惡意代碼防范管理制度-等保管理制度

XXX網(wǎng)絡信息中心惡意代碼防范管理制度文件編號XXX使用部門網(wǎng)絡信息中心維護人初版日期XXX-12-15修訂日期XXX-01-09

修訂及復核記錄修訂記錄版次起草復核批準發(fā)行日期摘要V0.1XXXXXXXXX-12-15初始草案V0.2XXXXXXXXX-01-09修改排版,調(diào)整語句，修改流程審核欄條目姓名審核日期批準復核起草TOC\o"1-5"\h\z第一章總則 4\o"CurrentDocument"第二章人員和職責 4\o"CurrentDocument"第三章 防惡意代碼的集中管理 4\o"CurrentDocument"第四章 惡意代碼的分析與匯報 5\o"CurrentDocument"第五章發(fā)現(xiàn)惡意代碼后的處理流程 5第六章檢查表 6\o"CurrentDocument"第七章相關記錄 6\o"CurrentDocument"第八章附則 6\o"CurrentDocument"附錄一惡意代碼處理流程圖 7\o"CurrentDocument"附錄二惡意代碼處理表 7第一章總則第一條為了規(guī)范XXX網(wǎng)絡信息中心日常工作中對信息系統(tǒng)中的惡意代碼防控，指導信息系統(tǒng)感染惡意代碼及惡意代碼造成影響時的處理操作過程。第二條XXX網(wǎng)絡信息中心內(nèi)部安全管理員、系統(tǒng)管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員、主機服務器管理員和終端使用者及第三方運維商。第二章人員和職責第三條系統(tǒng)管理員負責部署防惡意代碼系統(tǒng)并進行相關維護，集中管理和監(jiān)控單位內(nèi)辦公終端及業(yè)務應用系統(tǒng)終端的惡意代碼存在情況。第四條網(wǎng)絡信息中心主任對防惡意代碼體系的日常運作情況應盡監(jiān)督責任；第五條安全管理員負責惡意代碼控制的技術(shù)指導工作，并執(zhí)行各項防惡意代碼工作的安全檢作，對于違反信息安全相關規(guī)定的人員將進行通報，并要求相關人員參加信息安全意識培訓；第六條安全管理員負責聯(lián)系XXXXXX信息安全委員會進行防惡意代碼工作的具體執(zhí)行。第三章防惡意代碼的集中管理第七條惡意代碼防治范圍主要包括以下：服務器-在整個信息系統(tǒng)內(nèi)存在一定數(shù)量的Windows服務器和Linux服務器，存在被惡意代碼（蠕蟲、病毒、特洛伊木馬、廣告插件其它惡意程序）的侵襲的威脅。所以必須將服務器從整體上納入惡意代碼防治對象并部署惡意代碼掃描與防護系統(tǒng)，以達到降低信息系統(tǒng)感染已知惡意代碼的可能性，最大成功保護信息系統(tǒng)的可用性。各種辦公、業(yè)務終端-辦公終端和業(yè)務操作終端需要訪問特定的系統(tǒng)。此類終端數(shù)量較多，安全級別相對較低，容易被惡意代碼/木馬感染，可控性相對較低。終端會被利用作為跳板攻擊核心業(yè)務系統(tǒng)或直接竊取機密數(shù)據(jù)。所以在此范圍內(nèi)須強制安裝統(tǒng)一的防惡意代碼客戶端軟件。第八條集中監(jiān)控和惡意代碼特征庫升級（一）XXX網(wǎng)絡信息中心管理的信息終端可通過訪問專用的防惡意代碼服務器定期進行惡意代碼特征庫、掃描引擎的升級；（二）XXX各業(yè)務部門員工需每周自行檢查所使用終端設備的惡意代碼特征庫和惡意代碼引擎是否得到更新，發(fā)現(xiàn)異常后需及時向網(wǎng)絡信息中心報告。此外，XXX網(wǎng)絡信

息中心系統(tǒng)管理員需每周對所管理的服務器做惡意代碼特征庫和惡意代碼引擎的版本升級情況的檢查。第四章惡意代碼的分析與匯報第九條針對XXX網(wǎng)絡信息中心管理范圍內(nèi)的所有信息系統(tǒng)都將納入惡意代碼防治范疇之內(nèi)。每周內(nèi)都由信息安全委員會中專管惡意代碼防治的相關小組成員來對每周的惡意代碼發(fā)現(xiàn)情況進行統(tǒng)計分析。第十條對網(wǎng)絡信息中心管理范圍內(nèi)的信息終端的惡意代碼特征庫的升級和更新情況進行點檢，將存在異常情況的終端列表記錄并分析情況，在解決隱患之后及時向信息安全委員會提交報告。信息安全委員會對所提交的惡意代碼防治報告須仔細審核并確認后歸檔保存。第十一條通過部署的防惡意代碼集中管理服務器，對受管理的各個信息終端的惡意代碼掃描情況進行匯總。對新發(fā)現(xiàn)的惡意代碼進行分析并制定預防方案。第五章發(fā)現(xiàn)惡意代碼后的處理流程第五章發(fā)現(xiàn)惡意代碼后的處理流程第十二條惡意代碼可以由惡意代碼掃描防護系統(tǒng)或網(wǎng)絡監(jiān)控設備等方式發(fā)現(xiàn)，一經(jīng)發(fā)現(xiàn)，需要及時通過系統(tǒng)日志定位所受感染的設備地址和發(fā)起攻擊的源地址。一旦找到惡意代碼源，立即將受感染的機器進行網(wǎng)絡隔離，縮小惡意代碼在網(wǎng)絡中的擴散范圍。第十三條網(wǎng)絡信息中心系統(tǒng)管理員與信息安全委員會所轄的安全執(zhí)行組取得聯(lián)系獲取技術(shù)支持，下載專殺工具、惡意代碼所利用的漏洞補丁程序等。應該按照廠商提供的修復方式對系統(tǒng)中發(fā)生惡意代碼受損的設備等進行殺毒處理測試，盡快確定該惡意代碼發(fā)作的處理操作方案。第十四條在安全執(zhí)行組小組成員指導下，由網(wǎng)絡信息中心系統(tǒng)管理員負責通過檢查已感染惡意代碼設備的當前癥狀和惡意代碼軟件中的日志發(fā)現(xiàn)惡意代碼感染的類型、名稱。利用安全廠商提供的專殺工具對系統(tǒng)進行掃描修復，并下載安裝惡意代碼所利用的漏洞補丁程序。如果需要，還應該按照廠商提供的修復方式對系統(tǒng)受損的文件、注冊表等進行手工修復。同時，還應該將惡意代碼定義碼升級到最新，對系統(tǒng)做全盤掃描。第十五條經(jīng)過上述操作后，如果系統(tǒng)可以正常運行，則可以接回網(wǎng)絡。如果仍不能正常運行，則需要備份用戶數(shù)據(jù)，重新安裝系統(tǒng)。然后再安裝防惡意代碼軟件，更新到最新的定義碼，做全盤掃描。確認系統(tǒng)正常運行后，再接回網(wǎng)絡恢復工作。第十六條從惡意代碼發(fā)現(xiàn)到惡意代碼處理整個過程要填寫到《惡意代碼處理表》；第六章檢查表第十七條XXX網(wǎng)絡信息中心需委派專門負責惡意代碼防治的系統(tǒng)管理員定期對其所管理范圍內(nèi)的信息系統(tǒng)終端及服務器進行關于惡意代碼的檢查。具體檢查工作按如下表格內(nèi)容要求執(zhí)行。任務檢查點檢查內(nèi)容檢查方法檢查周期1惡意代碼特征庫防惡意代碼軟件惡意代碼代是否定期及時更新通過集中管理服務器1周2惡意代碼檢查是否定期檢查惡意代碼感染狀況通過集中管理服務器3周3惡意代碼清除惡意代碼清除狀況，清除和未清除數(shù)量及狀態(tài)通過集中管理服務器1月表6-1：防惡意代碼系統(tǒng)日常維護點查表第七章相關記錄《惡意代碼處理表》；《防惡意代碼系統(tǒng)日常維護點檢表》第八章附則第十八條本管理規(guī)定自發(fā)布之日起開始實施；第十九條本管理規(guī)定的解釋和修改權(quán)屬于XXXXXX網(wǎng)絡信息中心；第二十條XXXXXX網(wǎng)絡信息中心每季度統(tǒng)一檢查和評估本管理規(guī)定，并做出適當更新。在業(yè)務環(huán)境和安全需求發(fā)生重大變化時，也將