信息安全监控与安全事件报告管理制度

信息安全监控与安全事件报告管理制度

第一节总则

第一条为规范信息安全监控与安全事件报告管理工作，特制定本制度。第二条本制度中信息系统包括操作系统、数据库系统、应用系统、服务器、存储设备、交换机、防火墙、入侵检测系统等系统和设备。第三条本制度所称的信息安全事件，是指由于自然灾害、人为失误或破坏、黑客入侵与病毒攻击等原因，出现骨干网络阻塞、业务中

断、系统破坏、数据破坏、公司网页被篡改、信息失窃或泄密等

严重影响到公司网络与信息系统正常运行，从而对网络传输、业

务运行、公司形象等方面造成不良影响，以及造成一定程度直接

和/或间接经济损失的事件的情况。

第四条根据信息安全事件对业务的影响程度及资产损失程度，把安全事件分为一般、严重和重大三个级别，具体参见（附件一）。

第五条本制度适用于中国铝业股份有限公司总部和各分子公司（含郑州研究院）（以下简称“公司”）。

第二节信息安全监控

第六条总部信息部负责建立信息安全监控和安全事件报告的管理体系，各分子公司信息部负责所辖范围内的信息安全监控和安全事件报

告工作。

第七条信息系统管理员根据《信息安全监控操作指引》（附件二），对非授权或可疑操作进行监控，重点关注涉及信息系统安全的操作记

录，包括用户登录记录、帐号权限修改记录、信息系统的配置更

改记录、报警信息、失败登陆尝试记录等，填写监控记录表，如

有异常情况立即向信息安全管理员报告。

第八条信息系统管理员在监控过程中如发现异常情况，根据《问题处理管理制度》及时报告和处理，并针对已发现的可疑操作，评估系

统的安全性，修补系统中可能存在的安全隐患。

第九条信息安全管理员每月对监控记录表进行审阅，总结分析信息安全情况，填写《信息安全月度报告》（附件四），提交上级主管审

阅。

第三节信息安全日志管理

第十条公司信息部统一设置日志服务器，信息系统管理员根据《系统配置与基础架构管理制度》中基准配置的要求，开启信息系统的日

志功能并记录用户对信息系统的操作。

第十一条公司信息部制定详细的信息系统安全日志备份计划（包括机房门禁系统），信息系统管理员按计划进行备份和保存，信息系统日志

必须保存半年。

第十二条只有被授权人员才有阅读日志的权限。为确保日志的完整性及真实性，在保留期内任何人不得删除或更改日志。

第四节信息安全事件报告

第十三条公司信息部负责信息安全工作,必须设立信息安全管理岗位,信息安全管理员负责信息安全监控和信息安全事件报告工作。

第十四条信息安全事件报告的具体流程参见《信息安全事件报告流程》（附件三）。

第十五条信息安全事件处理中的问题处理请参见《问题处理管理制度》。

第十六条总部信息部负责组织对相关安全事件进行分析和研究，并将结果通报各分子公司信息部。

第五节附则

第十七条本制度由公司总部信息部负责解释和修订。

第十八条本制度自发布之日起开始执行。

附件一信息安全事件分类与分级

一、信息安全事件主要可以分为以下几大类：

▪自然灾害：洪灾、火灾、地震等自然灾害。

▪拒绝服务：DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的

服务。

▪恶意代码：病毒、蠕虫、木马等会给计算机带来不良影响的代码。

▪未授权访问：某人在没有得到允许的情况下，获得对网络、系统、应用、数据，以及其它信息资源的访问权限。

▪不当应用：违反安全策略的行为，包括公司和部门制定的制度、流程、标准和规范。

▪上述几种安全事件的结合。

二、结合公司的实际情况，将信息安全事件做如下分级：

▪一般安全事件

由于非法攻击、病毒入侵等安全原因造成业务系统的主机、网络、数据

库和数据等IT资产受到损害，由于已经采取了安全预防措施（例如备份

设备等），没有影响业务系统的正常运行，并能够通过部门信息安全管理

员协调进行处理，在短期内发现并解决的安全问题，称为一般安全事

件。

例如：个别系统和设备由于病毒造成设备无法正常工作，但是没有影响

业务系统和网络流量等安全事件。

▪严重安全事件

由于非法攻击、病毒入侵或后门等安全原因造成业务系统的主机、网

络、数据库和数据等重要IT资产受到损害，可能对业务系统造成影响的

安全问题称为严重安全事件。

一般安全事件没有在规定时间内进行解决，同时可能对业务系统造成影

响，会从一般安全事件上升到严重安全事件。

例如：重要业务系统的重要服务器存在后门，可能对业务系统正常运行

造成影响或数据被修改等安全事件。如爆发蠕虫，造成系统运行缓慢。▪重大安全事件

由于非法攻击、病毒入侵或后门等安全原因造成业务系统的主机、网络、数据库和数据等重要IT资产受到损害，并且已经对业务系统造成一定范围的影响，有可能产生业务中断的安全问题称为重大安全事件。

严重安全事件没有在规定时间内进行解决，同时对业务系统造成影响，会从严重安全事件上升到重大安全事件。

例如：由于蠕虫病毒大面积爆发，造成网络堵塞，已经对业务系统产生影响的安全事件，重要业务系统的数据或应用环境被破坏造成业务中断。

附件二信息安全监控操作指引

1、日操作

1.1 网络安全操作

▪防火墙日志检查

描述通过对防火墙的告警日志进行分析，发现设备异常情况

使用方法开启防火墙的设备的日志功能，查看防火墙的设备告警日志，从而获得防火墙的异常情况。

▪防火墙策略日志

描述通过对防火墙的日志进行分析，发现异常流量和设备异常情况

使用方法开启防火墙关键策略的日志功能，查看防火墙关键策略的通过与拒绝数据包记录，从而获得防火墙设备本身的异常情况和网络中的异常流量。

注意事项只应对防火墙的关键策略开启日志功能，而不应该对所有的策略开启日志功能。

描述通过对VPN的日志进行分析，发现异常流量和设备异常情况使用方法开启VPN关键策略的日志功能，查看VPN日志。

▪防病毒告警检查

描述通过对防病毒的告警日志进行分析，发现异常情况使用方法查看防病毒的告警日志，从而获得网内的病毒情况。

1.2系统安全操作

▪检查主机的帐号最近登陆情况、当前在线用户

查看方式检查帐号登录日志

检查系统当前登录的帐号

▪主机日志检查

描述检查主机系统的日志信息，主要对登录的用户、用户登录时间、用户退出时间进行检查，以发现可疑的用户操作行为。