安全信息事件管理目的和规范

随着企业数字化转型的深入推进，网络安全越来越被企业所重视。为了构建完备的安全防御体系，企业通常会引入了防火墙(Firewall)、防病毒系统(Anti-Virus System，AVS)、入侵防御系统(Intrusion Prevention System，IPS)、入侵检测系统(Intrusion Detection System，IDS)、审计系统等大量安全产品，然而这些安全产品往往各自为政、缺乏联动，难以形成有价值的、全面系统的安全态势分析报告，也就难以应对复杂多变的安全威胁。安全信息事件管理流程

安全信息和事件管理 (SIEM，Security Information and Event Management) 正好可以满足这方面的需求。SIEM可以收集和存储来自各种网络、安全设备等日志和事件，并能够持续分析接入的数据，用以持续地进行威胁检测和合规性检测，帮助提升企业威胁响应能力；另外，SIEM也可以综合所采集的安全日志和事件，提供系统全面地安全报告，以便企业完整地评估系统风险。seim安全信息事件管理

网络信息安全应急处置要点，安全信息事件管理办法

一、依据

(一)《信息安全等级保护制度》，公安部公通字[2007]43号。（https://wenku.baidu.com/view/11ebd38a4793daef5ef7ba0d4a7302768e996feb.html）

(二)《浙江省教育信息化建设工程实施办法》，百度文库【2018.10.7】。（https://wenku.baidu.com/view/c077f58448649b6648d7c1c708a1284ac9500517.html）

(三)《宁波职业技术学院信息化建设管理办法》。

二、目的

提高处置网络与信息安全突发公共事件能力，规范事件响应和应急处置各环节的工作内容、操作流程和技术要求、管理要求，最大限度地减轻网络与信息安全突发公共事件的危害。

三、适用范围

学校范围内或归属学校管理的网络与信息系统，发生安全突发公共事件的情况，进行事件应急处置。

四、事件应急处置原则

(一)在由于火灾或电力问题造成的主机故障，在解决故障前，应以保证人员的生命安全和财产的安全为前提进行处置。

(二)在有备用设备的情况下，应先将应用切换到备用机上，使业务能够运行，再对故障设备进行诊断和维修。

(三)当故障发生后，应尽可能全面备份出能够反映故障现象的各种日志、记录、受损文件等。

五、事件信息处理与善后处置

(一)在进行事件应急处置中，应对事件进行取证、现场信息收集、分析和上报。同时对事件进行动态监测、评估，及时将事件的性质、危害程度和损失情况及处置工作报告上级。当网络与信息安全突发公共事件发生时，应及时做好信息发布工作，包括事件预警及应急处置工作进程，应急准备及预防措施。

(二)应急处置工作结束后，尽快恢复正常工作，查明原因，对事件造成的损失和影响进行分析评估。配合上级，对事件责任进行全面调查，总结经验教训，对有关责任人员做出处理。分析安全防护工作漏洞和不足，进一步完善网络信息安全设施建设，加强网络信息安全安全监测预警。

六、事件处置细则

(一)电源系统故障应急处置。当中心机房发生突然停电或远程报警电源异常时，首先确认是否为正常停电及预计停电时间。检查不间断电源的电池可供电时长，需在不间断电源供电时效内关闭所有服务器及网络设备。联系有关部门了解停电原因，做好记录。

(二)空调系统故障应急处置。发生空调报警，应尽快查找报警原因，对于不能自行排除的问题，及时联系后勤或设备厂家，做好记录。中心机房主空调无法制冷，致使机房内环境温度超过摄氏40度时，应打开机房房门，并关闭所有服务器及网络设备。

(三)消防系统报警应急处置。上班工作时间，听到自动消防系统报警后，中心机房附近人员应紧急撤离，避免气体自动消防系统启动后，消防气体对附近人员造成人身伤害。确认火警后，立刻拨打119报警，并要求尽量使用气体灭火器进行灭火，减少电子设备的损坏。安全信息事件管理制度

(四)设备和网络系统故障应急处置。运维人员收到看监控系统自动发送的E-mail报警信息后，及时分析收到的日志，做出相应的处理。网络设备、服务器、储存设备均有备份，当设备存在硬件问题时，把业务切换到备份主机上，保证业务正常运行。对简单故障，运维人员应迅速排除故障。如果需要更换设备，应上报有关领导，经批准后马上更换。无法及时修复时，应立即通知相关的系统运行服务提供商，在最短的时间内安排修理或更换系统；如发现属外部线路问题，应与线路服务提供商联系，敦促对方尽快恢复故障线路，同时启用备份线路、设备、系统，迅速恢复相关应用。

(五)黑客攻击应急处置。发现网络上有黑客攻击行为，应立即切断受攻击计算机与网络的连接，停止一切操作、保护现场。对于黑客攻击，应查找入侵踪迹，分析入侵方式和原因。根据对入侵事件的分析，妥善处置。检查确定无安全隐患后，才可重新连接网络，或启用备份计算机来恢复应用。做好记录，进行日志收集。如果能追查到攻击者的相关信息，可以对其发出警告，必要时可以采取进一步的行动。若系统已被黑客破坏，无法恢复，应将受黑客攻击的计算机上的重要数据备份到其他存储介质，确保计算机内重要的数据不丢失。

(六)应用系统和数据库应急处置。应用系统因软件设计缺陷、设计漏洞等引起的故障，移交设计人员或软件商查明原因，排除故障。数据库出现故障，应及时重启，如出现数据丢失情况，确认不能自行恢复，应启用备份，恢复数据。

(七)终端病毒入侵应急处置。一台电脑中毒时应先断网，之后利用杀毒软件进行全盘杀毒扫描。未防止杀毒软件误杀或者删除重要文件，先将重要的文件以及邮件存放到U盘或者网盘进行备份。如果杀毒软件查杀不能奏效，则利用windows备份还原功能进行还原。当多台电脑中毒时，应断开网络，将重要数据拷贝出来，利用windows备份还原功能进行还原。

七、附則

(一)本要点经校长办公会审议通过后公告实施，修正时亦同。

(二)本要点解释权归信息资源中心，此前的相关规定如与本要点发生矛盾，按本要点执行。

上文就是小编为大家整理的安全信息事件管理目的和规范。

国内(北京、上海、广州、深圳、成都、重庆、杭州、西安、武汉、苏州、郑州、南京、天津、长沙、东莞、宁波、佛山、合肥、青岛)睿象云智能运维平台软件分析、比较及推荐。