第一章 目的

第一条 为了规范教育技术中心信息安全监控与预警工作，确保网络、主机、数据库和应用系统等安全稳定运行，特制定本管理细则。

第二章 范围

第二条 本细则适用于教育技术中心机房物理环境、网络、主机系统、数据库、存储系统和应用系统等安全监控与预警管理。

第三章 角色与职责

第三条 信息安全管理层

（一）组织策划信息安全监控与预警工作，为信息安全监控与预警工作提供资源支持；

（二）发生重大或特别重大安全事件时，按照相应要求，统一领导和协调安全事件的解决。

第四条 信息安全执行层

（一） 参与信息安全监控与预警制度的制订、修改和维护；

（二） 负责组织维护部门和使用部门对安全监控过程发现的信息安全事件进行处置；

（三） 监督信息安全监控与预警工作进度和质量，对信息安全监控与预警工作执行情况定期审核。

（四） 确定信息安全监控与预警工作的目的、范围和要求，制订信息全监控与预警具体实施计划；

（五） 按照相关要求对网络、主机、数据库和应用系统进行安全监控；

（六） 对安全监控发现的安全事件进行预警，及时向管理部门汇报，并采取相应的安全控制措施；

（七） 定期向管理部门汇报信息安全监控与预警工作情况。

第四章 安全监控与预警管理过程

第五条 安全监控

（一）执行部门的安全维护应包含对机房环境、网络、主机系统、数据库、存储系统和应用系统等进行安全监控，监控方式主要包括系统自动监控和人工巡检两种。

第六条 机房环境监控

（一）物理环境监控内容主要包括：温湿度调节系统、视频监控系统、消防系统、供电系统和其他安全相关内容。

（1） 温湿度调节系统：对机房温度、机房湿度和机房空调运行情况进行定期巡检。

（2）视频监控系统：对机房视频监控系统运行情况进行定期巡检。

（3） 消防系统：对机房手持灭火器和自动消防系统进行定期巡检。

（4）供电系统：对机房UPS、供电系统运行情况进行定期巡检。

（5）其他安全相关内容：对机房保洁、防静电、危险物品和门禁系统等进行定期巡检。

第七条 网络监控

（一）网络监控内容主要包括：网络连通性、网络流量、网络设备运行状态和告警信息等。

（1） 网络连通性监控：通过发送测试数据包，监控检测网络的连通性。

（2） 网络流量监控：对数据包进行分析，确定网络中数据流类型和内容，从中发现是否有违反安全策略的行为和被攻击的迹象；同时根据数据协议类型发现当前数据趋势，分析网络状况，避免大规模病毒爆发。

（3） 网络设备运行状态监控：对网络设备的CPU、内存和连接数等进行监控，对设备指示灯进行定期巡检。

（4）告警信息监控：对网络设备的告警信息进行监控，以便及时发现潜在的安全隐患。

第八条 主机监控

（一）主机监控内容主要包括：系统运行状态、系统进程、告警信息和系统配置信息等。

（1）系统运行状态监控：对系统CPU、内存、磁盘空间和网络连接状态进行监控，对设备指示灯进行定期巡检。

（2）系统进程监控：对系统主要进程运行情况进行监控。

（3）告警信息监控：对用户非法登录、非法访问、异常行为、重要文件和资源使用情况等内容进行监控。

（4） 配置信息监控：对系统名、账号、口令和网络配置信息等进行监控。

第九条 数据库监控

（一）数据库监控内容主要包括：配置信息、故障信息和性能等。

（1）配置信息监控：对数据库名、数据库实例名、版本信息、数据库位数、归档方式、文件目录、表空间信息和内存信息等进行监控。

（2）故障监控，监控数据库关键的运行状态和进程，具体包括：

1.对服务器实例的可用性进行监控，监控数据库实例的状态；

2.空间监控：对数据库空间、表空间、索引空间、磁盘空间、日志空间、数据文件空间、内存空间和交换区空间等进行监控；

3.告警信息监控：对日志告警信息进行监控。

（3） 性能监控：监控数据库的性能，鉴别和消除瓶颈以提高数据库系统的整体性能，包括：

由内存容量引起的数据库响应缓慢；

由于请求日志空间引起的延迟；

等待某回滚段完成的事务百分比；

监控Buffer Cache、I/O等相关的性能数据；

监控数据库会话的状况。

第十条 存储系统监控

（一）系统运行状态监控：对CPU、内存、网络连接状况和告警信息进行监控。

（二） 存储空间监控：对磁盘、磁带利用率进行监控。

（三） 指示灯监控：对设备指示灯进行定期巡检。

（四） 存储介质：对存储介质的物理环境、访问记录等进行定期巡检，定期进行存储介质

第十一条 应用系统监控

（一）应用系统监控内容主要包括：应用的进程、应用的异常和应用的网络连接情况。

（1） 进程监控：监控应用进程占有的资源量，如CPU时间、内存使用量等。

（2）异常监控：监控应用系统的异常行为，监控应用进程的异常中止、应用的异常连接。

（3） 网络连接监控：监控应用的各种网络连接，对应用系统发送与接受的信息内容进行监控。

第十二条 安全设备监控

（一）安全设备监控内容主要包括：安全阻断/告警日志、安全设备日志。安全设备包括：入侵检测系统、入侵防御系统、漏洞扫描、防病毒、防火墙、堡垒机、统一日志分析平台等。

（一）安全阻断/告警日志监控：监控IT设备的入侵攻击行为、木马病毒的传播、内部人员的非法操作行为等；

（2） 安全设备日志监控：监控IT设备的非法外联、连接异常、登陆和操作异常、运行状态异常等；

第十三条 安全预警

信息安全预警主要针对那些可能在较大范围内发生、传播速度快、影响范围广和造成危害大的信息安全事件。

（一）预警管理

（1） 预警信息提供者：执行部门。

（2） 预警责任者：信息安全部门。

（3） 预警内容：各类信息安全事件。

（4） 预警方式：办公系统发布通告、邮件通报和短信息通知等。

（二）预警处理

（1） 在收到预警信息后，维护人员应及时检查相关系统设备是否存在安全隐患或已发生安全事件。

（2） 如果系统设备存在安全隐患或已发生安全事件，维护人员应及时将相关信息汇报至安全管理员，安全管理员编制安全预警通知书交至安全管理层审批发布。

（3） 预警通知书下发以后，安全管理员组织维护人员和使用人员进行安全隐患和安全事件处理，并将相关处理结果汇报至安全管理层领导。

（4） 信息安全隐患和信息安全事件处理完毕后，安全管理员应开展安全隐患排查和治理工作，督促各部门进行针对性预防并进行抽检，避免同类事件再次发生，确保信息系统设备的安全稳定运行。

第五章 附则

第十四条 本管理办法由教育技术中心负责解释，本管理办法自发布日起施行。