信息安全運維方案

1

2020年5月29口

文檔僅供參考

安全運維實施方案

第1章、安全運維實施方案

1.1安全運維的重要性

隨著信息安全管理體系和技術體系在企業領域的信息安全建

設中不斷推進,占信息系統生命周期70%-80%的信息安全運維體

系的建設已經越來越被廣大用戶重視。特別是隨著信息系統建設

工作從大規模建設階段逐步轉型到“建設和運維”并舉的發展階

段,運維人員需要管理越來越龐大的IT系統這樣的情況下,信息安

全運維體系建設已經被提到了一個空前的高度上。

運維服務的發展趨勢對于企業的安全運維服務管理的發展,-

般能夠將其分為五個階段:混亂、被動、主動、服務和價值階段。

1.在混亂階段:沒有建立綜合支持中心,沒有用戶通知機制；

2.在被動階段:是開始關注事件的發生和解決,關注信息資產，

擁有了統一的運維控制臺和故障記錄和備份機制；

3-在主動階段:建立了安全運行的定義,并將系統性能，問題管

理、可用性管理、自動化與工作調度作為重點；

4.在服務階段，已經能夠支持任務計劃和服務級別管理；

5.在價值階段,實現性能、安全和核心應用的緊密結合,體現價

值之所在。

2

2020年5月29口

文檔僅供參考

1.2安全運維的定義

一般安全運維包含兩層含義：

1.是指在運維過程中對網絡或系統發生病毒或黑客攻擊等安全

事件進行定位、防護、排除等運維動作，保障系統不受內、

外界侵害。

2.對運維過程中發生的基礎環境、網絡、安全、主機、中間

件、數據庫乃至核心應用系統發生的影響其正常運行的事件

（包含關聯事件）通稱為安全事件，而圍繞安全事件、運維人

員和信息資產，依據具體流程而展開監控、告警、響應、評

估等運行維護活動,稱為安全運維服務。

當前,大多數企業還停留在被動的、傳統意義上的安全運維服務,

這樣安全運維服務存在以下弊端：

1.出現故障縱有眾多單一的廠商管理工具，但無法迅速定位安

全事件，忙于“救火“，卻又不知火因何而“著“O時時處于

被動服務之中,無法提供量化的服務質量標準。

2.企業的信息系統管理仍在依靠各自的“業務骨干”支撐，缺

少相應的流程和知識積累,過多依賴于人。

3.對安全事件缺少關聯性分析和評估分析,而且沒有對安全事

件定義明確的處理流程,更多的是依靠人的經驗和責任心,缺

少必要的審核和工具的支撐。

3

2020年5月29口

文檔僅供參考

2.綜合展現:合理規劃與布控,整合來自各種不同的監控管理工

具和信息源,進行標準化、歸一化的處理,并進行過濾和歸

并，實現集中、綜合的展現。

3.快速定位和預警:經過同構和歸并的信息,將依據預先配置的

規則、事件知識庫、關聯關系進行快速的故障定位,并根據

預警條件進行預警。

1.3.2建立安全運維告警中心

基于規則配置和自動關聯，實現對監控采集、同構、歸并的信

息的智能關聯判別,并綜合的展現信息系統中發生的預警和告警事

件,幫助運維管理人員快速定位、排查問題所在。

同時,告警中心提供多種告警響應方式,內置與事件響應中心

的工單和預案處理接口,可依據事件關聯和響應規則的定義,觸發

相應的預案處理,實現運維管理過程中突發事件和問題處理的自動

化和智能化。其中只要包括：

事件基礎庫維護:是事件知識庫的基礎定義,內置大量的標準

事件,按事件類型進行合理劃分和維護管理,可基于事件名稱和事

件描述信息進行歸一化處理的配置,定義了多源、異構信息的同構

規則和過濾規則。

智能關聯分析:借助基于規則的分析算法,對獲取的各類信息

進行分析,找到信息之間的邏輯關系,結合安全事件產生的網絡環

5

2020年5月29口

文檔僅供參考

境、資產重要程度,對安全事件進行深度分析,消除安全事件的誤

報和重復報警。

綜合查詢和展現:實現了多種視角的故障告警信息和業務預警

信息的查詢和集中展現。

告警響應和處理:提供了事件生成、過濾、短信告警、郵件告

警、自動派發工單、啟動預案等多種響應方式,內置監控界面的圖

形化告警方式;提供了與事件響應中心的智能接口，可基于事件關

聯響應規則自動生成工單并觸發相應的預案工作流進行處理。

1.3.3建立安全運維事件響應中心

借鑒并融合了ITIL（信息系統基礎設施庫）/ITSM（lT服務管理）

的先進管理規范和最佳實踐指南，借助工作流模型參考等標準,開

發圖形化、可配置的工作流程管理系統，將運維管理工作以任務和

工作單傳遞的方式,經過科學的、符合用戶運維管理規范的工作流

程進行處理,在處理過程中實現電子化的自動流轉,無需人工干預,

縮短了流程周期,減少人工錯誤,并實現對事件、問題處理過程中

的各個環節的追蹤、監督和審計。其中包括：

圖形化的工作流建模工具:實現預案建模的圖形化管理,簡單

易用的預案流程的創立和維護,簡潔的工作流仿真和驗證。

6

2020年5月29口

文檔僅供參考

可配置的預案流程:所有運維管理流程均可由用戶自行配置定

義,即可實現ITIL/ITSM的主要運維管理流程,又可根據用戶的實

際管理要求和規范,配置個性化的任務、事件處理流程。

智能化的自動派單:智能的規則匹配和處理,基于用戶管理規

范的自動處理,降低事件、任務發起到處理的延時,以及人工派發

的誤差。

全程的事件處理監控：實現對事件響應處理全過程的跟蹤記錄

和監控,根據ITIL管理建議和用戶運維要求,對事件處理的響應時

限和處理時限的監督和催辦。

事件處理經驗的積累:實現對事件處理過程的備案和綜合查詢，

幫助用戶在處理事件時查找歷史處理記錄和流程，為運維管理工作

積累經3僉。

1.3.4建立安全運維審核評估中心

該中心提供對信息系統運行質量、服務水平、運維管理工作

績效的綜合評估、考核、審計管理功能。其中包括：

評估：遵循國際和工業標準及指南建立平臺的運行質量評估框

架，經過評估模型使用戶了解運維需求、認知運行風險、采取相應

的保護和控制，有效的保證信息系統的建設投入與運行風險的平衡,

系統地保證信息化建設的投資效益，提高關鍵業務應用的連續性。

7

2020年5月29口

文檔僅供參考

考核:是為了在評價過程中避免主觀臆斷和片面隨意性,應實

現工作量、工作效率、處理考核、狀態考核等功能。

審計:是以跨平臺多數據源信息安全審計為框架,以電子數據

處理審計為基礎的信息審計系統。主要包括:系統流程和輸入輸出

數據以及數據接口的完整性、合規性、有效性、真實性審計。

1.3.5以信息資產管理為核心

IT資產管理是全面實現信息系統運行維護管理的基礎,提供的

豐富的IT資產信息屬性維護和備案管理,以及對業務應用系統的

備案和配置管理。

基于關鍵業務點配置關鍵業務的基礎設施關聯,經過資產對象

信息配置豐富業務應用系統的運行維護內容,實現各類IT基礎設

施與用戶關鍵業務的有機結合，以及全面的綜合監控。這其中包括:

綜合運行態勢:是全面整合現有各類設備和系統的各類異構信

息，包括網絡設備、安全設備、應用系統和終端管理中各種事件，

經過分析后的綜合展現界面,注重對信息系統的運行狀態、綜合態

勢的宏觀展示。

系統采集管理:以信息系統內各種IT資源及各個核心業務系

統的監控管理為主線,采集相關異構監控系統的信息,經過對不司

來源的信息數據的整合、同構、規格化處理、規則匹配，生成面向

運行維護管理的事件數據,實現信息的共享和標準化。

8

2020年5月29口

文檔僅供參考

系統配置管理:從系統容錯、數據備份與恢復和運行監控三個

方面著手建立自身的運行維護體系,采用平臺監測器實時監測、運

行檢測工具主動檢查相結合的方式，構建一個安全穩定的系統。

1.4安全管理原則

1.深信通負責業務支撐中心的安全、保密管理工作，遵守百方

基地已有各項安全規定,以此為基礎制定詳細的〈安全管理

實施辦法》,并采取適當措施保證有關措施的有效執行。

2.深信通定期檢查安全、保密規定的執行情況；

3.深信通定期組織系統病毒檢查,并對此負責；

4.深信通及時向信息技術中心反映存在的安全隱患。

1.5保密原則

1.深信通嚴格遵守南方基地各項安全保密制度,加強服務工程

師的保密意識,制定有效的管

2.深信通整理措施和技術措施,防止重要數據、文件、資料的

丟失及泄漏。

3.深信通有關計費清單、用戶資料、業務數據、重要文件等均

屬機密，不得任意抄錄、復制及帶出機房，也不得轉告與工

作無關的人員。

4.機房內重要文件、數據的銷毀，應全部送入碎紙機，不得任意

9

2020年5月29口

文檔僅供參考

丟棄。

5.安全保密工作深信通安排專人負責,定期向信息技術中心提

交《安全工作報告〉。

1.6硬件層安全運維

161機房安全運維

1.6.2基礎網絡安全運維

1.7人員管理安全運維

1.8應用層安全運維

1.對于南方基地管理支撐應用的帳戶,必須遵循〈南方基地管理支

撐系統帳號密碼管理辦法（V2.0）＞,并結合實際情況,補充并完

善相關管理辦法。

2.系統用戶帳號原則上不允許存在共享帳號，所有帳號必須明確

至個人;由于系統特殊原因必須使用共享帳號的情況下,系統必

須制訂對共享帳號的審核授權流程,明確共享帳號的有效期以

及使用帳號人員資料。

10

2020年5月29口

文檔僅供參考

3.用戶帳號原則上采用用戶中文名稱的漢語拼音,當遇到用戶的

中文漢語拼音相同時,系統將為重復的帳號后加上順序號,如此

類推，如：liming,liming2,liming3,liming5.順序號將

避開數字‘4,。

4.各系統用戶數據屬性應包括用戶中文姓名和用戶中文ID,原則

上用戶中文ID就是用戶姓名,當不同用戶具有相同中文名稱時,

系統除了按2、3的命名規范為其分配用戶帳號外，用戶中文

1D后面加上與帳號一致的后綴。而用戶的中文名后面不加順

序號。如:

5.公司6.姓7.中8.帳號9.郵件

名文

ID

10.省公11.李12.李13.liming14.

可明明

15.清遠16.黎17.黎18.Iiming219.

移動明明

20.深圳21.李22.李23.Iiming324.

公司明明

3

25.圖7.1-1帳號說明

11

2020年5月29口

文檔僅供參考

26.測試人員和代維人員帳號:各系統測試人員和代維人員帳號原

則上應以該系統的英文縮寫作為前綴加上用戶名稱的漢語拼音

生成。

27.各系統用戶密碼長度不得低于6位；不得采用弱密碼（弱密碼定

義參見〈南方基地管理支撐系統帳號密碼管理辦法》）；最少每

90天必須強制用戶更改密碼;并不得使用5次以內重復的密碼;

登錄系統時,如重復嘗試3次不成功,則系統暫停該帳號登錄功

能。

28.園區信息化系統安全體系

2

?9

30.檢查點31.檢查要求32.交付物

系

統

平

臺34.核心

管

理系統35.需對關鍵系統和服務器有清晰的定義

及關（如DNS/DHCP、防病毒等影響全網層36.核心業務、關

鍵服面的服務器、承載重要業務或包含敏鍵服務器列表

務器感信息的系統等）

定義

33.日常

維護38.園區信息化系統和關鍵服務器需有詳

39.應急預案

盡故障應急預案

37.應急

40.應定期進行相關應急演練,并形成演

與演

練報告，保證每年所有的平臺和關鍵41.應急演練報告

練

服務器都至少進行一次演練

42.根據應急演練結果更新應急預案,并43.應急預案更新

12

2020年5月29口

文檔僅供參考

保留更新記錄，記錄至少保留3年記錄,預案版

本記錄

46.備份管理制

45.系統所涉及不同層面（如系統的重要度,包括備份

性、操作系統/數據庫）應當制定數據策略管理制度

的備份恢復以及備份介質管理制度與備份介質管

理制度

48.備份管理制

47.系統所涉及不同層面應根據業務要求度,包括備份

制定數據的本地和異地備份（存放）策策略管理制度

略與備份介質管

理制度

44.備份50.策略審核表，

49.相關人員對本地和異地備份策略的結

管理加入備份管理

果進行每季度審核

制度

51.備份的數據進行恢復性測試，確保數52.備份恢復應急

據的可用性,每年不少于一次演練記錄

54.備份介質更換

53.相關人員對備份介質的更換記錄進行

記錄表,加入

每半年審核

備份管理制度

56.備份介質銷毀

55.相關人員對備份介質的銷毀記錄進行

記錄表，加入

每半年審核

備份管理制度

57.故障58.各地市需制定相應的園區信息化系統

59.故障處理流程

管理及服務器故障處理流程

13

2020年5月29口

文檔僅供參考

60.系統中發現的異常情況由系統維護人

61.故障處理流程

員根據相關流程在規定時間內處理

62.故障處理完成后必須留有相應的故障

63.故障處理報告

處理記錄

65.為保障設備接入網絡的安全性，設備

上線前必須安裝防病毒系統及更新操66.1、企業網接

作系統補丁,并對設備進行進行安全入管理辦法

掃描評估,針對安全漏洞進行安全加2、接入記錄

固

67.為避免系統上線對其它系統和設備造

成影響，發布前必須對系統應用站

68.1、應用系統

點、數據庫、后臺服務、網絡端口進

接入申請流程

行安全評估。系統投入正式運營前必

2、接入記錄

須在測試環境中對系統進行模擬運行

一周以上

64.上線

管理69.系統上線之后如需對系統進行功能更

70.1、應用系統

新，必須由系統管理員或系統管理員

更新申請流程

指定專門維護人員進行更新操作,嚴

2、更新記錄

格按照公司安全管理規范執行

72.1、中國移動

門戶網站安全

71.Web應用應根據業務需求與安全設計技術規范

原則進行安全編碼,合理劃分帳號權V1.0_20

限,確保用戶帳號密碼安全,加強敏感101229_1832_

數據安全保護，提供詳細的日志（全部合訂）

2、根據規范

對開發規范進

14

2020年5月29口

文檔僅供參考

行修正，用戶

名密碼的管理

要求、敏感數

據的管理要

求、系統日志

的開發要求

3、現有應用

的安全檢查

74.定期進行服務器漏洞掃描,并根據漏

75.掃描記錄與掃

洞掃描報告封堵高危漏洞,每季度至

描結果報告

少對所有服務器掃描一次

77.1、W5US服務

器中的關鍵更

新的補丁清

76.需建立統一的WSUS服務器，并每季度

曳每個月1

對關鍵服務器進行高危漏洞升級,并

73.漏洞份

留有升級記錄

與防2、應用服務

病毒器端每次更新

的補丁清單

78.任何終端必須安裝正版防病毒軟件，

79.防病毒檢查記

且保證90%以上病毒庫最新（五日以

錄

內）

80.每周檢查防病毒軟件隔離區，排除病81.防病毒檢查記

毒威脅錄

82.核心83.在操作系統層、數據庫層、應用層建84.1、操作系統

系統立日志記錄功能日志記錄中保存1層日志策略

和關年的內容，日志安全記錄能夠關聯操2、數據庫日

15

2020年5月29口

文檔僅供參考

鍵服作用戶的身份志策略

務器3、應用層日

日志志要求加入開

審計發規范中

85.操作系統日志中需記錄”賬戶管

86.操作系統層日

理”“辱錄事件"“策略更改””系

志策略

統事件”等內容

87.操作行為記錄需進行定期審計88.

89.數據庫層日志需記錄每次數據庫操作90.數據庫日志策

的內容略

92.應用層日志要

91.應用層口志需記錄每次應用系統出錯

求加入開發規

的信息

范中

93.檢查關鍵錯誤日志、應用程序H志中

94.

的關鍵錯誤記錄，保證日志審核正常

95.關鍵訪問與操作應立即啟用日志記錄

功能,避免因日志記錄不全,造成入侵96.

后無法被追蹤的問題

98.每天檢查平臺短信發送、接收的可用99.每天短信檢查

性記錄

97.信息

發布101.短信關鍵

管理100.短信必須設置關鍵字過濾,每個月字更新記錄，

進行關鍵字更新,并檢查其有效性有效性檢查記

錄

16

2020年5月29口

文檔僅供參考

103.需對所有園區信息化系統、應用

104.應用系統-

系統的核心信息進行清晰的界定,核

核心信息矩陣

心信息包括但不限于涉及客戶資料、

102.信圖

客戶賬戶信息、客戶密碼、操作記錄

息防

泄密105.需對核心信息設定保密措施

106.應用系統

核心信息管理

107.對核心信息的操作進行特殊監控，

制度

并留下記錄

111.1、賬號管

110.服務器上任何賬號必須有審批人理辦法

員審核確認2、賬號申請

表

109.賬112.所有系統和服務器上賬號必須每113.賬號審核

號密季度進行審核表

碼管

114.密碼復雜度要求：

理

一.靜態密碼:密碼應至少每90天進115.1、密碼修

108.訪

行更新,密碼長度應至少6位或以上，改記錄表

問控

密碼應由大小寫字母、數字或標點符2、歷史密碼

制

號等字符組成，五次內不能重復記錄表

二.動態密碼。

117.不得有互聯網遠程維護的訪問方

118.現場檢查

式。

116.遠

程訪119.MDCN網系統的遠程訪問只能經過

問省公司的SSLVPN或IBMVPN,不得

120.現場檢查

在市公司層面存在互聯網以VPN等形

式的遠程訪問

17

2020年5月29口

文檔僅供參考

121.

122.

123.應用安全

124.應用層的漏河掃描,實現對南方基地園區信息化系統上的所

有系統進行安全掃描，做好應用防護,防止出現SQL注入、網

頁后門程序、跨站腳本等重大安全漏洞,避免因2應用系統自

身漏洞造成敏感信息泄露的安全問題；

125.服務器報警策略

126.報警策略管理是防止集群中的服務器某個壓力值過高或者過

低而造成集群性能的降低,經過報警策略的設定,管理能夠及時

的察覺每個服務器的故障并進行及時修正，保證集群最有效的

工作狀態。管理員能夠根據服務器的不同應用,經過報警策略

的類型、極限參數和警告內容的設置,將報警策略賦予服務器,

并產生報警日志。

127.用戶密碼策略

128.密碼策略用于應用接入平臺用戶身份模塊中用戶賬戶。它確

定用戶賬戶密碼設置，例如:密’碼復雜芟、空碼歷史等設置。

129.用戶安全策略

18

2020年5月29口

文檔僅供參考

130.用戶安全策略用于應用接入平臺權限設置。它確定用戶身份

權限設置,例如:能訪問服務器的那個謠盤，此用戶身份能運行

那個業務程序等設置。

131.訪問控制策略

132.管理員經過訪問控制策略來限定用戶和客戶端計算機以及時

間等因素的綁定來實現用戶安全訪問應用程序的設置。

133.時間策略

134.經過對訪問該應用程序及使用的用戶身份進行時間限制,從

而提升對發布的應用程序的訪問安全，使其只能在特定時間與

被確認身份的用戶身份所使用。防止被惡意用戶不正當的訪

問。

1.8.1備份安全

指遵照相關的數據備份管理規定,對園區信息化系統及其產品

的數據信息進行備份和還原操作。根據園區信息化系統及其產品

的數據重要性和應用類別,把需要備份的數據分為數據庫、系統附

件、應用程序三部分。

1.每周檢查NBU備份系統期備份結果檢查,處理相關問題。備

份系統狀態、備份策略檢查，對備份策略以及備份狀態檢杳以

及調優，主要服務器變更、應用統一接入等

19

2020年5月29口

文檔僅供參考

1.8.2防病毒安全

1-導出防病毒安全檢查報告、對有風險和中毒的文件與數據進

行檢查

2.對病毒分析處理

3.定期檢測病毒,防止病毒對系統的影響

1.8.3系統安全

1.定期修改系統Administrator密碼：主要修改AD、

Cluster、服務器密碼；

2.安裝操作系統補丁,系統重啟，應用系統檢查測試

3.數據庫的賬號、密碼管理，保證數據庫系統安全和數據安全

4.對系統用戶的系統登錄、使用情況進行檢查,對系統日志進

行日常審計

1.8.4主動安全

1.監控Agent的配置與管理,對端對端監控產生檢查結果核實,

處理相應問題

2.園區信息化所有系統需有詳盡故障應急預案

3.應定期進行相關應急演練,并形成演練報告，保證每年所有的

平臺和關鍵服務器都至少進行一次演練

4.根據應急演練結果更新應急預案,并保留更新記錄,記錄至少

20

2020年5月29口

文檔僅供參考

保留3年

1.8.5系統及網絡安全

1.流量分析(netscount)

深信通根據南方基地的安全及分析需求，提供netscount

分析服務支撐,對各系統性能提供全面分析。并提供優化建議

及方案。

2.應用分析(splunk)

深信通根掂南方基地的園區信息化系統安全,建立splunk

的日志分析服務,并針對日志進行全面分析。對系統的安全、

保障提供優化建議及優化方案。

3.提供流量分析和應用分析提供10人以上的專題分析報告,并

根據報告提供具體的實

施方案及優化手段。

4.根據優化建議及方案對平臺及網絡進行安全整改,以全面提

升平臺的性能、安全，

解決瓶頸。

1.8.6防篡改防攻擊

1.網頁文件保護,經過系統內核層的文件驅動,按照用戶配置的

進程及路徑訪問規則

設置網站目錄、文件的讀寫權限，確保網頁文件不被非法篡

21

2020年5月29口

文檔僅供參考

改。

2.網絡攻擊防護,Web核心模塊對每個請求進行合法性檢測,對

非法請求或惡意掃描

請求進行屏蔽,防止SQL注入式攻擊。

工集中管理,經過管理服務器集中管理多臺服務器,監測多主機

實時狀態,制定保護

規則。

4.安全網站發布，使用傳輸模塊從管理服務器的鏡像站點直接

更新受保護的網站目錄,數據經過SSL加密傳輸,杜絕傳輸過程

的被篡改的可能。

5.網站備份還原,經過管理控制端進行站點備份及還原。

6.網頁流出檢查,在請求瀏覽客戶端請求站點網頁時觸發網頁

流出檢查,對被篡改的

網頁進行實時恢復,再次確保被篡改的網頁不會被公眾瀏覽。

7.實時報警,系統日志,手機短信,電子郵件多種方式提供非法

訪問報警。

8.管理員權限分級，可對管理員及監控端分配不同的權限組

4

口o

9.日志審計,提供管理員行為日志,監控端保護日志查詢審計。

10.對站點主機進行監控，對CPU,內存,流量的作統計，以便實

時監控站點服務器

22

2020年5月29口

文檔僅供參考

的運作情況。

11.站點系統賬號監控,對站點服務器的賬號進行監控,對賬號

的修改,添加等改動有

阻攔和日志記錄及報警，使站點服務器更加安全。

1.8.7合理授權

1.合理授權的定義:合理授權是指對IT管理支撐應用系統及其相

關資源的訪問設定嚴格的授權審批機制,確保IT管理支撐應用

系統的安全性。

2.為了保證南方基地TT管理支撐應用系統的安全性,確保相關

IT資源的訪問經過合理授權,所有IT管理支撐應用系統及其

相關資源的訪問必須遵照申請一評估一授權的合理授權

管理流程。

3.需要合理授權的IT資源包括但不局限于應用系統的測試環

境、程序版本管理服務器、正式環境（包括應用服務器和數據

服務器等）。

1.申請:由訪問者（一般是應用開發商、應用系統管理員等）提交

書面的訪問申請表（書面訪問申請表，包括但不局限于紙質、

Word文檔以及電子郵件等），提交安全管理員（一般是系統管理

員或者專職的安全管理員）進行風險評估。

23

2020年5月29口

文檔僅供參考

5.評估:安全管理員對接到的訪問申請書進行風險評估，并根據訪

問者及被訪問IT資源的具體情況,進行靈活處理。

6.授權:在訪問申請表經過安全風險評估后,安全管理員會對訪問

者進行合理授權。原則上,對程序版本管理服務器和正式環境

的訪問申請,安全管理員必須根據有關管理流程給出正式授權，

以滿足安全審計的要求。

7.各系統超級管理員帳號的分配，必須由系統負責人員提出書面

申請,申請內容應包括系統名稱、帳號、帳號有效期、帳號哽

用負責人、帳號權限等內容,由部門副經理或以上的管理人員

進行審核批準后,超級管理員帳號方可生效。

&系統超級管理員密碼設置應符合本管理辦法中用戶密碼管理的

相關規則；各系統應最少每90天對超級管理員帳號進行審查，

而且將審查結果寫入書面記錄，由部門副經理或以上管理人員

審核存檔。

9.各應用層超級管理員帳號的分配,必須由系統負責人員提出書

面申請,申請內容應包括應用系統名稱、帳號、帳號有效期、

帳號使用負責人、帳號權限等內容,由部門副經理或以上的管

理人員進行審核批準后,超級管理員帳號方可生效。

10.應用層超級管理員密碼設置應符合本管理辦法中用戶密碼管理

的相關規則；各系統應最少每90天對超級管理員帳號進行審查,

24

2020年5月29口

文檔僅供參考

而且將審查結果寫入書面記錄，由部門副經理或以上管理人員

審核存檔。

11.為了保證帳號安全管理,各系統應最少每90天對本系統涉及的

帳號（包括各類管理員帳號和普通用戶帳號）進行檢查,對已經

超過有效期的帳號進行清理，對不符合管理規范的帳號進行補

充授權與審批。

12.各系統私有測試帳號和代維人員帳號:由各系統管理員自行管

理。

13.關于帳號申請、授權、登記、變更等管理表格詳見附件八〈帳

號管理相關表格》

1.8.8安全隔離

M.安全隔離的定義:安全隔離是指對IT應用系統的相關數據（包

括應用系統的程序代碼、數據文件等）進行邏輯隔離、物理隔

離等,以確保應用系統的安全性。如果開發商在開發、維護合

作過程當中可能接觸到我公司的敏感數據,必須與南方基地簽

訂安全保密協議。

15.對安全等級為機密的IT應用系統（包括但不局限于企業內部的

機密檔案信息等），我們需要對它的有關數據進行物理隔離,以

提高應用系統的安全防范能力;對安全等級為秘密的IT應用系

統以及應用系統的基礎數據（如綜合應用平臺的基礎數據、組

25

2020年5月29口

文檔僅供參考

織架構等），需要進行邏輯隔離。系統應用層面的訪問必須經過

帳號進行訪問,系統的帳號及口令管理參照本規定的帳號管理

部分。

16.應用系統管理員或者專職的安全管理員應根據具體應用系統的

數據的敏感度制定相應的安全隔離措施,具體措施包括但不限

于訪問控制列表、安全加固、文件系統權限設定等。

1.8.9安全審計

17.安全審計的定義:安全審計是指出于安全考慮,經過對IT應用

系統的異動記錄、操作過程、數據轉換等進行詳細記錄,為事

后的偵察和取證提供依據。

18.安全審計的范圍:我們需要對一些重要的具有較高安全風險的

操作進行安全審計,操作系統層、應用系統層以及數據庫層的

所有重要操作,特別是管理層認定對財務報表有關的操作留有

系統日志。系統日志由系統主管部門根據風險和重要性的原則

確定檢查內容（如超級管理員的帳戶登陸操作、正式環境的訪

問、數據轉換的操作活動、版本升級的操作活動、補丁升級操

作活動等等）負責每月進行審核。系統所需的自動或手動批處

理作業應制定作業安排計劃,留有電子或紙質文檔操作說明。

自動批處理作業應在系統中留有運行日志記錄,手工批處理作

業的執行結果由批處理操作人員負責檢察確認。只有授權的系

26

2020年5月29口

文檔僅供參考

統維護人員能夠在系統中維護作業安排計劃或安排手工作業安

排計劃,批處理計劃上線前都必須經過測試,并由相關人員簽字

審批。

19.安全審計的管理流程:每年至少舉行一次全范圍的安全審計活

動,具體操作能夠結合管理支撐系統的年終巡檢等活動,由南方

基地管理信息部根據實際情況自行決定。

20.統一用戶管理的安全審計:用戶帳戶信息（包括組織單元屬性、

崗位屬性等）是所有應用系統最基礎的數據,用戶帳戶所對應的

應用系統訪問權限（這里特指是否對應用系統具有訪問權限,而

不考慮在應用系統本身的具體授權）是安全管理的重要內容,因

此原則上需要對用戶的異動信息及應用系統訪問權限進行安全

審計,以提高整個IT管理支撐應用系統的安全性。

21.安全審計的目的:在指定周期內對信息系統的系統（操作系統、

數據庫）用戶、系統管理員、應用層面的用戶、系統批處理任

務等涉及財務報表的操作進行安全審計。

22.流程：

27

2020年5月29口

文檔僅供參考

信息系統安全審計流程

審計實修\處建分析\確認\

s

H

—X—

pr-03中QR-01維I

fc用戶審＞3?支

.*字?伏I

W

H

CF02根據

feE?審計站果處

望愛用戶

SJW2用戶SJ-03發送

權限審計審計結果

?件/公文通知：

上竺女」

權取6衣及

用戶權RMIW信息條鯉安

消衣（應

?M（審計后）全市時報告

權限電陣表及用用用入?

23.

24.圖9.1.4-1信息系統安全審計流程

25.說明:系統安全審計由各系統安全審計員發起,本流程涉及角色

為:安全審計員、安全管理員、應用管理員以及各系統使用相

關部門。

26.工具:附件九＜帳號清單審核表》、附仁十〈系統權限，用戶責任

權限矩陣表》、附件十一〈系統安全審計報告＞。

27.統一用戶管理的安全審計:用戶帳戶信息（包括組織單元屬性、

崗位角色屬性等）是所有應用系統最基礎的數據,用戶帳戶所對

應的應用系統訪問權限（這里特指是否對應用系統具有訪問權

限,而不考慮在應用系統本身的具體授權）是安全管理的重要內

28

2020年5月29口

文檔僅供參考

容,因此原則上需要對用戶的異動信息及應用系統訪問權限進

行安全審計,以提高整個IT應用系統的安全性。當南方基地或

業務發生重大變更或半年時,系統主管部門應組織各使用系統

的部門對系統用戶的訪問權限清單進行審閱，以合理確保用戶

在系統中的權限與其職責相符;操作系統、數據庫層超級用戶

的賬號（比如根用戶,系統管理員,批處理用戶賬號,數據庫管理

員）、預設的用戶帳號、第三方人員帳號的授權應具備書面審

批記錄表格,各責任部門負責人或第三方人員對其進行復核簽

字確認,并根據審閱結果對多余或不恰當的賬號進行調整。

28.版本管理的安全審計:需要對所有IT應用系統的源代碼、運行

代碼、配置文佇、數據庫文件等的版本變更過程進行安全審

計。

1.8.10系統掃描分析

1.8.11系統掃描

深信通為了深化自身服務能力，自購了相關掃描工具如：

1.系統維護工具:天鏡脆弱性掃描與管理系統、Microsoft

BaselineSecurityAnalyzer2.2

2.系統基線掃描工具:綠盟的基線掃描

29

2020年5月29口

文檔僅供參考

3.應用維護工具:IBMRationalAppScan.NBSI_3.0、微軟Web

壓力測試工具(MicrosoftWebApplicationStressTool)

4.以滿足南方基地和系統的安全需要：

5.以下對系統掃描工作GFILANguard進行闡述

1.系統安全掃描工作GFILANguard

GFILANguard功能：

令掃描、檢查、評估并幫助修補安全網絡漏洞。

?管理整個網絡部署與管理補丁和服務程序包,自動檢查并刪除

未經授權的應用程序。

?能夠掃描識別出多種主流防毒軟件安裝及病毒庫更新情況。

令擁有強大的報告系統,能夠對服務器的安全策略和整體系統環

境做出來安全評定。

令提供一個完整的網絡拓撲。

＜整個網絡安全歷史記錄。

令完整的文本搜索。

?修復中心控制臺。

?支持虛擬主機的掃描。

GFILANguard優勢

弋GFTLANguard能夠在幾分鐘內完成幾百甚至上千的電腦的掃描,

不止支持Microsoft系統還支持Linux、Unix操作系統、路由

30

2020年5月29口

文檔僅供參考

器、交換機和無線設備等系統的漏洞石描,能夠檢查工作站中

不必要的共享、開放端口和未用帳號。

令GFILANguard集成了1000多款安全軟件的信息，能集中管理整

個網絡部署的服務及安裝程序，并能夠集中分發安裝用戶所需

的應用程序,能夠自動檢查并刪除未經授權的應用程序,對

Windows操作系統進行統一的補丁更新管理,能夠一次性得到各

臺服務器上需要安裝補丁列表,并批量進行安裝。支持報警功

能,告知用戶什么時候有產品的更新。LANguard都將通知管理

員，具體類型分為:防病毒、防間諜、防火墻、防釣魚、備份客

戶端等。LANguard能報告她們的狀態并提示任何需要注意的

潛在問題。

令LANguard能夠掃描識別出多種主流防毒軟件安裝及病毒庫更新

情況,并生成報告告之用戶及時更新病毒庫或者提醒用戶安裝

殺毒軟件。

<GFILANguard加入了一個功能強大、能夠互動的全新儀表盤。

它能根據安全審計信息給出現有網絡安全的一個概要,連同一

份網絡變化情況的所有歷史記錄。它還能在問題出現時觸發安

全報警器。用豐富的報告系統，來顯示用戶的網絡狀況,能夠用

來分析網絡漏洞,識別問題,預防故障的產生，

今能夠經過LANguard查看整個網絡拓撲信息,來查看系統狀態、

軟件版本,及硬件概況來幫助行政部門。

31

2020年5月29口

文檔僅供參考

令LANguard支持針對單個目標掃描或者地址段甚至整域掃描,并

生成用戶報告。該報告包括系統狀態,軟件詳細,端口的使用及

補丁的狀態及硬件概況。客戶端程序也能夠定時自動上傳客戶

機狀態到LANguard服務器。只要一打開LANguard程序,管理

員就有一份完全且即時的網絡安全狀況列表。所有的報告將基

于所掃描電腦的當前狀態，而不是某些特定的安全檢查。這些

報告能夠導出為PDF、HTML、XLS、XLSX、RTF和CVS文件，同

時能夠經過計劃任務發送到特定郵箱。這些模板報告能夠自定

義,還能加上自定義的logo0

令GFILANguard能夠幫助用戶快速找到她們想要的信息。查找網

絡掃描結果簡單地就像上網搜索一樣，查找到的結果將指向相

關項。用戶不但能夠查找現在和以往的事件日志，還能對特定

的產品的漏洞、已安裝的程序，和未打的補丁進行搜索。同時，

用戶還能保存、打印、查詢這些掃描很告。

<GFILANguard修復中心控制臺能夠從一個中央位置修復漏洞，

并監控修復任務的狀態,并瀏覽所有已執行修復任務的歷史記

錄。

?GFILANguard支持虛擬環境的掃描,能夠檢測到被掃描電腦上

的虛擬主機,這樣管理員能夠更好地全覽虛擬環境架構。

32

2020年5月29口

文檔僅供參考

Cwuter/IPVLOS