網(wǎng)絡(luò)安全管理規(guī)范和流程課件

網(wǎng)絡(luò)平安管理標(biāo)準(zhǔn)編撰人：網(wǎng)絡(luò)平安設(shè)計(jì)組郭宏禮目錄第一局部：概述第二局部：總那么第三局部：行為標(biāo)準(zhǔn)第四局部：網(wǎng)絡(luò)平安管理VPN的平安管理防火墻的平安管理IDS的平安管理SMS的平安管理病毒防護(hù)的平安管理

第一局部:概述中國石油信息管理部精心組織，建成廣域網(wǎng)改進(jìn)工程網(wǎng)絡(luò)平安設(shè)計(jì)組〔以下簡稱：平安組〕,形成了分級運(yùn)行，集中管理，平安、快捷、易使用、可擴(kuò)展的中國石油企業(yè)網(wǎng)絡(luò)平安管理系統(tǒng)。平安設(shè)計(jì)組——負(fù)責(zé)防病毒網(wǎng)站的推廣，防病毒工具研究，防病毒工作檢查；負(fù)責(zé)網(wǎng)絡(luò)接入、防火墻、VPN、IDS、代理效勞器等控制、效勞器平安、終端平安等；負(fù)責(zé)協(xié)助信息平安工程建設(shè)；負(fù)責(zé)密碼的管理和操作確認(rèn)。為防止黑客攻擊、入侵、病毒、不良內(nèi)容和垃圾郵件等通過區(qū)域網(wǎng)絡(luò)中心的Internet的入口進(jìn)入中國石油廣域網(wǎng)，同時(shí)也為通過網(wǎng)絡(luò)管理數(shù)據(jù)，提升中國石油的企業(yè)管理效率和效益,使得網(wǎng)絡(luò)信息的平安風(fēng)險(xiǎn)得到有效降低,保障企業(yè)網(wǎng)絡(luò)的高可用性。整個(gè)系統(tǒng)由5大板塊組成，分別是:移動辦公(以下簡稱“VPN〞)，防火墻，入侵檢測系統(tǒng)〔以下簡稱“IDS〞〕，微軟補(bǔ)丁分發(fā)系統(tǒng)〔以下簡稱“SMS〞〕和病毒防護(hù)。作為企業(yè)網(wǎng)絡(luò)平安的守護(hù)者，中國石油企業(yè)網(wǎng)絡(luò)平安管理系統(tǒng)在企業(yè)的生產(chǎn)、經(jīng)營、管理活動中，發(fā)揮著重要作用。因此，做好它的運(yùn)行維護(hù)工作，保證系統(tǒng)高速、平安、可靠地運(yùn)行是極其重要的，這也正是平安組的工作宗旨，同時(shí)也是各個(gè)地區(qū)公司網(wǎng)絡(luò)平安管理員積極配合的結(jié)果。第二局部：總那么第一條為保障網(wǎng)絡(luò)平安管理系統(tǒng)高速、平安、可靠運(yùn)行，標(biāo)準(zhǔn)日常的維護(hù)、操作和使用行為，使其高效、優(yōu)質(zhì)地效勞于中國石油生產(chǎn)、經(jīng)營和管理活動，為企業(yè)內(nèi)部用戶提供便捷、高效、平安、可靠的網(wǎng)絡(luò)平安效勞，根據(jù)?中國石油信息技術(shù)管理規(guī)定?及相關(guān)管理的要求，編制本網(wǎng)絡(luò)平安管理標(biāo)準(zhǔn)。第二條本管理標(biāo)準(zhǔn)所指的內(nèi)部網(wǎng)絡(luò)系統(tǒng)，是由廣域網(wǎng)工程組〔以下簡稱“工程組〞〕統(tǒng)一部署、維護(hù)和管理的內(nèi)部網(wǎng)絡(luò)主、輔節(jié)點(diǎn)設(shè)備、配套的網(wǎng)絡(luò)線纜設(shè)施及網(wǎng)絡(luò)效勞器、工作站所構(gòu)成的，效勞于內(nèi)部網(wǎng)絡(luò)應(yīng)用的軟硬件集成系統(tǒng)。第三條工程組可以委托相關(guān)指定人員代為管理子節(jié)點(diǎn)設(shè)備。任何部門和個(gè)人，未經(jīng)信息管理部授權(quán)、不得擅自安裝、拆卸或改變網(wǎng)絡(luò)設(shè)備；如確需改動，應(yīng)事先與信息管理部取得聯(lián)系，確保公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。第四條任何部門和個(gè)人、不得利用聯(lián)網(wǎng)計(jì)算機(jī)從事危害內(nèi)部網(wǎng)絡(luò)及本地局域網(wǎng)效勞器、工作站、網(wǎng)絡(luò)節(jié)點(diǎn)等行為。第五條網(wǎng)絡(luò)平安管理標(biāo)準(zhǔn)適用于中國石油總部及下屬各企事業(yè)單位的網(wǎng)絡(luò)平安系統(tǒng)管理人員、技術(shù)支持人員。第三局部：行為標(biāo)準(zhǔn)衣著整潔、得體，符合工作身份，不戴與環(huán)境不相稱的飾品；文明用語、禮貌待人；咨詢解答，熱情耐心；迅速受理、及時(shí)反響；認(rèn)真執(zhí)行“首問負(fù)責(zé)〞制。但凡涉及信息技術(shù)的問題，作為第一受理人，即使不屬于本人職責(zé)范圍，也不能以任何理由推脫，而應(yīng)通過適當(dāng)?shù)姆绞剑瑸橛脩艚鉀Q問題，或做好銜接和引導(dǎo)工作，力爭為用戶提供更多方便與支持；接聽時(shí)，首先問好，然后報(bào)出自己的身份；用語文明禮貌，態(tài)度和藹，口齒清楚；耐心解答用戶的各種問題，不得無禮怠慢，推諉搪塞；對待用戶的態(tài)度要熱情周到，切忌冷漠、惡劣；答復(fù)以下問題時(shí)要詳盡、細(xì)致、全面、不厭其煩，直到用戶滿意；對于當(dāng)時(shí)不能解答的問題要認(rèn)真記錄，在最短的時(shí)間內(nèi)與其它效勞人員溝通，一旦得到解決方案，馬上反響用戶。第四局部：網(wǎng)絡(luò)平安管理網(wǎng)絡(luò)平安維護(hù)系統(tǒng)包含移動辦公(以下簡稱“VPN〞),防火墻,入侵檢測系統(tǒng)〔以下簡稱“IDS〞〕，微軟補(bǔ)丁分發(fā)系統(tǒng)〔以下簡稱“SMS〞〕和病毒防護(hù)，共5局部。第一章VPN的平安管理為了滿足各地方公司有移動辦公需求，使出差的員工，能夠更方便、更快捷地訪問公司網(wǎng)絡(luò)，獲取有效信息，總部更新了VPN系統(tǒng)。中國石油VPN系統(tǒng)中國石油設(shè)立了九大VPN接入點(diǎn)，分別是集團(tuán)公司總部、股份公司總部、北京區(qū)域、大慶區(qū)域、遼河區(qū)域、新疆區(qū)域、蘭州區(qū)域、西南區(qū)域、長慶區(qū)域，為中國石油系統(tǒng)內(nèi)用戶效勞。系統(tǒng)采用相同的VPN接入域名，用戶就近接入，各點(diǎn)之間互為備份；使用統(tǒng)一的用戶身份驗(yàn)證策略和加密策略，采用同一的AD〔域控制器〕用戶管理，集團(tuán)公司和股份公司使用各自的AD。中國石油采用GSLB〔全局負(fù)載均衡〕整體解決方案，通過在兩個(gè)全國中心節(jié)點(diǎn)〔洲際大廈和勘探院〕部署GSLB設(shè)備(TMX)和各接入中心部署SSLVPN設(shè)備〔SPX〕，將用戶的訪問請求進(jìn)行全局的負(fù)載均衡處理，將用戶定向到最近的接入中心訪問，使用戶的請求得到最快的響應(yīng)。中國石油SSLVPN部署示意圖

SPX3000：SPX3000是SSLVPN設(shè)備，實(shí)現(xiàn)遠(yuǎn)程用戶的接入。TMX2000TMX2000主要用于全國范圍內(nèi)用戶接入的負(fù)載均衡。TMX2000對各接入中心的SPX3000設(shè)備和互聯(lián)網(wǎng)出口鏈路進(jìn)行檢查，實(shí)現(xiàn)SSLVPN接入的冗余功能，提高效勞的可用性。兩臺TMX2000部署在不同的地方，實(shí)現(xiàn)自身的冗余備份。在洲際大廈和勘探院分別部署一臺TMX2000和SPX3000設(shè)備在其余的7個(gè)接入中心各部署一臺SPX3000設(shè)備：集團(tuán)總部；大慶區(qū)域；遼河區(qū)域；新疆區(qū)域；蘭州區(qū)域；西安區(qū)域；西南區(qū)域。工作目標(biāo)信息系統(tǒng)的平安性和效勞的便利性是中國石油考慮的首要問題，因此如何在開放的互聯(lián)網(wǎng)上構(gòu)筑平安的信息通道，如何對遍布全國的用戶進(jìn)行身份認(rèn)證和權(quán)限檢查，同時(shí)保證各地用戶快速，方便的接入中國石油專網(wǎng)是目前工作的主要目標(biāo)。工作任務(wù)中國石油VPN系統(tǒng)的主要任務(wù)是根據(jù)公司移動辦公用戶的需求，快速審核申請，及時(shí)開通和注銷賬戶，保證滿足用戶的工作需求，切實(shí)保障系統(tǒng)的平安。VPN移動辦公設(shè)備權(quán)限管理規(guī)定1、管理員權(quán)限為保障VPN系統(tǒng)平安、可靠地運(yùn)行，標(biāo)準(zhǔn)日常維護(hù)、操作和使用行為，特制定本規(guī)定。管理員分為系統(tǒng)管理員和賬號管理員。1)系統(tǒng)管理員具有對整個(gè)設(shè)備管理和賬號管理的權(quán)限;2)賬號管理員具有添加、刪除、管理用戶賬號的權(quán)限，能夠查看用戶的登陸信息，分析用戶的需求，分配用戶相應(yīng)的權(quán)限。2、管理員權(quán)限申請系統(tǒng)管理員的賬號是在VPN系統(tǒng)安裝與維護(hù)過程中建立的，系統(tǒng)管理員賬號主要用于對整個(gè)設(shè)備管理。賬號管理員的申請需要向系統(tǒng)管理員申請，經(jīng)技術(shù)主管簽字后，由系統(tǒng)管理員在中國石油賬號管理工具的組中添加賬號。3、管理員賬號注銷賬號管理員的賬號注銷需要向系統(tǒng)管理員申請，經(jīng)許可后，在中國石油賬號管理工具〔管理軟件〕的組中刪除賬號。系統(tǒng)管理員崗位職責(zé)1)全面掌握移動辦公系統(tǒng)的功能和操作程序；2)遵守?中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定?的各項(xiàng)管理規(guī)定；3)負(fù)責(zé)所有VPN設(shè)備及相關(guān)效勞器的日常維護(hù)工作；4)負(fù)責(zé)移動辦公系統(tǒng)緊急故障的處理；5)負(fù)責(zé)移動辦公系統(tǒng)運(yùn)行過程的監(jiān)控工作；6)負(fù)責(zé)接收賬號管理員提交的用戶申請表，核查用戶使用權(quán)限；7)負(fù)責(zé)為呼叫中心進(jìn)行故障問題解答；8)負(fù)責(zé)與總部網(wǎng)絡(luò)中心和區(qū)域數(shù)據(jù)中心進(jìn)行溝通；9)負(fù)責(zé)編寫移動辦公系統(tǒng)日常維護(hù)方案；10)負(fù)責(zé)文檔的整理和存檔工作；11)完成領(lǐng)導(dǎo)交辦的臨時(shí)任務(wù)。賬號管理員崗位職責(zé)1)根本掌握移動辦公系統(tǒng)的功能和操作程序；2)負(fù)責(zé)賬號的審核、開通、注銷、變更等效勞工作；3)負(fù)責(zé)解答用戶的效勞咨詢和一般性技術(shù)咨詢；4)負(fù)責(zé)提交用戶申請表給系統(tǒng)管理員；5)負(fù)責(zé)通知移動辦公用戶賬號是否開通；6)負(fù)責(zé)移動辦公用戶日志的檢查，分析；7)協(xié)助系統(tǒng)管理員處理緊急故障；8)負(fù)責(zé)文檔的整理和存檔工作；9)完成領(lǐng)導(dǎo)交辦的臨時(shí)任務(wù)。VPN設(shè)備管理規(guī)定

為保障VPN系統(tǒng)平安、可靠運(yùn)行，標(biāo)準(zhǔn)日常維護(hù)、操作和使用行為，制定此設(shè)備管理規(guī)定。1、VPN系統(tǒng)運(yùn)行維護(hù)工作，由總部網(wǎng)絡(luò)平安組承擔(dān)，其主要的工作職責(zé)是：在信息管理部的領(lǐng)導(dǎo)下，負(fù)責(zé)中國石油VPN系統(tǒng)的運(yùn)行、維護(hù)；負(fù)責(zé)VPN系統(tǒng)申請表的審核、開通與整理；負(fù)責(zé)中國石油VPN系統(tǒng)的平安運(yùn)行。2、在VPN系統(tǒng)運(yùn)行期間，VPN系統(tǒng)維護(hù)人員、網(wǎng)絡(luò)維護(hù)人員要保證VPN系統(tǒng)7×24穩(wěn)定運(yùn)行，如設(shè)備出現(xiàn)故障，應(yīng)盡快排除。VPN工作流程1、系統(tǒng)管理員工作流程1)每日檢查所有VPN設(shè)備及相關(guān)效勞器的運(yùn)行情況，出現(xiàn)故障應(yīng)及時(shí)排除；2)每日監(jiān)控辦公系統(tǒng)運(yùn)行過程；3)定期對系統(tǒng)進(jìn)行檢測，包括電源、VPN設(shè)備配置、相關(guān)網(wǎng)絡(luò)、系統(tǒng)平安保障等，填寫定期檢測情況記錄，由負(fù)責(zé)人簽字存檔。4)定期檢查用戶申請表、核查和修改用戶使用權(quán)限；5)定期組織總部網(wǎng)絡(luò)中心和區(qū)域數(shù)據(jù)中心溝通；6)定期做文檔的整理和存檔工作；7)系統(tǒng)管理員復(fù)查遠(yuǎn)程登陸檢查表，并入庫存檔。2、賬號管理員工作流程1)每日監(jiān)督VPN用戶訪問的內(nèi)容，根據(jù)用戶權(quán)限查看用戶是否在相應(yīng)的權(quán)限內(nèi)訪問，如發(fā)現(xiàn)違規(guī)行為應(yīng)修改其權(quán)限。2)及時(shí)發(fā)現(xiàn)軟件在運(yùn)行時(shí)出現(xiàn)的故障與問題，出現(xiàn)問題應(yīng)及時(shí)排除；3)定期查看VPN系統(tǒng)的日志信息，填寫遠(yuǎn)程登錄權(quán)限檢查表，由負(fù)責(zé)人簽字交系統(tǒng)管理員；4)定期對VPN用戶的申請進(jìn)行審核、統(tǒng)計(jì)、存檔，并通知已到期的用戶，及時(shí)關(guān)閉過期用戶。5)定期做文檔的維護(hù)整理和存檔工作；6)定期與區(qū)域數(shù)據(jù)中心之間溝通；第二章防火墻的平安管理防火墻部署范圍現(xiàn)在包括集團(tuán)公司總部、股份公司總部、北京區(qū)域、大慶區(qū)域、遼河區(qū)域、新疆區(qū)域、蘭州區(qū)域、西南區(qū)域、長慶區(qū)域的防火墻設(shè)備、相關(guān)效勞器、相應(yīng)的網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備。系統(tǒng)管理實(shí)行總部統(tǒng)一管理、分工負(fù)責(zé)的原那么。平安組負(fù)責(zé)對防火墻策略的管理，各區(qū)域中心網(wǎng)絡(luò)管理員配合工作。崗位職責(zé)1、負(fù)責(zé)區(qū)域數(shù)據(jù)中心Internet出口防火墻的管理工作，制定相應(yīng)的訪問控制策略等工作。2、負(fù)責(zé)區(qū)域數(shù)據(jù)中心Internet出口平安控制，保障中國石油內(nèi)部網(wǎng)絡(luò)平安，為VPN設(shè)備提供相應(yīng)的出口策略。3、負(fù)責(zé)區(qū)域數(shù)據(jù)中心的防火墻運(yùn)行情況檢查，地區(qū)公司網(wǎng)絡(luò)管理員保證防火墻設(shè)備的7*24小時(shí)供電，保證相關(guān)線路、設(shè)備正常運(yùn)行。如果區(qū)域數(shù)據(jù)中心需要對網(wǎng)絡(luò)結(jié)構(gòu)作改動，請?zhí)崆吧蠄?bào)工程組，確保網(wǎng)絡(luò)正常運(yùn)行。4、禁止利用職權(quán)私自在防火墻、代理效勞器上開通未經(jīng)許可的對外信息效勞。5、數(shù)據(jù)中心防火墻設(shè)備損壞，應(yīng)立即向總部網(wǎng)絡(luò)平安組呈交書面報(bào)告，以便及時(shí)安排更換或維修，并同時(shí)發(fā)出通知公告。6、工程組的相關(guān)負(fù)責(zé)人必須落實(shí)各項(xiàng)管理制度和技術(shù)標(biāo)準(zhǔn)，監(jiān)控、封堵、去除網(wǎng)上有害信息。7、進(jìn)出內(nèi)部網(wǎng)絡(luò)，訪問信息的所有用戶，必須使用內(nèi)部網(wǎng)絡(luò)部門設(shè)立的代理效勞器。防火墻設(shè)備權(quán)限管理規(guī)定

1、防火墻的登錄口令和更改口令必須由至少兩個(gè)人掌握，通常為網(wǎng)絡(luò)維護(hù)人員和網(wǎng)絡(luò)管理人員，該口令只有經(jīng)過授權(quán)的人可以進(jìn)行更改。相關(guān)口令和更改的記錄需在網(wǎng)絡(luò)管理部門領(lǐng)導(dǎo)處登記備案。2、防火墻的控制策略應(yīng)根據(jù)業(yè)務(wù)需求進(jìn)行調(diào)整和設(shè)置。所有的改動必須經(jīng)過網(wǎng)絡(luò)維護(hù)技術(shù)人員反復(fù)確認(rèn)其正確性，并且在改動之前必須備份原有設(shè)置，最后在經(jīng)過部門領(lǐng)導(dǎo)人員認(rèn)可的情況下方可執(zhí)行。防火墻設(shè)備管理權(quán)限由工程組部署的防火墻設(shè)備由工程組防火墻管理員統(tǒng)一管理，統(tǒng)一制定出口策略，地區(qū)公司網(wǎng)絡(luò)管理員負(fù)責(zé)防火墻設(shè)備的7*24小時(shí)供電，保證相關(guān)線路、設(shè)備正常運(yùn)行。如果區(qū)域數(shù)據(jù)中心需要對網(wǎng)絡(luò)結(jié)構(gòu)作改動，請?zhí)崆吧蠄?bào)工程組，確保網(wǎng)絡(luò)正常運(yùn)行。防火墻日常運(yùn)行與維護(hù)

1、防火墻、代理效勞器日志定期檢查，對告警信息作詳細(xì)的檢查，定期做代理效勞器RIAD維護(hù)，有問題及時(shí)聯(lián)系廠家解決。2、防火墻、代理效勞器上開設(shè)端口或效勞必須以書面的形式上報(bào)工程組。3、防火墻管理員每周對出口網(wǎng)絡(luò)運(yùn)行情況進(jìn)行測試，保障內(nèi)網(wǎng)的平安高效運(yùn)行。4、防火墻、代理效勞器管理賬戶和口令為工程組所擁有，相關(guān)負(fù)責(zé)人員對用戶口令保密，不得向任何部門和個(gè)人透露相關(guān)信息。第三章IDS系統(tǒng)的平安管理入侵檢測作為一種積極主動平安防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。工作范圍在本工程平安建設(shè)中，共涉及中國石油北京區(qū)域中心及所屬六個(gè)分支區(qū)域(華南,蘭州,大慶,吉林,遼河,新疆)，分布范圍廣，因此管理上采取集中檢測、分級部署的方式，將各分支區(qū)域產(chǎn)生的重要網(wǎng)絡(luò)事件上報(bào)給北京區(qū)域中心,通過對整體事件的分析，形成重要事件的平安報(bào)告，同時(shí)總控制中心對各區(qū)域的控制中心進(jìn)行管理。工作任務(wù)及目標(biāo)1、建立全網(wǎng)統(tǒng)一策略的非法入侵檢測體系2、建立全網(wǎng)對于重大潛在攻擊和破壞源的預(yù)警體系3、逐步建立網(wǎng)絡(luò)縱深防御體系崗位職責(zé)1、全面負(fù)責(zé)中國石油北京區(qū)域中心及所屬六個(gè)區(qū)域中心的IDS軟硬件維護(hù)及實(shí)時(shí)監(jiān)控工作，負(fù)責(zé)制定工作方案并實(shí)施。2、及時(shí)下載最新事件升級包，并向中心及分支區(qū)域下發(fā)更新。3、負(fù)責(zé)建立本區(qū)域?計(jì)算機(jī)網(wǎng)絡(luò)攻擊應(yīng)急響應(yīng)及處理機(jī)制?，當(dāng)計(jì)算機(jī)被攻擊時(shí)，啟動IDS應(yīng)急響應(yīng)及處理機(jī)制，使影響降到最低。4、發(fā)現(xiàn)計(jì)算機(jī)入侵事件時(shí)，應(yīng)向領(lǐng)導(dǎo)匯報(bào)并通知分支區(qū)域，及時(shí)處理。5、學(xué)習(xí)最新防入侵技術(shù)，提高自身的工作能力。IDS設(shè)備權(quán)限管理規(guī)定1、用戶管理IDS的用戶分級管理是對系統(tǒng)運(yùn)行平安的根本保障，針對不同用戶，設(shè)置不同權(quán)限，各用戶未經(jīng)授權(quán)不得越權(quán)管理，具體分為三級：1〕用戶管理員：該權(quán)限的用戶可為系統(tǒng)，按照上級要求添加不同權(quán)限的用戶，并能夠根據(jù)要求對用戶的權(quán)限做調(diào)整。職責(zé)：按照要求合理的添加用戶以及分配用戶權(quán)限。限制：用戶管理員只有一個(gè)，系統(tǒng)不具備單獨(dú)分配用戶管理的功能，用戶管理員不具備撤消或刪除默認(rèn)審計(jì)員權(quán)限或身份的功能。2〕審計(jì)員：審計(jì)所有用戶行為的合法和平安性。權(quán)限：查看用戶日志。職責(zé)：對所有用戶日志進(jìn)行審計(jì)。限制：除了查看用戶日志外，沒有其他的權(quán)限。3〕管理員：該權(quán)限的用戶有權(quán)限調(diào)整個(gè)系統(tǒng)的運(yùn)行狀態(tài)，確保系統(tǒng)平安穩(wěn)定的運(yùn)行。權(quán)限：默認(rèn)擁有除了用戶管理和用戶審計(jì)之外的系統(tǒng)所有功能，但其權(quán)限可以被用戶管理員調(diào)整。職責(zé)：利用自身權(quán)限內(nèi)的功能，及時(shí)有效的調(diào)整系統(tǒng)運(yùn)行的模塊以及參數(shù)，保證系統(tǒng)平安穩(wěn)定的運(yùn)行。限制：沒有用戶管理和用戶日志審計(jì)功能。2、IDS軟硬件使用權(quán)限管理1〕硬件使用權(quán)：設(shè)備日常維護(hù)由分支區(qū)域的設(shè)備管理員負(fù)責(zé)，北京區(qū)域中心統(tǒng)一管理。其他人未經(jīng)允許不得開、關(guān)、調(diào)試設(shè)備，遇到特殊情況〔斷電重啟、移機(jī)等〕必須對硬件設(shè)備進(jìn)行操作時(shí)，經(jīng)領(lǐng)導(dǎo)或IDS管理員批準(zhǔn)前方可操作，并填報(bào)操作日志，報(bào)相關(guān)人員備案。2〕軟件使用權(quán)：由北京區(qū)域中心指定的IDS管理員負(fù)責(zé)維護(hù)，其他人未經(jīng)允許不得對軟件進(jìn)行任何操作，確實(shí)需要授權(quán)管理的人員，經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后，應(yīng)該在規(guī)定權(quán)限內(nèi)對軟件進(jìn)行操作，任務(wù)完成后，管理員應(yīng)及時(shí)取消該臨時(shí)用戶的權(quán)限。IDS設(shè)備管理規(guī)定IDS系統(tǒng)在統(tǒng)一部署、實(shí)施與更新改造過程中，涉及大量設(shè)備收發(fā)、儲運(yùn)和驗(yàn)收活動。為了有效管理設(shè)備從接收貨到上線運(yùn)行的全過程，指導(dǎo)設(shè)備管理各環(huán)節(jié)工作，結(jié)合工作實(shí)際制定?IDS系統(tǒng)系統(tǒng)設(shè)備管理規(guī)定?。IDS系統(tǒng)日常運(yùn)行與維護(hù)1、設(shè)備到位后，由設(shè)備所在地理位置的硬件管理員統(tǒng)一管理，保證設(shè)備有一個(gè)正常的物理環(huán)境，包括網(wǎng)絡(luò)物理鏈路的連接、用電、運(yùn)行溫度等。如遇到異常情況〔電壓不穩(wěn)、斷電、火災(zāi)等〕需要對設(shè)備進(jìn)行操作時(shí)，要及時(shí)通知IDS管理員。2、全天利用控制管理中心和綜合信息顯示平臺，監(jiān)測設(shè)備的正常連接、系統(tǒng)記錄，根據(jù)具體情況做出相應(yīng)處理〔詳見表-11〕。3、根據(jù)平安信息手冊查看事件和漏洞的詳細(xì)信息，聯(lián)系網(wǎng)絡(luò)管理員；查看具體設(shè)備是否存在威脅、漏洞并及時(shí)排除。4、定期根據(jù)網(wǎng)絡(luò)平安的需要，增加對新的平安事件的檢測特征或調(diào)整一些事件特征，然后根據(jù)事件生成策略集，把策略集下發(fā)到各個(gè)引擎上使系統(tǒng)具有更好的性能。5、定期根據(jù)報(bào)表模板分析網(wǎng)絡(luò)狀況，得出網(wǎng)絡(luò)是否平安的結(jié)論。6、數(shù)據(jù)庫的備份維護(hù)，保證一定時(shí)間段內(nèi)檢測日志的完整性。7、保證效勞器正常工作，系統(tǒng)高效運(yùn)行。第四章SMS的平安管理SMS〔SystemsManagementServer〕是微軟公司的一款管理基于Windows桌面和效勞器系統(tǒng)變動和配置的解決方案。它主要的功能包括了補(bǔ)丁更新、軟、硬件清單、軟件計(jì)量、軟件分發(fā)以及遠(yuǎn)程排錯(cuò)等，它同時(shí)又是一個(gè)高擴(kuò)展性低本錢的解決方案。從軟件的角度來看，SMS是由多個(gè)完成不同任務(wù)的功能模塊構(gòu)成的網(wǎng)絡(luò)用戶管理系統(tǒng)。它將網(wǎng)絡(luò)中各個(gè)獨(dú)立的用戶統(tǒng)領(lǐng)起來，在SMS系統(tǒng)管理員的控制之下，讓企業(yè)的所有基于Windows的桌面和效勞器遵從企業(yè)的網(wǎng)絡(luò)及網(wǎng)絡(luò)用戶管理策略。這就極大地減輕了企業(yè)網(wǎng)絡(luò)和系統(tǒng)管理員的工作負(fù)擔(dān)，同時(shí)又通過提高企業(yè)網(wǎng)絡(luò)用戶的可管理性加強(qiáng)了企業(yè)網(wǎng)絡(luò)運(yùn)行的平安和穩(wěn)定性。中國石油SMS系統(tǒng)為近一步提高桌面計(jì)算機(jī)、效勞器整體管理水平，減少計(jì)算機(jī)病毒感染機(jī)率，經(jīng)過在股份公司機(jī)關(guān)、勘探開發(fā)研究院、規(guī)劃總院的試點(diǎn)，按照工程方案，中國石油在股份公司范圍內(nèi)推廣微軟補(bǔ)丁自動分發(fā)系統(tǒng)(SMS),通過此系統(tǒng)可以實(shí)現(xiàn)對企業(yè)進(jìn)行平安補(bǔ)丁管理、資產(chǎn)管理以及應(yīng)用系統(tǒng)部署等功能。一期部署主要是實(shí)現(xiàn)平安補(bǔ)丁管理功能。中國石油SMS系統(tǒng)的規(guī)劃結(jié)構(gòu)

此次部署采用層次化架構(gòu),分為中心站點(diǎn)——地區(qū)公司站點(diǎn)——地區(qū)公司二級站點(diǎn),三層體系，包括總部在內(nèi),共計(jì)27家單位。崗位職責(zé)為保障SMS系統(tǒng)平安、可靠運(yùn)行，從而進(jìn)一步提高桌面計(jì)算機(jī)、效勞器整體管理水平，減少計(jì)算機(jī)病毒感染機(jī)率，各崗人員必須明確職責(zé)，按照?SMS系統(tǒng)日常運(yùn)行維護(hù)工作流程?的要求做好SMS系統(tǒng)的管理、運(yùn)行維護(hù)和效勞工作。根據(jù)組織設(shè)置和運(yùn)行現(xiàn)狀，SMS系統(tǒng)的管理、運(yùn)行、維護(hù)和效勞工作，由中心站點(diǎn)管理員、區(qū)域中心管理員兩級崗位完成。1、中心站點(diǎn)管理員職責(zé)1〕在信息管理部的領(lǐng)導(dǎo)下，全面負(fù)責(zé)SMS系統(tǒng)的日常管理工作；2〕負(fù)責(zé)跟蹤微軟補(bǔ)丁更新的最新信息，及時(shí)制作補(bǔ)丁數(shù)據(jù)包，并同時(shí)做好記錄；3〕負(fù)責(zé)SMS系統(tǒng)的正常運(yùn)行和及時(shí)效勞；4〕負(fù)責(zé)解答區(qū)域中心站點(diǎn)管理員的技術(shù)咨詢；5〕負(fù)責(zé)SMS系統(tǒng)的更新改造方案；6〕全面掌握SMS系統(tǒng)功能，指導(dǎo)、檢查其它崗位的工作，并提供相關(guān)技術(shù)支持；7〕完成信息管理部領(lǐng)導(dǎo)交辦的其它工作。2、區(qū)域中心管理員職責(zé)1〕掌握SMS系統(tǒng)的功能和操作程序；2〕負(fù)責(zé)中心站點(diǎn)下傳數(shù)據(jù)包的播發(fā)，并做好記錄；3〕負(fù)責(zé)所轄效勞器的日常維護(hù)工作；4〕負(fù)責(zé)SMS系統(tǒng)運(yùn)行過程的監(jiān)控工作；5〕負(fù)責(zé)解答所轄范圍用戶技術(shù)咨詢；6〕負(fù)責(zé)與中心站點(diǎn)管理員的溝通；7〕完成領(lǐng)導(dǎo)交辦的其它工作。SMS設(shè)備權(quán)限管理規(guī)定為保障SMS系統(tǒng)平安、可靠運(yùn)行，標(biāo)準(zhǔn)日常維護(hù)、操作和使用行為，特制定管理員的權(quán)限管理規(guī)定。1、總部中心站點(diǎn)SMS效勞器管理員權(quán)限管理1〕中心站點(diǎn)效勞器管理員權(quán)限設(shè)置中心站點(diǎn)管理員賬號是在SMS系統(tǒng)安裝與維護(hù)過程中建立的，管理員賬號主要用于SMS管理控制臺操作、維護(hù)和補(bǔ)丁分發(fā)管理。2)中心站點(diǎn)效勞器管理員身份申請中心站點(diǎn)的管理員賬號是在SMS系統(tǒng)安裝后創(chuàng)立的，添加在SMS本地管理員組中。如果需要管理中心站點(diǎn)的SMS管理控制臺，必須向中心站點(diǎn)的管理員申請參加ＳＭＳ中心站點(diǎn)效勞器的管理員組。3)中心站點(diǎn)效勞器管理員身份注銷中心站點(diǎn)管理員的賬號的注銷需要向上級管理部門申請，許可后，在SMS效勞器的SMS管理員組中刪除賬號。2、地區(qū)公司主站點(diǎn)管理員權(quán)限管理1)地區(qū)公司主站點(diǎn)管理員權(quán)限設(shè)置地區(qū)公司主站點(diǎn)效勞器管理員負(fù)責(zé)維護(hù)本區(qū)域中心主站點(diǎn)效勞器，監(jiān)視效勞器的運(yùn)行狀況，查看本站點(diǎn)用戶端的狀態(tài)，備份系統(tǒng)數(shù)據(jù)，播發(fā)補(bǔ)丁，不允許對中心站點(diǎn)效勞器進(jìn)行操作。2)地區(qū)公司主站點(diǎn)效勞器管理員身份申請與管理地區(qū)公司SMS效勞器管理員管理權(quán)限的申請，需要向主站點(diǎn)管理員申請。地區(qū)公司SMS效勞器管理員要妥善保管自己的密碼，不得向他人透露；3)地區(qū)公司效勞器管理員身份注銷當(dāng)?shù)貐^(qū)公司效勞器管理員離職后，應(yīng)立即將其賬號從SMS主站點(diǎn)效勞器的SMS本地管理員組中刪除。SMS日常工作流程1、中心站點(diǎn)日常工作流程1〕每日檢查微軟補(bǔ)丁更新發(fā)布情況，發(fā)現(xiàn)新的補(bǔ)丁更新，要及時(shí)在效勞器上更新并制作數(shù)據(jù)包，然后郵件通知各個(gè)站點(diǎn)管理員。2〕每日檢查各個(gè)主站點(diǎn)系統(tǒng)狀態(tài)，有情況及時(shí)通知站點(diǎn)負(fù)責(zé)人，及時(shí)排錯(cuò)。3〕定期進(jìn)行補(bǔ)丁安裝情況檢查，并做好記錄。4〕根據(jù)下級站點(diǎn)需求，制作所需數(shù)據(jù)包。5〕定期系統(tǒng)備份。6〕效勞器硬件監(jiān)測。7〕情況匯總月報(bào)。2、地區(qū)公司站點(diǎn)日常工作流程1〕每日查收郵件，如有新的數(shù)據(jù)包，及時(shí)確定播發(fā)集合和播發(fā)時(shí)間，播發(fā)后做好記錄；2〕每日檢查SMS系統(tǒng)狀態(tài)，發(fā)現(xiàn)問題及時(shí)解決，如有困難，向中心站點(diǎn)匯報(bào)，協(xié)助中心站點(diǎn)共同解決問題；3〕根據(jù)自身需求，向中心站點(diǎn)申請?zhí)厥鈹?shù)據(jù)包制作；4〕定期檢查SMS用戶端狀態(tài)；5〕定期系統(tǒng)備份；6〕效勞器硬件監(jiān)測；7〕情況匯總月報(bào)。第五章病毒防護(hù)的平安管理病毒防護(hù)系統(tǒng)作為保障系統(tǒng)和網(wǎng)絡(luò)良好運(yùn)行的一種重要技術(shù)手段，對各級單位網(wǎng)絡(luò)建設(shè)有著極其重要的作用。中國石油病毒防護(hù)系統(tǒng)采取集中監(jiān)控、分級部署的方式，在北京中心部署中心監(jiān)控管理設(shè)備，各地區(qū)中心部署病毒防護(hù)效勞器設(shè)備，各個(gè)桌面終端安裝客戶端。系統(tǒng)管理實(shí)行統(tǒng)一管理、分工負(fù)責(zé)的原那么。各區(qū)域病毒防護(hù)效勞器通過北京監(jiān)控管理中心統(tǒng)一配置管理，客戶端通過各地區(qū)效勞器進(jìn)行病毒庫升級。工作任務(wù)

平安組病毒防護(hù)工作是為了加強(qiáng)中國石油計(jì)算機(jī)病毒防護(hù)系統(tǒng)的建設(shè)和管理工作，確保計(jì)算機(jī)、效勞器和整個(gè)公司網(wǎng)絡(luò)的正常運(yùn)行。平安組病毒防護(hù)工作的主要任務(wù)是對整個(gè)系統(tǒng)進(jìn)行管理和維護(hù)，涉及中國石油網(wǎng)絡(luò)線路的病毒監(jiān)測，維護(hù)病毒防護(hù)效勞器的穩(wěn)定運(yùn)行，及時(shí)對各種突發(fā)病毒做出響應(yīng)和處理，對用戶使用過程中出現(xiàn)的問題進(jìn)行解答等。平安組應(yīng)與其他工程組協(xié)同合作，共同努力，確保中國石油網(wǎng)絡(luò)的健康、穩(wěn)定、快速運(yùn)行。工作范圍平安組病毒防護(hù)工作的范圍包括集團(tuán)公司總部、股份公司總部、各子公司、院的計(jì)算機(jī)網(wǎng)絡(luò)、效勞器、臺式計(jì)算機(jī)、筆記本電腦等。中心防病毒管理員負(fù)責(zé)中國石油骨干網(wǎng)絡(luò)防病毒效勞器的運(yùn)行維護(hù)，及對地區(qū)公司的防病毒工作進(jìn)行協(xié)調(diào)、檢查。地區(qū)防病毒管理員負(fù)責(zé)各地區(qū)、單位的計(jì)算機(jī)網(wǎng)絡(luò)、效勞器、終端設(shè)備的防病毒工作。崗位職責(zé)為保障病毒防護(hù)系統(tǒng)平安、可靠運(yùn)行，為企業(yè)內(nèi)部用戶提供便捷、高效、平安、可靠的病毒防護(hù)效勞，各崗人員必須明確職責(zé)，按照?病毒防護(hù)系統(tǒng)日常運(yùn)行維護(hù)工作流程?的要求做好病毒防護(hù)系統(tǒng)的管理、運(yùn)行、維護(hù)和效勞工作。根據(jù)組織設(shè)置和運(yùn)行現(xiàn)狀，病毒防護(hù)系統(tǒng)的管理、運(yùn)行、維護(hù)和效勞工作，設(shè)置中心病毒防護(hù)管理員和地區(qū)病毒防護(hù)管理員兩級工作崗位。1、中心病毒防護(hù)平安管理員職責(zé)1〕負(fù)責(zé)中國石油的計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)的平安及病毒防護(hù)工作，負(fù)責(zé)制定工作方案并實(shí)施。2)定期更新總部的病毒防護(hù)網(wǎng)站,了解最新病毒防護(hù)進(jìn)展情況，檢查網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)，并監(jiān)督病毒防護(hù)效勞商的效勞。3〕負(fù)責(zé)管理中心病毒防護(hù)效勞器，定期升級病毒庫。4)當(dāng)網(wǎng)絡(luò)病毒爆發(fā),或接到病毒防護(hù)廠商或效勞提供商的病毒預(yù)警通知時(shí)，及時(shí)通知相關(guān)系統(tǒng)管理人員。5)隨時(shí)監(jiān)測本地區(qū)的網(wǎng)絡(luò)情況,發(fā)現(xiàn)有異常情況時(shí),及時(shí)進(jìn)行處理。6)負(fù)責(zé)建立中國石油總部計(jì)算機(jī)病毒應(yīng)急響應(yīng)及處理機(jī)制〔詳見附-1〕。當(dāng)計(jì)算機(jī)病毒爆發(fā)時(shí)，應(yīng)啟動計(jì)算機(jī)病毒應(yīng)急響應(yīng)及處理機(jī)制，使計(jì)算機(jī)病毒造成的影響降到最低。7)定期與公司各分支機(jī)構(gòu)聯(lián)系，交流病毒防護(hù)的經(jīng)驗(yàn)。8)負(fù)責(zé)病毒防護(hù)文檔的整理和存檔工作。9)定期進(jìn)行一次病毒防護(hù)系統(tǒng)季度巡檢(詳見附-2),并在下個(gè)季度的第一周內(nèi)完成病毒防護(hù)系統(tǒng)季度總結(jié)報(bào)告(詳見表-3)定期對中心單位的病毒防護(hù)相關(guān)人員進(jìn)行病毒防護(hù)技術(shù)培訓(xùn)，使其掌握先進(jìn)的病毒防護(hù)技術(shù)，有能力處理突發(fā)事件。10)掌握最新信息平安技術(shù)，提出對中國石油信息平安工作有幫助的建議。2、地區(qū)病毒防護(hù)管理崗位職責(zé)1)負(fù)責(zé)本地區(qū)公司的計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)的平安及病毒防護(hù)工作，負(fù)責(zé)制定工作方案并實(shí)施。2)及時(shí)瀏覽總部的病毒防護(hù)網(wǎng)(.petrochina),了解最新病毒的預(yù)警情況和相關(guān)知識，并負(fù)責(zé)通知本地區(qū)〔單位〕的下級單位。3)負(fù)責(zé)管理本地區(qū)〔單位〕病毒防護(hù)效勞器，定期升級病毒防護(hù)軟件，及時(shí)獲取最新病毒定義碼，敦促本地區(qū)〔單位〕及時(shí)安裝，并定期檢查安裝情況。4)隨時(shí)監(jiān)測本地區(qū)〔單位〕的網(wǎng)絡(luò)情況，發(fā)現(xiàn)有異常情況時(shí),馬上追查原因及時(shí)進(jìn)行處理，防止病毒在網(wǎng)絡(luò)中擴(kuò)散。5)協(xié)同相關(guān)部門對本地區(qū)〔單位〕網(wǎng)絡(luò)與中國石油廣域網(wǎng)連接的端口進(jìn)行監(jiān)控，防止計(jì)算機(jī)病毒進(jìn)入中國石油的骨干網(wǎng)，而對整個(gè)企業(yè)網(wǎng)絡(luò)造成影響。6)負(fù)責(zé)建立本地區(qū)〔單位〕計(jì)算機(jī)病毒應(yīng)急響應(yīng)及處理機(jī)制〔詳見附-1〕，當(dāng)計(jì)算機(jī)病毒爆發(fā)時(shí)，應(yīng)啟動計(jì)算機(jī)病毒應(yīng)急響應(yīng)及處理機(jī)制，使計(jì)算機(jī)病毒造成的影響降到最低。7)在接到計(jì)算機(jī)病毒預(yù)警和其它有關(guān)計(jì)算機(jī)病毒信息時(shí)，應(yīng)及時(shí)通知下級單位，并采取相關(guān)處理措施。8)定期進(jìn)行一次病毒防護(hù)系統(tǒng)季度巡檢(詳見附-2)，在每季度的第一周內(nèi)完成病毒防護(hù)系統(tǒng)季度總結(jié)報(bào)告(詳見表-3)。9)定期對本地區(qū)〔單位〕下級單位的病毒防護(hù)人員進(jìn)行病毒防護(hù)技術(shù)培訓(xùn)，使其掌握先進(jìn)的病毒防護(hù)技術(shù)，有能力處理突發(fā)事件。10)鼓勵學(xué)習(xí)最新信息平安技術(shù)，提出對中國石油信息平安工作有幫助的建議。病毒防護(hù)設(shè)備權(quán)限管理規(guī)定

為保障病毒防護(hù)系統(tǒng)平安、可靠運(yùn)行，標(biāo)準(zhǔn)日常維護(hù)、操作和使用行為，制定本規(guī)定。針對目前的崗位設(shè)置情況，病毒防護(hù)設(shè)備權(quán)限管理分為系統(tǒng)中心平安管理員和地區(qū)中心平安管理員兩級管理。系統(tǒng)中心平安管理員的設(shè)備權(quán)限：對地區(qū)公司病毒防護(hù)系統(tǒng)管理員進(jìn)行權(quán)限管理，可以對所有病毒防護(hù)效勞器進(jìn)行病毒防護(hù)系統(tǒng)進(jìn)行權(quán)限委派，可以對病毒防護(hù)系統(tǒng)的策略進(jìn)行操作。地區(qū)中心平安管理員的設(shè)備權(quán)限：接受系統(tǒng)中心平安管理員委派的病毒防護(hù)系統(tǒng)管理權(quán)限，可以向中心管理員申請，對病毒防護(hù)系統(tǒng)的權(quán)限和策略進(jìn)行更改。病毒防護(hù)設(shè)備管理規(guī)定

系統(tǒng)中心平安管理員負(fù)責(zé)中心病毒防護(hù)效勞器的維護(hù)，監(jiān)視效勞器的運(yùn)行狀況，協(xié)助地區(qū)公司管理員，維護(hù)地區(qū)公司的病毒防護(hù)效勞器。地區(qū)中心平安管理員負(fù)責(zé)地區(qū)中心病毒防護(hù)效勞器的維護(hù)，監(jiān)視地區(qū)中心效勞器的運(yùn)行狀況，對該地區(qū)效勞器出現(xiàn)的問題及時(shí)向中心管理員進(jìn)行匯報(bào)，并做相應(yīng)處理。

病毒防護(hù)系統(tǒng)日常工作流程為標(biāo)準(zhǔn)病毒防護(hù)系統(tǒng)日常運(yùn)行、維護(hù)工作，保障中國石油網(wǎng)絡(luò)平安、可靠的運(yùn)行，制定?病毒防護(hù)系統(tǒng)日常運(yùn)行維護(hù)工作流程?。1、病毒防護(hù)監(jiān)控：監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒防護(hù)情況，如發(fā)現(xiàn)問題，及時(shí)記錄并做出響應(yīng)處理〔詳見附-1〕。2、網(wǎng)絡(luò)監(jiān)控：與相關(guān)人員〔網(wǎng)絡(luò)管理員，