IT运维信息安全解决方案培训资料13799.docx

《IT运维信息安全解决方案培训资料13799.docx》由会员分享，可在线阅读，更多相关《IT运维信息安全解决方案培训资料13799.docx（83页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、8.3 IT运维信息安全解决方案8.3.11安全运维维的重要性性随着信息安安全管理体体系和技术术体系在企企业领域的的信息安全全建设中不不断推进，安安全运维占占信息系统统生命周期期70% - 800%的信息息，并且安安全运维体体系的建设设已经越来来越被广大大用户重视视。尤其是是随着信息息系统建设设工作从大大规模建设设阶段逐步步转型到“建设和运运维”并举的发发展阶段，运运维人员需需要管理越越来越庞大大的IT系统这这样的情况况下，信息息安全运维维体系的建建设已经被被提到了一一个空前的的高度上。它它不仅单单单是一个体体系的建设设，更是IIT系统管管理中的夯夯实基础。运维服务的的发展趋势势对于企业业的安

2、全运运维服务管管理的发展展，通常可可以将其分分为混乱阶阶段、被动动阶段、主主动阶段、服服务阶段和和价值阶段段这五个阶阶段。1、在混乱乱阶段：运运维服务没没有建立综综合的支持持中心，也也没有用户户通知机制制；2、在被动动阶段：运运维服务开开始关注事事件的发生生和解决，也也开始关注注信息资产产，拥有了了统一的运运维控制台台和故障记记录和备份份机制；3、在主动动阶段：运运维服务建建立了安全全运行的定定义，并将将系统性能能，问题管管理、可用用性管理、自自动化与工工作调度作作为重点；4、在服务务阶段，运运维服务工工作中已经经可以支持持任务计划划和服务级级别管理；5、在价值值阶段，运运维服务实实现了性能能

3、、安全和和核心几大大应用的紧紧密结合，体体现其价值值所在。8.3.22信息安全全的概念8.3.22.1信息息安全定义义信息安全的的概念在二二十世纪经经历了一个个漫长的历历史阶段，990年代以以来得到了了深化。进进入21世世纪后，随随着信息技技术的不断断发展，信信息安全问问题也日显显突出。如如何确保信信息系统的的安全已经经成为了全全社会关注注的问题。国国际上对于于信息安全全问题的研研究起步较较早，投入入力度大，已已取得了许许多成果，并并得以推广广应用。中中国目前也也已有一批批专门从事事信息安全全基础研究究、技术开开发与技术术服务工作作的研究机机构与高科科技企业，形形成了中国国信息安全全产业的雏雏

4、形。 关于于信息安全全的定义也也有很多，国国内学者与与国外学者者、不同的的社会组织织也给出了了不同的定定义。 国内学者的的定义：“信息安全全保密内容容分为：实实体安全、运运行安全、数数据安全和和管理安全全四个方面面。” 我国“计算算机信息系系统安全专专用产品分分类原则”中的定义义是：“涉及实体体安全、 运行安全全和信息安安全三个方方面。” 我国相关立立法给出的的定义是：“保障计算算机及其相相关的和配配套的设备备、设施（网网络）的安安全，运行行环境的安安全，保障障信息安全全，保障计计算机功能能的正常发发挥，以维维护计算机机信息系统统的安全”。这里面面涉及了物物理安全、运运行安全与与信息安全全三个

5、层面面。 国家信息安安全重点实实验室给出出的定义是是：“信息安全全涉及到信信息的机密密性、完整整性、可用用性、可控控性。综合合起来说，就就是要保障障电子信息息的有效性性。” 英国BS77799信信息安全管管理标准给给出的定义义是：“信息安全全是使信息息避免一系系列威胁，保保障商务的的连续性，最最大限度地地减少商务务的损失，最最大限度地地获取投资资和商务的的回报，涉涉及的是机机密性、完完整性、可可用性。” 美国国家安安全局信息息保障主任任给出的定定义是：“因为术语语信息安全全一直仅表表示信息的的机密性，在在国防部我我们用信息保障障来描述信信息安全，也也叫IA。它包含含5种安全全服务，包包括机密性

6、性、完整性性、可用性性、真实性性和不可抵抵赖性。” 国际标准化化委员会给给出的定义义是：“为数据处处理系统而而采取的技技术的和管管理的安全全保护，保保护计算机机硬件、软软件、数据据不因偶然然的或恶意意的原因而而遭到破坏坏、更改、显显露”。8.3.11.2信息息安全的目目标 机密性 CConfiidenttialiity 完整性 IInteggrityy 可用性 AAvaillabillity 可控性 ccontrrollaabiliity 真实性 AAutheenticcity 不可否认性性 Nonn-reppudiaationn8.3.11.3信息息安全范围 帐号口令管管理 系统基线配配置安

7、全管管理 系统漏洞安安全管理 终端安全管管理 安全审计管管理 客户信息安安全管理 业务安全管管理 安全检查与与维护作业业8.3.22 安全运运维的定义义通常安全运运维包含两两层含义：一是指在运运维过程中中对网络或或系统发生生病毒或黑黑客攻击等等安全事件件进行定位位、防护、排排除等运维维动作，保保障系统不不受内、外外界侵害。二是指对运运维过程中中发生的基基础环境、网网络、安全全、主机、中中间件、数数据库乃至至核心应用用系统发生生的影响其其正常运行行的事件（包包含关联事事件）通称称为安全事事件，而围围绕安全事事件、运维维人员和信信息资产，依依据具体流流程而展开开监控、告告警、响应应、评估等等运行维

8、护护活动，称称为安全运运维服务。目前，大多多数企业还还停留在被被动的、传传统意义上上的安全运运维服务，这这样安全运运维服务存存在着以下下弊端：1）、出现现故障纵有有众多单一一的厂商管管理工具，但但无法迅速速定位安全全事件，忙忙于“救火”，却又不不知火因何何而“着”。时时处处于被动服服务之中，无无法提供量量化的服务务质量标准准。2）、企业业的信息系系统管理仍仍在依靠各各自的“业务骨干干”支撑，缺缺少相应的的流程和知知识积累，过过多依赖于于人。3）、对安安全事件缺缺少关联性性分析和评评估分析，并并且没有对对安全事件件定义明确确的处理流流程，更多多的是依靠靠人的经验验和责任心心，缺少必必要的审核核和

9、工具的的支撑。正是因为目目前运维服服务中存在在的弊端，XX股份有限公司依靠长期从事应用平台信息系统运维服务的经验，同时结合信息安全保障体系建设中运维体系建设的要求，遵循ITIL（最佳实践指导）、ISO/IEC 27000系列服务标准、以及中国移动广东公司管理支撑系统SOA规范等相关标准，建立了一整套完善和切实可行的信息安全运维服务管理的建设方案。8.3.33 XX股份运运维五大架架构体系8.3.33.1建立立安全运维维监控中心心基于关键业业务点面向向业务系统统可用性和和业务连续续性进行合合理布控和和监测，以以关键绩效效指标指导导和考核信信息系统运运行质量和和运维管理理工作的实实施和执行行，XX

10、股份帮帮助用户建建立全面覆覆盖信息系系统的监测测中心，并并对各类事事件做出快快速、准确确的定位和和展现。实实现对信息息系统运行行动态的快快速掌握，以以及运行维维护管理过过程中的事事前预警、事事发时快速速定位。其其主要包括括：1、集中监监控：采用用开放的、遵遵循国际标标准的、可可扩展的架架构，整合合各类监控控管理工具具的监控信信息，实现现对信息资资产的集中中监视、查查看和管理理的智能化化、可视化化监控系统统。监控的的主要内容容包括：基基础环境、网网络、通信信、安全、主主机、中间间件、数据据库和核心心应用系统统等。2、综合展展现：合理理规划与布布控，整合合来自各种种不同的监监控管理工工具和信息息源

11、，进行行标准化、归归一化的处处理，并进进行过滤和和归并，实实现集中、综综合的展现现。3、快速定定位和预警警：经过同同构和归并并的信息，将将依据预先先配置的规规则、事件件知识库、关关联关系进进行快速的的故障定位位，并根据据预警条件件进行预警警。8.3.33.2 建建立安全运运维告警中中心基于规则配配置和自动动关联，实实现对监控控采集、同同构、归并并的信息的的智能关联联判别，并并综合的展展现信息系系统中发生生的预警和和告警事件件，帮助运运维管理人人员快速定定位、排查查问题所在在。同时，告警警中心提供供了多种告告警响应方方式，内置置与事件响响应中心的的工单和预预案处理接接口，可依依据事件关关联和响应

12、应规则的定定义，触发发相应的预预案处理，实实现运维管管理过程中中突发事件件和问题处处理的自动动化和智能能化。关于事件基基础库维护护：它是事事件知识库库的基础定定义，内置置大量的标标准事件，按按事件类型型进行合理理划分和维维护管理，可可基于事件件名称和事事件描述信信息进行归归一化处理理的配置，定定义了多源源、异构信信息的同构构规则和过过滤规则。关于智能关关联分析：它是借助助基于规则则的分析算算法，对获获取的各类类信息进行行分析，找找到信息之之间的逻辑辑关系，结结合安全事事件产生的的网络环境境、资产重重要程度，对对安全事件件进行深度度分析，消消除安全事事件的误报报和重复报报警。关于综合查查询和展现

13、现：它实现现了多种视视角的故障障告警信息息和业务预预警信息的的查询和集集中展现。关于告警响响应和处理理：它提供供了事件生生成、过滤滤、短信告告警、邮件件告警、自自动派发工工单、启动动预案等多多种响应方方式，内置置监控界面面的图形化化告警方式式；提供了了与事件响响应中心的的智能接口口，可基于于事件关联联响应规则则自动生成成工单并触触发相应的的预案工作作流进行处处理。8.3.33.3 建建立安全运运维事件响响应中心借鉴并融合合了ITIIL（信息息系统基础础设施库）/ITSM（IT服务管理）的先进管理规范和最佳实践指南，借助工作流模型参考等标准，开发图形化、可配置的工作流程管理系统，将运维管理工作以

14、任务和工作单传递的方式，通过科学的、符合用户运维管理规范的工作流程进行处置，在处理过程中实现电子化的自动流转，无需人工干预，缩短了流程周期，减少人工错误，并实现对事件、问题处理过程中的各个环节的追踪、监督和审计。其中包括以下五大方面：1.图形化化的工作流流建模工具具：实现预预案建模的的图形化管管理，简单单易用的预预案流程的的创建和维维护，简洁洁的工作流流仿真和验验证。2可配置置的预案流流程：所有有运维管理理流程均可可由用户自自行配置定定义，即可可实现ITTIL/IITSM的的主要运维维管理流程程，又可根根据用户的的实际管理理要求和规规范，配置置个性化的的任务、事事件处理流流程。3.智能化化的自

15、动派派单：智能能的规则匹匹配和处理理，基于用用户管理规规范的自动动处理，降降低事件、任任务发起到到处理的延延时，以及及人工派发发的误差。4.全程的的事件处理理监控：实实现对事件件响应处理理全过程的的跟踪记录录和监控，根根据ITIIL管理建建议和用户户运维要求求，对事件件处理的响响应时限和和处理时限限的监督和和催办。5.事件处处理经验的的积累：实实现对事件件处理过程程的备案和和综合查询询，帮助用用户在处理理事件时查查找历史处处理记录和和流程，为为运维管理理工作积累累经验。8.3.33.4 建建立安全运运维审核评评估中心安全运维审审核评估中中心具有对对信息系统统运行质量量、服务水水平、运维维管理工

16、作作绩效的综综合评估、考考核、审计计管理三大大功能。1.评估功功能：遵循循国际和工工业标准及及指南建立立平台的运运行质量评评估框架，通通过评估模模型使用户户了解运维维需求、认认知运行风风险、采取取相应的保保护和控制制，有效的的保证信息息系统的建建设投入与与运行风险险的平衡，系系统地保证证信息化建建设的投资资效益，提提高关键业业务应用的的连续性。2.考核功功能：在评评价过程中中避免主观观臆断和片片面随意性性，可以实实现工作量量、工作效效率、处理理考核、状状态考核等等的一种客客观评价功功能。3.审计功功能：是以以跨平台多多数据源信信息安全审审计为框架架，以电子子数据处理理审计为基基础的信息息审计系

17、统统。主要包包括：系统统流程和输输入输出数数据以及数数据接口的的完整性、合合规性、有有效性、真真实性审计计。8.3.33.5 以以信息资产产管理为核核心IT资产管管理是全面面实现信息息系统运行行维护管理理的基础，提提供的丰富富的IT资产信信息属性维维护和备案案管理，以以及对业务务应用系统统的备案和和配置管理理。基于关键业业务点配置置关键业务务的基础设设施关联，通通过资产对对象信息配配置丰富业业务应用系系统的运行行维护内容容，实现各各类IT基础设设施与用户户关键业务务的有机结结合，以及及全面的综综合监控。这这其中包括括：综合运行态态势：是全全面整合现现有各类设设备和系统统的各类异异构信息，包包括

18、网络设设备、安全全设备、应应用系统和和终端管理理中各种事事件，经过过分析后的的综合展现现界面，注注重对信息息系统的运运行状态、综综合态势的的宏观展示示。系统采集管管理：以信信息系统内内各种ITT资源及各各个核心业业务系统的的监控管理理为主线，采采集相关异异构监控系系统的信息息，通过对对不同来源源的信息数数据的整合合、同构、规规格化处理理、规则匹匹配，生成成面向运行行维护管理理的事件数数据，实现现信息的共共享和标准准化。系统配置管管理：从系系统容错、数数据备份与与恢复和运运行监控三三个方面着着手建立自自身的运行行维护体系系，采用平平台监测器器实时监测测、运行检检测工具主主动检查相相结合的方方式，

19、构建建一个安全全稳定的系系统。8.3.33.6 安安全管理原原则1）、XXX股份有限限公司负责责业务支撑撑中心的安安全、保密密管理工作作，遵守南南方基地已已有各项安安全规定，以以此为基础础制定详细细的安全全管理实施施办法，并并采取适当当措施保证证有关措施施的有效执执行。2）、XXX股份有限限公司定期期检查安全全、保密规规定的执行行情况；3）、XXX股份有限限公司定期期组织系统统病毒检查查，并对此此负责；4）、XXX股份有限限公司及时时向信息技技术中心反反映存在的的安全隐患患。8.3.33.7保密密原则1）、XXX股份严格格遵守南方方基地各项项安全保密密制度，加加强服务工工程师的保保密意识，制制

20、定有效的的管理制度度。2）、XXX股份整理理措施和技技术措施，防防止重要数数据、文件件、资料的的丢失及泄泄漏。3）、XXX股份有关关计费清单单、用户资资料、业务务数据、重重要文件等等均属机密密，不得任任意抄录、复复制及带出出机房，也也不得转告告与工作无无关的人员员。4）、机房房内重要文文件、数据据文件的销销毁方式为为文件送入入碎纸机，不不得随意丢丢弃。5）、安全全保密工作作XX股份安安排专人负负责，定期期向XX信息技技术中心提提交安全全工作报告告。8.3.44 信息安安全的要求求8.3.44.1帐号号口令管理理 账号口令管管理要求按照“谁主主管，谁负负责”原则则，业务系系统责任部部门负责按按照

21、本办法法管理公司司内部人员员及第三方方协维人员员在系统应应用层的帐帐号。由公司各部部门分别维维护管理操操作系统层层和应用层层的系统，并并分别作为为各层帐号号的管理部部门。各层帐号管管理部门各各自负责本本部门职责责层面内的的帐号审批批及授权管管理，推动动制定帐号号审批流程程、表格模模版等并落落实责任人人，监督落落实帐号申申请表、用用户帐号登登记表的维维护管理。各层帐号管管理部门各各自负责本本部门职责责层面内的的帐号审批批、创建及及删除、权权限管理以以及口令管管理要求执执行情况审审核机制，接接受定期审审核。用户需按照照帐号审批批流程向各各责任部门门申请所需需帐号、修修改权限或或者撤销帐帐号。在帐帐

22、号审批成成功并创建建后，应对对帐号口令令进行定期期修改。并并应做到严严格保护帐帐号口令，不不得故意泄泄露，否则则需承担由由此导致安安全问题的的责任。 帐号管理人人员逻辑分分类岗位职责涉及相关记记录部门负责人人1、需对相相关授权表表进行审批批授权签字字，每季度度需复核审审批；2、需对员员工变动情情况进行审审批；3、需对远远程维护接接入申请进进行审批系统层/应应用层超级级管理员：1、 系统层超级级管理员：按各系统统进行设置置2、 应用层超级级管理员：按业务应应用管理进进行设置系统/应用用程序最高高权限管理理员，负责责管理所辖辖系统的帐帐号分配和和管理，需需要部门负负责人对其其进行授权权。系统层超级

23、级管理员、应应用层超级级管理员需需由部门领领导分别进进行授权，不不同系统可可以兼任。系统层/应应用层普通通用户：系统维护、应应用操作执执行人员，为为普通维护护人员及第第三方人员员，只能申申请自身帐帐号进行操操作，不能能进行帐号号分配管理理。安全管理员员、安全审审计员： 负责所辖各各系统及设设备的信息息安全管理理工作。每每月检查信信息安全管管理的执行行情况，汇汇总安全分分析报告；与系统层层超级管理理员、应用用层管理员员需职责分分离。 超级管理员员帐号管理理流程管理流程管理要求开 始申请人填写超级管理员授权表YN审批并授权NY对系统超级管理员清单每季度进行复核并签字确认。Y授权有效期内各业务系统统

24、层/应用用层超级管管理员由申申请人填写写系统超超级管理员员授权表。部门经理审审批并进行行授权。授权有效期期内，部门门经理对超超级管理员员的清单进进行复核并并签字确认认。 内部帐号创创建/变更更流程管理流程管理要求开 始申请人填写系统帐号创建/变更申请表YN申请人部门负责人审核NY系统管理员在系统中创建帐号或进行权限修改。系统责任部门负责人书面审批Y内部员工需需要增加帐帐号或进行行权限变更更时，由申申请人填写写系统帐帐号创建/变更申请请表。提交所在部部门负责人人进行权限限职责相容容性审核。申请部门完完成审核后后，转发系系统责任部部门负责人人进行书面面审批。书面审批通通过，由系系统超级管管理员在系

25、系统中创建建帐号或进进行权限修修改。 第三方帐号号管理流程程管理流程管理要求开 始和第三方厂商签订安全保密协议。Y合作引入部门填写系统帐号创建/变更申请表YY系统管理员在系统中创建帐号或进行权限修改。系统责任部门负责人书面审批NNY部门负责人审核如存在第三三方公司人人员需要建建立帐号的的情况，应应和第三方方厂商签订订相关的安安全保密协协议。保密密协议应注注明拥有帐帐号列表及及相关保密密责任，以以合理确保保第三方厂厂商能够执执行中国移移动的安全全管理要求求和职责不不相容要求求。第三方公司司需要增加加普通帐号号或进行权权限变更时时，由合作作引入部门门填写系系统帐号创创建/变更更申请表。提交所在部部

26、门负责人人进行权限限职责相容容性审核。申请部门完完成审核后后，转发系系统责任部部门负责人人进行书面面审批后。系统超级管管理员在系系统中创建建帐号或进进行权限修修改。 系统预设帐帐号管理流流程管理流程管理要求开 始对接口程序、脚本或相关设置进行加密保存，禁止使用简单密码。N系统管理员提交预设帐号清单及使用人员清单。系统责任部门负责人对预设帐号清单每季度进行复核并签字确认。YY系统责任部门负责人进行书面审批授权。对于部分因因系统、接接口原因在在系统中预预设的用户户帐号，系系统责任部部门应对接接口程序、脚脚本或相关关设置进行行加密保存存，禁止使使用简单密密码。因系统原因因不能进行行加密保存存的，系统

27、统管理员需需提交预设设帐号清单单及使用人人员清单。系统责任部部门负责人人进行书面面审批授权权。系统责任部部门负责人人每季度进进行复核签签字确认，如如发现多余余或不恰当当的账号应应进行及时时调整。8.3.44.2系统统基线配置置安全管理理 基线配置安安全要求依据管理理信息系统统安全基线线规范V22.0等等管理规范范与要求，公公司各业务务平台操作作系统、数数据库、服服务器中间间件、帐号号权限分配配与配置策策略、防火火墙需按照照该规范进进行配置。定期组织相相关检查人人员按时对对各业务系系统进行安安全基线配配置检查，对对检查中存存在风险的的系统发出出整改通知知书，督促促其及时进进行整改，并并根据整改改

28、反馈进行行复查，对对业务系统统上线前进进行基线配配置安全检检查工作，存存在有安全全风险的系系统必须进进行限期整改，验收合格后才能能上线。 基线配置安安全检查流流程管理流程管理要求开 始信息安全管理部门发起基线配置安全检查（复查）流程Y各业务系统负责人协调人员进行现场配合存在风险的系统根据整改通知进行整改加固YY信息安全管管理部门按按工作计划划发起基线线安全检查查流程并OOA通知具具体系统负负责人 各各系统责任任人收到OOA邮件后后，协调安安排配合人人员进行现现场配合信息安全管管理部门根根据检查结结果，对存存在风险的的系统发出出整改通知知，系统责责任人收到到整改通知知后安排对对风险进行行整改加固

29、固，并反馈馈整改情况况，信息安安全管理部部门收到反反馈结果组组织复查。8.3.44.3系统统漏洞安全全管理 系统漏洞安安全要求定期对公司司各生产系系统进行操操作系统、数数据库、中中间件、WWeb网站站等进安全全漏洞检查查，对检查查中存在漏漏洞的系统统发出整改改通知书，督督促其及时时进行整改改，并根据据整改反馈馈进行复查查，对业务务系统上线线前进行系系统漏洞安安全检查工工作，存在在有安全风风险的系统统必须进行行整改验收收后才能上上线。 系统漏洞安安全检查流流程管理流程管理要求开 始信息安全管理部门发起系统漏洞安全检查（复查）流程Y各业务系统负责人协调人员进行现场配合存在风险的系统根据整改通知进行

30、整改加固YY信息安全管管理部门按按工作计划划发起系统统漏洞安全全检查流程程并OA通通知具体系系统负责人人 各各系统责任任人收到OOA邮件后后，协调安安排配合人人员进行现现场配合信息安全管管理部门根根据检查结结果，对存存在漏洞的的系统发出出整改通知知，系统责责任人收到到整改通知知后安排对对风险进行行整改加固固，并反馈馈整改情况况，信息安安全管理部部门收到反反馈结果组组织复查。8.3.44.4终端端安全管理理 终端安全管管理要求终端安全策策略配置项项应满足以以下要求：1).终端端统一命名名，统一采采用“公司司+人员姓姓名”中文文方式。2).系统统标准化管管理，统一一使用正版版软件，禁禁止安装盗盗版

31、。3).密码码策略，按按照公司帐帐号管理办办法设置复复杂度策略略。4).配置置帐户锁定定策略，要要求设置锁锁定次数为为5次以下下。5).禁用用匿名访问问网络。6).设置置系统屏保保密码，同同时设定110分钟以以内的锁定定策略。7).审计计策略，开开启所有审审计策略。8).要求求安装杀毒毒软件并及及时进行病病毒库更新新。9).要求求统一安装装公司采购购的终端监监控软件。 终端安全配配置检查流流程管理流程管理要求开 始信息安全管理部门发起终端安全检查（复查）流程Y各部门员工（含合作伙伴）配合进行安全检查对存在不合规的终端进行设置，以满足安全管理要求YY信息安全管管理部门按按工作计划划发起办公公终端

32、安全全检查流程程并OA通通知具体检检查部门 各部部门员工（含含合作伙伴伴）配合进进行终端安安全检查。 检检查人员对对存在不合合规项的终终端进行设设置，以满满足安全管管理要求。8.3.44.5安全全审计管理理 安全审计管管理要求事件日志记记录:将来来自不同区区域、不同同设备、不不同系统的的日志信息息集中起来来，集中分分析处理，创创建记录异异常事件和和安全相关关事件的审审计日志并并按照协商商认可的保保留期限将将其保留一一段时间。1).审计计日志必须须至少包含含4W（wwho/wwhen/wherre /wwhat）要要素：用户ID或或帐号。操作日期和和时间。终端标识或或位置。用户所进行行的操作。系

33、统的成功功访问和拒拒绝访问的的记录。数据与其它它资源的成成功访问和和拒绝访问问记录。2).日志志审计类型型网络类日志志（鉴权平平台、网络络设备日志志）主机类日志志（主机本本身日志）应用类日志志（交换机机、智能网网等应用系系统日志）安全类日志志（IDSS、防火墙墙等）3).所有有特权操作作新帐户的创创建。用户权限升升级、口令令更改。配置的更改改。系统文件的的删除。系统启动和和停止。I/O 设设备连接/分离。端口开启进程启动等等4).对应应记录用户 IDD。地址：包括括目标IPP和源IPP重要事件的的日期和时时间。事件类型。所访问的文文件或资源源。所用程序/实用程序序。所进行的操操作或操作作结果。

34、 安全审计流流程工作流程工作要求/标准岗位职责 开 始安全监控F 各业务系统统安全监控控审计人员员监控系统统中产生的的事件F 系统管理员员F 负责系统的的日常监控控维护和日日志分析检测到需及时处理安全事件F 当检测到需需处理事件件时应及时时进行处理理F 系统管理员员F 安全管理员员F 发现安全事事件时，系系统管理员员通过任务务工单向安安全管理员员及时汇报报；F 安全管理员员接到事件件报告时，要要及时进行行分析定性性，决定后后续处理措措施。实时处理F 联系设备厂厂商、服务务厂商，及及时对事件件进行分析析处理，处处理内容包包括：确定定危险程度度，实施控控制措施，恢恢复系统，确确定来源，收收集数据取

35、取证等。F 如果事件对对网络或系系统造成重重大影响，应应启动事后后分析流程程。F 厂商人员、服服务商（如如需要）；F 系统管理员员；F 安全管理员员F 如有必要，系系统管理员员负责通知知厂商、服服务商到场场F 厂商、服务务商如接到到安全事件件通知，需需及时到场场，将分析析结果和处处理建议提提交安全管管理员；F 安全管理员员需审核厂厂商提交的的安全事件件处理建议议；重大安安全事件需需及时向上上级管理人人员汇报；F 系统管理员员配合厂商商进行安全全建议的实实施。存档F 填写事件件分析处理理记录存存档。报告告应包含已已经采取的的防护措施施的详细情情况和其他他任何经验验教训（例例如用来预预防相同或或类

36、似事件件再次发生生的进一步步防护措施施）F 厂商人员、服服务商F 系统管理员员F 安全管理员员F 处理人员需需填写事事件分析处处理报告F 安全管理员员需审核并并签署处理理结果结 束8.3.44.6客户户信息安全全管理 客户信息安安全管理要要求各系统管理理员应明确确识别各系系统中存储储、传输的的客户有关关信息，并并具体标注注需要保护护的客户信信息类型，对对于各相关关系统中的的客户信息息，未经授授权许可不不得查询，更更不能用于于公司合法运运营之外的的其它商业业用途。禁止在相关关系统中运运行与业务务无关的其其它程序，尤尤其是可能能自动获取取用户资料料的程序。按照最小化化原则配置置账户权限限，保证对对

37、客户信息息的访问不不得超过本本身工作范范围。对于于访问相关关系统的用用户，能直直接获得客客户信息的的，必须经经过授权，未未经授权的的用户不得得访问该系系统。对涉及客户户信息相关关操作，严严格按照“金金库模式”实实施指导意意见要求求执行，对对业务系统统涉及客户户身份资料料、位置信信息、通话话详单、充充值记录等等高价值信信息的高风风险操作纳纳入金库管管控。各系统在信信息获取、处处理、存储储、消除各各环节保护护客户信息息的完整性性、保密性性、可用性性，具备但但不限于如如下功能：1).客户户信息存储储时应具备备相应的安安全要求，包包括存储位位置、存储储方式等，对对于重要的的客户信息息，应根据据系统实际

38、际情况提供供必要的加加密手段。2).应具具备完善的的权限管理理策略，支支持权限最最小化原则则、合理授授权，对不不能支持此此原则的系系统，应减减少掌握该该权限的人人员数量，并并加强人员员管理。3).具备备完整的用用户访问、处处理、删除除客户信息息的操作记记录能力，以以备审计。 新建系统统必须满足足本要求，对对于不支持持本要求的的已建系统统，应根据据实际情况况在系统升升级中进行行改造。4).在传传输客户信信息时，经经过不安全全网络的（例例如INTTERNEET网），需需要对传输输的客户信信息提供加加密和完整整性校验8.3.44.7业务务安全管理理加强业务内内容安全监监控，加强强对业务内内容源引入入

39、、内容提提供/发布布、内容传传播等环节节的审核和和监控，并并建立和完完善内容安安全事件的的应急处理理机制，确确保业务内内容提供的的健康、合合法。提高业务计计费安全控控制，加强强对业务计计费流程的的梳理，严严防计费问问题的出现现。针对、短短信等不同同业务订购购方式，分分别采用有有效手段，防防止业务计计费点被套套用；确保保建立和完完善业务信信息费异常常监控技术术手段，及及时发现计计费安全问问题；对代代收费业务务应进行定定期拨测，发发现问题及及时处理。增强业务系系统外部接接口安全防防护，高度度重视与外外部系统有有交互接口口的业务平平台的安全全风险，确确保交互协协议设计的的安全可靠靠。加强对对外部交互

40、互协议与接接口的拨测测，及时发发现存在的的安全问题题。在业务务系统建设设过程中应应在业务系系统与外部部平台之间间规划部署署防火墙、流流量监控等等安全管控控措施。完善业务使使用流程和和制度相关关自，加强强对业务订订购、业务务认证、业业务使用、业业务退订等等各环节流流程的审核核和监控，及及时发现安安全问题。对对业务订购购、变更、退退订要提供供准确的核核实和确认认机制，对对业务认证证要重点关关注敏感认认证数据加加密、认证证算法强度度和认证失失败次数控控制等。加强对互联联网营销渠渠道的安全全监控，采采取黑白名名单、动态态码验证等等技术手段段防止营销销渠道恶意意盗链，建建立完善的的拨测机制制，监控违违规

41、情况。针针对第三方方营销渠道道，禁止层层层转包，并并定期进行行营销规范范性拨测，发发现违规情情况及时处处理。业务平台运运维从系统统、人员、第第三方管理理等方面，加加强业务平平台的运维维安全管控控，防止业业务运维中中出现安全全隐患。增增强业务系系统自身的的访问控制制，严格限限制运维人人员的帐号号、权限，确确保权限、角角色相符合合；加强对对运维人员员的安全意意识和技能能培训，提提高安全运运维能力。 8.3.44.8安全全检查与维维护作业按照规范要要求，定期期进行信息息安全检查查，形成汇汇报材料并并进行内部部通报。检检查应包括括但不限于于以下内容容，1).每月月进行1次次检查生产产终端及网网络接入情

42、情况。2).平均均每2个月月完成1次次全量的系系统漏洞扫扫描，并且且完成系统统帐号弱口口令安全检检查工作。3).每月月完成1次次全量Weeb漏洞扫扫描，每半半月完成11次重要WWeb网站站漏洞扫描描。4).针对对割接变更更的业务系系统，每月月进行1检检查安全基基线配置情情况。5).每月月出具1次次安全审计计月报。6).每季季度定期抽抽检要害人人员保密协协议、第三三方保密协协议、信息息安全承诺诺书、要害害人员保密密协议签署署备案情况况。7).每季季度定期抽抽检业务系系统业务流流程制定与与执行、信信息发布与与审核等情情况。8).每季季度定期抽抽检新建系系统上线安安全验收情情况。9).针对对重大专项

43、项安全保障障工作，根根据专项工工作的具体体要求，信信息安全组组负责制定定专项的安安全保障工工作安排，其其中包括：内容安全全保障、业业务安全保保障、系统统与网络安安全保障、客客户信息安安全保障、第第三方保障障，并组织织基地各部部门开展各各项安全检检查工作。8.3.55 IT运运维服务范范围 IT运维维是IT管管理的核心心和重点部部分，也是是内容最多多、最繁杂杂的部分，该该阶段主要要用于ITT部门内部部日常运营营管理，涉涉及的对象象分成两大大部分，即即IT业务务系统和运运维人员，可可细分为八八个子系统统： 设备管理：对网络设备备、主机、存存储、操作作系统运行行状况进行行监控 应用/服务务管理对各种

44、应用用支持软件件如数据库库、中间件件、群件以以及各种通通用或特定定服务的监监控管理，如如邮件系统统、DNSS、Webb等的监控控与管理 数据/存储储/容灾管管理对系统和业业务数据进进行统一存存储、备份份和恢复 业务管理对企业自身身核心业务务系统运行行情况的监监控与管理理 目录/内容容管理主要对于企企业需要统统一发布或或因人定制制的内容管管理和对公公共信息的的管理 资产管理管理企业中中各IT系系统的资源源资产情况况，这些资资源资产可可以是物理理存在的，也也可以是逻逻辑存在的的，并能够够与企业的的财务部门门进行数据据交互 信息安全管管理目前信息安安全管理主主要依据的的国际标准准是ISOO17799

45、9，该标标准涵盖了了信息安全全管理的十十大控制方方面，366个控制目目标和1227种控制制方式，如如企业安全全组织方式式、资产分分类与控制制、人员安安全、物理理与环境安安全、通信信与运营安安全、访问问控制、业业务连续性性管理等 日常工作管管理主要用于规规范和明确确运维人员员的岗位职职责和工作作安排、提提供绩效考考核量化依依据、提供供解决经验验与知识的的积累与共共享手段8.3.66 IT运运维与信息息安全的关关系信息安全是是IT运维维的重要组组成模块，对对于某些行行业是关键键模块 IT运维旨旨在谋求安安全性与方方便性 信息安全保保障着价值值 信息安全正正在创造价价值信息安全与与IT运维维共有一个个衡量标尺尺：组织业业务目标 业务需求驱驱动信息安安全与ITT运维需求求 信息安全与与IT运维维方案要适适应业务流流程 信息安全与与IT运维维方案要支支撑业务的的可持续发发展