■ 安徽 于晗

编者按：面对信息安全威胁，大型企业有着足够的人力和财力来应对危机，而小型企业则不尽然，需要以有限的资源应对无穷的威胁。因此，高效的安全策略和管理方式就变得极为重要，本文特别针对小型企业来进行探讨。

伴随着物联网及云计算技术的不断发展，企业信息化程度不断提高，为了保证企业的信息安全建设，很多企业选择购买大量的安全防护设备，以为在网络边界加装一些防护设备就可以保证企业的正常运营。实际上这些行为大部分只是给企业提供了心理上的安慰。

另外,小型企业的人员与成本均有限，不能像大型企业那样设置专门的信息安全岗位来进行安全管理。更有一些企业为了应付检查将安全管理工作随意派遣给内部技术管理部门，造成一人多岗、信息交叉、自做自查等问题。

本文将根据实际工作中的经验，综合国家标准 《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》中三级等级保护要求，总结出一套相对简单的日常运维管理方法，希望给大家提供参考。

图1 运维管理控制点划分

企业信息安全管理平台运维管理控制点说明

为了方便企业的信息安全管理平台的运维管理，运维管理控制点将分为两个部分：

第一个部分为针对所有信息安全设备资产、信息安全及监控中心、安全事件及应急预案的管理，只在控制点的属性上进行区分，不在做针对单个业务子系统的细化处理；

第二部分则与第一部分相反，所有控制点都针对单个业务子系统，所有系统均保证包含第二部分中的控制点分项。如图1所示。

第一部分控制点分项

1.运维资产管理

主要包括企业所有信息安全设备序列号、维保年限、用途、特征库更新时间、大版本升级时间。

具体样表格式如图2所示。

2.密码管理

主要包括企业所有的信息安全设备的密码控制及管理，包括有入侵防御系统、网页防护、堡垒机、内容审计、二代防火墙以及抗DDoS设备等。

这里需要着重注意的是密码管理员必须与运维管理员分离。因为密码是企业安全运维的重中之重，也可以说是企业安全运维的最后一道防线。

3.监控及安全管理中心管理

主要包括针对企业所有信息安全设备进行日志收集及分析的安全管理中心，日志收集及分析系统的运维管理。

这一方面管理的日常工作也是最频繁的，因为对于安全来说是“七分管理，三分技术”。

4.安全及运维事件管理

安全事件主要针对突发安全事件的记录，包括信息来源、事件动机、影响范围、事件性质、事件发展趋势以及采取的措施等。

运维事件主要包括信息安全项目执行情况、厂家服务情况、信息安全年度技术执行进展、信息安全文件管理等。

5.账号权限管理

主要针对企业信息安全设备对外分发登录账号的权限控制，包括设备使用账号、VPN账号和堡垒机使用账号等。

这部分账号处理工作一定要做好账号变更管理，需要明确账号在过去、现在、未来的使用情况，以便于出现问题时进行回溯。

图2 运维资产管理表格样式

6.应急预案管理

主要针对“两会”、春节、“十一”等重大公共事件期间的信息安全保障应急需求制定并进行管理。

具体要求如下：

（1）基本原则

分级负责：

按照“谁主管谁负责，谁运营谁负责”的原则，针对不同公司业务子系统，强调部门安全责任制，各部门应当积极支持和协助相应的应急处置工作。

果断处置：

一旦发生网络与信息安全事故，应迅速做出反应，及时启动应急处置预案。各业务部门应尽力配合减少损失，以恢复网络与系统运行为目标。

适用范围：

本预案适用于企业各业务部门。

（2）组织体系

应急人员组成：

对于小型企业而言无法另外在各个部门之间抽调人员，因此建议采用固定应急处置人员，可以临时增加问题系统的负责人。

主要职责：

负责应对企业网络与信息安全突发事件，指导督促重要业务系统信息安全突发事件应急预案的修订和完善，参与执行并检查落实预案执行情况。

（3）预防预警

按照“早发现、早报告、早处置”的原则，加强对企业各业务系统安全事件信息的收集、分析判断和持续监测。当发生网络与信息安全突发事件时，按规定及时向应急小组报告，初次报告事件最迟不得超过1小时，重大和特别重大的网络与信息安全突发公共事件实行态势进程报告。

报告内容主要包括信息来源、事件动机、影响范围、事件性质、事件发展趋势和采取的措施等。

对于两个小时内无法解决的信息安全突发事件，应迅速召开信息安全应急响应会议，研究确定安全突发事件的危害等级，根据具体情况来启动相应的应急预案，并向相关部门进行汇报。如果问题较为严重，本单位无法有效解决时，在经过公司管理层同意的情况下，邀请专业信息安全厂家协同进行问题处置。

（4）实际应急预案举例

企业网站、网页出现非法言论时的应急预案：

a)突发事件应急预案

网站、网页由负责网站维护的管理员随时监控信息内容。

发现在公司网站出现非法信息时：

图3 应急预案负责人样表

网站管理员应立即向部门主任及公司总工程师通报情况；

必须作好记录，包括被篡改页面、恶意登录信息等，之后清理非法信息，采取必要的安全防范措施，将网站、网页重新投入使用；

如果事态严重导致无法清理非法信息，或者重要网站服务器密码被更改无法登录，应直接采用断网措施，再按程序报告。

网站管理员应妥善保存有关记录、日志或审计记录，将有关情况向部门主任及公司总工程师汇报，并及时追查非法信息来源。

b）应急预案负责人

登记样表可参考如图3所示样例。

c）企业网站突发事件应急中断处置

如果公司网站出现服务器被恶意锁死而无法登录，同时公司网站页面也被篡改，则只需要将下面任一条绿线拔出，以中断公司网站连接。

具体位置在数据机房A7设备柜(需要拍摄具体图片，标注需要中断线路)。

7.备份与恢复管理

针对不同业务系统所包含的防火墙、交换机、安全设备的配置信息进行定期记录和分拣。

对于备份而言，可以存在自动备份系统跟手动备份。一般企业为了方便起见，均采用自动备份，但是本文中所要求的备份均为手动备份。

8.日常报表管理

针对不同业务系统定期出具信息安全相关日志归结报表。由于日常报表主要工作是用于工作汇报，因此可以与公司安全域划分为基础进行分域情况汇报，也有利于安全问题的总结。

第二部分控制点分项

1.安全设备应用管理

主要针对不同业务系统使用相应信息安全设备时，不同的应用配置管理。

2.网络安全管理

主要针对不同业务系统内部网络拓扑结构，信息安全设备部署位置，包括防入侵，网页防护、边界防护、抗DDoS等。

3.主机系统安全管理

按照统一的信息安全基线管理，主要针对不同业务系统内部主机的操作系统的配置核查及漏洞扫描，并进行相应的漏洞修补信息记录。

企业信息安全管理平台日常运维工作控制表

为了保证日常信息安全运维工作，可以做量化指标并有利于日常工作的分发，同时可以实现对日常安全运维工作的监督和控制。对日常运维表单中各分项目更新日期可以做如下规定，以备查询控制，具体样表如图4所示。

1.信息安全月或季报

更新频率：每月或每个季度一次。

更新日期：次月或次季度第一天，如有延迟需要在次月或次季度第一个星期内完成。

图4 日常运维工作控制表样表

更新内容：包括所有纳入信息安全管理平台的业务系统。

2.平台账号权限管理

更新频率：每个月一次。

更新日期：每个月第三个星期第一天完成，如果有延迟，则需要在本星期之内完成。

更新内容：包括所有的信息安全管理平台业务探针。

3.安全运维资产自查

更新频率：每两个月一次。

更新日期：每双数月的最后一天完成，如果延迟，则需要在次月的第一个星期内完成。

更新内容：包括所有的信息安全管理平台业务探针。

4.配置备份

更新频率：每两个月一次。

更新日期：双数月最后一天，如有延迟需要在次月第一个星期内完成。

更新内容：包括所有的信息安全管理平台业务探针。

5.业务探针密码更替

更新频率：每六个月一次。

更新日期：每一、七月第二星期完成，如有延迟需要在第二个星期内完成。

更新内容：包括所有的信息安全管理平台业务探针。

6.应急预案复查

更新频率：每六个月一次。

更新日期：逢重要节日、会议前两个星期开始复查（必须完成）。

更新内容：包括所有信息安全管理平台涉及的业务系统。