第一章總則

第一條為規(guī)范河北藝術(shù)職業(yè)學(xué)院（以下簡稱“河北藝校”）信息系統(tǒng)安全監(jiān)控及審計(jì)工作，明確安全監(jiān)控與審計(jì)的責(zé)任、方法及內(nèi)容，防范信息系統(tǒng)運(yùn)行中的安全風(fēng)險(xiǎn)，制定本制度。

第二章適用范圍

第二條本制度適用于河北藝術(shù)職業(yè)學(xué)院各部門，用于規(guī)范各類管理員的安全監(jiān)控工作。

第三章職責(zé)

第三條在信息系統(tǒng)安全監(jiān)控管理中，建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。

第四條安全監(jiān)控管理的職責(zé)：

1、網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量的日常監(jiān)控。

2、系統(tǒng)管理員負(fù)責(zé)服務(wù)器和操作系統(tǒng)的日常監(jiān)控。

3、數(shù)據(jù)庫管理員負(fù)責(zé)數(shù)據(jù)庫系統(tǒng)的日常監(jiān)控。

4、應(yīng)用系統(tǒng)管理員負(fù)責(zé)應(yīng)用系統(tǒng)的日常監(jiān)控。

5、安全審計(jì)員負(fù)責(zé)信息系統(tǒng)安全審計(jì)和定期審計(jì)活動(dòng)的組織。

6、管理員在監(jiān)控過程中，必須按照《監(jiān)控記錄單》認(rèn)真填寫監(jiān)控記錄。

7、管理員在監(jiān)控過程中，必須及時(shí)處置發(fā)現(xiàn)的信息安全事件，事件的處置過程中各管理員應(yīng)相互協(xié)助配合。

8、當(dāng)遇到管理員無法及時(shí)處理的事件時(shí)，應(yīng)立即上報(bào)到運(yùn)維管理小組，啟動(dòng)安全事件應(yīng)急響應(yīng)流程。

第四章安全監(jiān)控內(nèi)容

第五條網(wǎng)絡(luò)監(jiān)控

網(wǎng)絡(luò)監(jiān)控內(nèi)容主要包括流量異常監(jiān)控和入侵攻擊監(jiān)控，分別是指：

1、網(wǎng)絡(luò)設(shè)備運(yùn)行性能監(jiān)控，包括網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存使用率，端口流量，線路連通性，線路延遲等。

2、通過流量監(jiān)控，識(shí)別網(wǎng)絡(luò)中數(shù)據(jù)流類型和內(nèi)容，從中發(fā)現(xiàn)是否有違反安全策略行為和被攻擊跡象，同時(shí)根據(jù)協(xié)議類型分析當(dāng)前數(shù)據(jù)趨勢(shì)，幫助分析網(wǎng)絡(luò)狀況，避免大規(guī)模病毒爆發(fā)。

3、對(duì)來自內(nèi)外部網(wǎng)絡(luò)的用戶訪問進(jìn)行監(jiān)控，識(shí)別非法入侵和違規(guī)行為。

第六條主機(jī)監(jiān)控

主機(jī)監(jiān)控內(nèi)容主要包括主機(jī)系統(tǒng)信息監(jiān)控、主機(jī)重要文件和資源監(jiān)控、主機(jī)網(wǎng)絡(luò)連接監(jiān)控、主機(jī)系統(tǒng)進(jìn)程監(jiān)控。分別是指：

1、對(duì)主機(jī)系統(tǒng)配置信息和運(yùn)行情況進(jìn)行監(jiān)控，包括主機(jī)機(jī)器名、網(wǎng)絡(luò)配置、用戶登錄、進(jìn)程情況、CPU和內(nèi)存使用率、硬盤容量等。

2、對(duì)主機(jī)重要文件及其使用情況進(jìn)行監(jiān)控。

3、監(jiān)控重要主機(jī)網(wǎng)絡(luò)連接情況和服務(wù)開啟情況。

第七條數(shù)據(jù)庫監(jiān)控

1、數(shù)據(jù)庫性能監(jiān)控，包括數(shù)據(jù)庫讀寫速度、數(shù)據(jù)庫空間使用率等。

2、對(duì)數(shù)據(jù)庫操作行為進(jìn)行監(jiān)控。

3、對(duì)數(shù)據(jù)庫用戶登錄行為監(jiān)控。

第八條應(yīng)用系統(tǒng)監(jiān)控

應(yīng)用系統(tǒng)監(jiān)控內(nèi)容主要包括應(yīng)用進(jìn)程監(jiān)控、應(yīng)用異常監(jiān)控、應(yīng)用網(wǎng)絡(luò)連接監(jiān)控，分別是指：

1、監(jiān)控應(yīng)用進(jìn)程占用的資源量，如CPU、內(nèi)存使用率等。

2、監(jiān)控應(yīng)用進(jìn)程異常中止、應(yīng)用異常連接。

3、監(jiān)控應(yīng)用的各種網(wǎng)絡(luò)連接，對(duì)應(yīng)用系統(tǒng)發(fā)送與接受的信息內(nèi)容進(jìn)行監(jiān)控。

第九條安全審計(jì)

安全審計(jì)的主要內(nèi)容包括定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，上報(bào)運(yùn)維管理小組，由運(yùn)維管理小組決定并采取必要的應(yīng)對(duì)措施。分別是指：

1、各管理員定期根據(jù)監(jiān)控結(jié)果分析、評(píng)審各自負(fù)責(zé)的網(wǎng)絡(luò)、數(shù)據(jù)庫、操作系統(tǒng)、應(yīng)用系統(tǒng)等的安全狀況。

2、安全審計(jì)員定期查看《監(jiān)控記錄單》、《事件記錄單》和各系統(tǒng)日志等審計(jì)信息的完整性，根據(jù)審計(jì)數(shù)據(jù)制作審計(jì)報(bào)表，并將審計(jì)結(jié)果上報(bào)運(yùn)維管理小組。

第五章安全監(jiān)控的實(shí)施

第十條監(jiān)控流程

1、每天8:00、13:30、17:00檢查系統(tǒng)運(yùn)行狀態(tài)；

2、如果系統(tǒng)運(yùn)行狀態(tài)正常，則繼續(xù)檢查日志備份情況，如果系統(tǒng)運(yùn)行狀態(tài)異常，則啟動(dòng)事件處置流程；

3、如果日志備份情況正常，則繼續(xù)對(duì)實(shí)時(shí)事件信息進(jìn)行查看和分析，如果日志備份情況異常，則啟動(dòng)事件處置流程；

4、如果在實(shí)時(shí)事件信息查看分析中發(fā)現(xiàn)有信息安全事件，則啟動(dòng)事件處置流程，如果未發(fā)現(xiàn)有信息安全事件，則檢查是否到下班時(shí)間；

5、如果已到下班時(shí)間，則填寫監(jiān)控總結(jié)，結(jié)束當(dāng)天的監(jiān)控工作。如果未到下班時(shí)間，則回到第一步，繼續(xù)檢查系統(tǒng)運(yùn)行狀態(tài)；

6、監(jiān)控執(zhí)行過程中，根據(jù)所監(jiān)控的對(duì)象分別填寫相應(yīng)的監(jiān)控記錄單，發(fā)生信息安全事件時(shí)，填寫事件記錄單；

7、啟動(dòng)事件處置流程后，在規(guī)定時(shí)間內(nèi)如果未能完成事件處置，則啟動(dòng)應(yīng)急響應(yīng)流程，否則回到第一步，繼續(xù)進(jìn)行系統(tǒng)狀態(tài)檢查及后續(xù)監(jiān)控環(huán)節(jié)。

第六章相關(guān)文件

第十一條與本制度相關(guān)的其他文件及表單包括：

1、《監(jiān)控記錄單》

2、《事件記錄單》

3、《安全事件管理制度》

4、《安全事件應(yīng)急響應(yīng)流程》

5、《信息安全策略綱要》

第七章附則

第十二條本制度自發(fā)布之日起執(zhí)行。

第十三條本制度的解釋和修改權(quán)屬于信息安全領(lǐng)導(dǎo)小組。

第十四條信息安全領(lǐng)導(dǎo)小組每年統(tǒng)一檢查和評(píng)估本制度，并做出適當(dāng)更新。在業(yè)務(wù)環(huán)境和安全需求發(fā)生重大變化時(shí)，也將對(duì)本制度進(jìn)行檢查和更新。