油计算机病毒防护系统的建设和管理工作,确保计算机、服务器和整个公司网络的正常运行。 安全组病毒防护工作的主要任务是对整个系统进行管理和维护,涉及中国石油网络线路的病毒监测,维护病毒防
33、护服务器的稳定运行,及时对各种突发病毒做出响应和处理,对用户使用过程中出现的问题进行解答等。 安全组应与其他项目组协同合作,共同努力,确保中国石油网络的健康、稳定、快速运行。46工作范围工作范围 安全组病毒防护工作的范围包括集团公司总部、股份公司总部、各子公司、院的计算机网络、服务器、台式计算机、笔记本电脑等。中心防病毒管理员负责中国石油骨干网络防病毒服务器的运行维护,及对地区公司的防病毒工作进行协调、检查。地区防病毒管理员负责各地区、单位的计算机网络、服务器、终端设备的防病毒工作。47岗位职责岗位职责 为保障病毒防护系统安全、可靠运行,为企业内部用户提供便捷、高效、安全、可靠的病毒防护服务,
34、各岗人员必须明确职责,按照病毒防护系统日常运行维护工作流程的要求做好病毒防护系统的管理、运行、维护和服务工作。 根据组织设置和运行现状,病毒防护系统的管理、运行、维护和服务工作,设置中心病毒防护管理员和地区病毒防护管理员两级工作岗位。1、中心病毒防护安全管理员职责 1)负责中国石油的计算机网络和系统的安全及病毒防护工作,负责制定工作计划并实施。 2) 定期更新总部的病毒防护网站,了解最新病毒防护进展情况,检查网络病毒防护系统,并监督病毒防护服务商的服务。48 3)负责管理中心病毒防护服务器,定期升级病毒库。 4) 当网络病毒爆发,或接到病毒防护厂商或服务提供商的病毒预警通知时,及时通知相关系统
35、管理人员。 5) 随时监测本地区的网络情况,发现有异常情况时,及时进行处理。 6) 负责建立中国石油总部计算机病毒应急响应及处理机制(详见附-1)。当计算机病毒爆发时,应启动计算机病毒应急响应及处理机制,使计算机病毒造成的影响降到最低。 7) 定期与公司各分支机构联系,交流病毒防护的经验。 8) 负责病毒防护文档的整理和存档工作。 9) 定期进行一次病毒防护系统季度巡检(详见附-2),并在下个季度的第一周内完成病毒防护系统季度总结报告(详见表-3)定期对中心单位的病毒防护相关人员进行病毒防护技术培训,使其掌握先进的病毒防护技术,有能力处理突发事件。 10) 掌握最新信息安全技术,提出对中国石油
36、信息安全工作有帮助的建议。2 、地区病毒防护管理岗位职责 1) 负责本地区公司的计算机网络和系统的安全及病毒防护工作,负责制定工作计划并实施。49 2)及时浏览总部的病毒防护网及时浏览总部的病毒防护网( (http:/antivirushttp:/antivirus.petrochina.petrochina),),了解最新病了解最新病毒的预警情况和相关知识,并负责通知本地区(单位)的下级单位。毒的预警情况和相关知识,并负责通知本地区(单位)的下级单位。 3) 3) 负责管理本地区(单位)病毒防护服务器,定期升级病毒防护软件,及负责管理本地区(单位)病毒防护服务器,定期升级病毒防护软件,及时获
37、取最新病毒定义码,敦促本地区(单位)及时安装,并定期检查安装情时获取最新病毒定义码,敦促本地区(单位)及时安装,并定期检查安装情况。况。 4) 4) 随时监测本地区(单位)的网络情况,发现有异常情况时随时监测本地区(单位)的网络情况,发现有异常情况时, ,马上追查原因马上追查原因及时进行处理,防止病毒在网络中扩散。及时进行处理,防止病毒在网络中扩散。 5) 5) 协同相关部门对本地区(单位)网络与中国石油广域网连接的端口进行协同相关部门对本地区(单位)网络与中国石油广域网连接的端口进行监控,避免计算机病毒进入中国石油的骨干网,而对整个企业网络造成影响。监控,避免计算机病毒进入中国石油的骨干网,
38、而对整个企业网络造成影响。 6) 6) 负责建立本地区(单位)计算机病毒应急响应及处理机制(详见附负责建立本地区(单位)计算机病毒应急响应及处理机制(详见附-1-1),),当计算机病毒爆发时,应启动计算机病毒应急响应及处理机制,使计算机病当计算机病毒爆发时,应启动计算机病毒应急响应及处理机制,使计算机病毒造成的影响降到最低。毒造成的影响降到最低。 7) 7) 在接到计算机病毒预警和其它有关计算机病毒信息时,应及时通知下级在接到计算机病毒预警和其它有关计算机病毒信息时,应及时通知下级单位,并采取相关处理措施。单位,并采取相关处理措施。 8) 8) 定期进行一次病毒防护系统季度巡检定期进行一次病毒
39、防护系统季度巡检( (详见附详见附-2)-2),在每季度的第一周内,在每季度的第一周内完成病毒防护系统季度总结报告完成病毒防护系统季度总结报告( (详见表详见表-3)-3)。 9) 9) 定期对本地区(单位)下级单位的病毒防护人员进行病毒防护技术培训,定期对本地区(单位)下级单位的病毒防护人员进行病毒防护技术培训,使其掌握先进的病毒防护技术,有能力处理突发事件。使其掌握先进的病毒防护技术,有能力处理突发事件。 10) 10) 鼓励学习最新信息安全技术,提出对中国石油信息安全工作有帮助的建鼓励学习最新信息安全技术,提出对中国石油信息安全工作有帮助的建议。议。50 病毒防护设备权限管理规定病毒防护
40、设备权限管理规定 为保障病毒防护系统安全、可靠运行,规范日常维为保障病毒防护系统安全、可靠运行,规范日常维护、操作和使用行为,制定本规定。护、操作和使用行为,制定本规定。 针对目前的岗位设置情况,病毒防护设备权限管理针对目前的岗位设置情况,病毒防护设备权限管理分为系统中心安全管理员和地区中心安全管理员两级管分为系统中心安全管理员和地区中心安全管理员两级管理。理。 系统中心安全管理员的设备权限:对地区公司病毒防护系统中心安全管理员的设备权限:对地区公司病毒防护系统管理员进行权限管理,可以对所有病毒防护服务器系统管理员进行权限管理,可以对所有病毒防护服务器进行病毒防护系统进行权限委派,可以对病毒防
41、护系统进行病毒防护系统进行权限委派,可以对病毒防护系统的策略进行操作。的策略进行操作。 地区中心安全管理员的设备权限:接受系统中心安全管地区中心安全管理员的设备权限:接受系统中心安全管理员委派的病毒防护系统管理权限,可以向中心管理员理员委派的病毒防护系统管理权限,可以向中心管理员申请,对病毒防护系统的权限和策略进行更改。申请,对病毒防护系统的权限和策略进行更改。51病毒防护设备管理规定病毒防护设备管理规定 系统中心安全管理员负责中心病毒防护服务器的维护,监视服务器的运行状况,协助地区公司管理员,维护地区公司的病毒防护服务器。地区中心安全管理员负责地区中心病毒防护服务器的维护,监视地区中心服务器
42、的运行状况,对该地区服务器出现的问题及时向中心管理员进行汇报,并做相应处理。52 病毒防护系统日常工作流程病毒防护系统日常工作流程 为规范病毒防护系统日常运行、维护工作,保障中国石油网络安全、可靠的运行,制定病毒防护系统日常运行维护工作流程。 1、病毒防护监控:监控整个网络的病毒防护情况,如发现问题,及时记录并做出响应处理(详见附-1)。 2、网络监控 :与相关人员(网络管理员,IDS管理员,防火墙管理员)相配合,监测网络中的异常情况并做分析记录。 3、设备监控:监控病毒防护服务器设备的运行状况,如有问题将情况及时反映。 4、服务器系统监控:监控病毒防护系统运行情况,及时升级最新升级补丁。 5
43、、病毒库的升级:及时下载更新病毒防护服务器病毒库。 6、日志记录:对病毒防护系统的工作情况做整理记录。 7、备份检查:及时对服务器系统文件进行备份。53附:中国石油总部计算机病毒应急响应及处理机制附:中国石油总部计算机病毒应急响应及处理机制第一章第一章 总则总则 1 1、在中国石油信息管理部的领导下,负责中国石油病毒、在中国石油信息管理部的领导下,负责中国石油病毒防护系统的运行维护工作。防护系统的运行维护工作。 2 2、病毒防护系统的运行维护工作包括:系统管理员对整、病毒防护系统的运行维护工作包括:系统管理员对整个系统进行管理和维护,涉及的个系统进行管理和维护,涉及的InternetInter
44、net网络和中国石油网络和中国石油内部线路病毒监测,呼叫中心对用户使用过程中出现的问内部线路病毒监测,呼叫中心对用户使用过程中出现的问题进行解答等工作。题进行解答等工作。 3 3、当遇到计算机病毒爆发时,主要的原则首先是防止病、当遇到计算机病毒爆发时,主要的原则首先是防止病毒的蔓延;保护或恢复计算机、网络服务的正常工作;然毒的蔓延;保护或恢复计算机、网络服务的正常工作;然后再对病毒的感染源进行追查。后再对病毒的感染源进行追查。 第二章第二章 应急响应小组应急响应小组 应急响应小组的成员主要由广域网改进项目安全设计应急响应小组的成员主要由广域网改进项目安全设计组和各应用系统运行维护项目组的相关人
45、员组成。组和各应用系统运行维护项目组的相关人员组成。541、广域网改进项目安全设计组的责任:检测并判断病毒事件,并采取技术手段来降低损失;负责从技术方面处理发生问题的系统;在出现问题时决定所采取行动的先后顺序;做出关键的决定;协调、敦促此处理步骤与流程的执行。2、各应用系统运行维护项目组的责任:保护所维护的应用系统的安全。第三章 应急处理步骤及流程一 、应急处理 1、受到影响的计算机从网络中隔离;如病毒已经发作并且感染到本部门或局域网内的其他计算机,应将受感染的局域网与企业网断开连接;2、确认病毒特征及病毒源 1)与最先发现病毒的人员联系,确认病毒发作特征; 2)确认受影响的区域范围; 3)与
46、防病毒厂商及服务商联系,获取最新病毒信息及处理方法; 4)在互联网上查找相关信息。3、通知应用系统运行维护项目组;4、召开安全设计组会议确定响应处理措施,包括管理措施及技术处理方案;555、立即升级防病毒服务器的病毒定义码,下载清除工具及相关系统补丁;立即升级防病毒服务器的病毒定义码,下载清除工具及相关系统补丁;6 6、对感染的计算机进行相关处理;、对感染的计算机进行相关处理;7 7、将下载的病毒定义码、清除工具及补丁发布到内部网站上,写出详细的使、将下载的病毒定义码、清除工具及补丁发布到内部网站上,写出详细的使用方法及处理步骤;用方法及处理步骤;二二 、恢复、恢复数据、服务、系统数据、服务、
47、系统 1 1、清理系统、恢复数据、程序、服务;、清理系统、恢复数据、程序、服务; 2 2、修补系统中存在的漏洞;、修补系统中存在的漏洞; 3 3、对受病毒感染过的系统中的程序重新进行安全检查,将它们与安全版、对受病毒感染过的系统中的程序重新进行安全检查,将它们与安全版本中的对应程序进行比较。本中的对应程序进行比较。三、后续工作三、后续工作 1 1、 检查是不是所有的服务及功能都已经恢复;检查是不是所有的服务及功能都已经恢复; 2 2、 查病毒所利用的漏洞是否已经解决;其发生的查病毒所利用的漏洞是否已经解决;其发生的 原因是否已经处理;原因是否已经处理; 3 3、 应急响应步骤是否需要修改;应急响应步骤是否需要修改; 4 4、 如果需要,对边界网络设备配置进行修改;如果需要,对边界网络设备配置进行修改; 5 5、 确认病毒已完全清除后,恢复被断开的网络和计算机;确认病毒已完全清除后,恢复被断开的网络和计算机; 6 6、 确认受感染的区域或局域网内已被清楚,恢复该区域或局域网与企业确认受感染的区域或局域网内已被清楚,恢复该区域或局域网与企业 整体网络的连接;整体网络的连接; 7 7、 写出详细的突发事件报告,做详细登记。写出详细的突发事件报告,做详细登记。56谢 谢 大 家 !