入侵檢測管理制度(20130528)

1、 入侵檢測管理(20130528)2 作者: 日期: 入侵檢測運行維護管理 1 職責 1） 入侵檢測系統(tǒng)管理員 1 1） 負責對入侵檢測系統(tǒng)發(fā)現(xiàn)的惡意攻擊行為進行跟蹤處理； 2） 負責提出入侵防范措施； 3） 負責驗證入侵防范措施的可行性、有效性； 4） 負責入侵檢測系統(tǒng)的管理、更新和事件庫備份、升級； 5） 負責密切關注、及時收集最新網(wǎng)絡攻擊行為的發(fā)生、發(fā)展情況，關注和 追蹤業(yè)界公布的攻擊事件。 2） 入侵檢測系統(tǒng)管理員 2 1） 負責正確配置入侵檢測策略，以充分利用入侵檢測系統(tǒng)的處理能力； 2） 負責入侵檢測結果評估與加固方案評審。 3） 審計員 1）對系統(tǒng)管理員的操作行為進行審計。 4）

2、 管理者 1） 規(guī)劃入侵檢測管理策略并不斷完善； 2） 制定用戶職責，明確系統(tǒng)管理員； 3） 批準入侵檢測配置； 4） 批準入侵防范措施。 2 管理要求 1） 入侵檢測范圍 至少部署到網(wǎng)絡安全邊界處、重要服務器區(qū)。 -入侵檢測系統(tǒng)的部署位置應能正確檢測到被保護網(wǎng)絡的數(shù)據(jù)流量，并能抓 取含有足夠信息的 IP 包，如：MACS址、IP 地址等； -應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為： 端口掃描、強力攻擊、木馬后門攻擊、 拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡蠕蟲攻擊等； -應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源 IP、攻擊 的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵

3、事件時提供報警； 2） 入侵檢測配置管理 應根據(jù)具體的網(wǎng)絡情況為入侵檢測系統(tǒng)選擇、配置適當?shù)臋z測策略，充分利 用系統(tǒng)的能力。 配置文件修改、審批后策略生效。配置文件應備份。 入侵檢測系統(tǒng)應盡量與防火墻聯(lián)動，充分發(fā)揮系統(tǒng)的潛力。 管理要點： 根據(jù)需要，記錄當前網(wǎng)絡環(huán)境，定義入侵檢測接口； 定義入侵檢測系統(tǒng)要保護的網(wǎng)絡對象（網(wǎng)絡或主機）； 定義檢測策略，阻斷級別和事件報警； 備份配置，安裝到網(wǎng)絡當中； 定義管理員清單和管理權限； 測試入侵檢測系統(tǒng)性能，做好網(wǎng)管資料。 入侵檢測之網(wǎng)絡安全： 1） 應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志 記錄； 2） 審計記錄應包括：事件的日期

4、和時間、用戶、事件類型、事件是否成功 及其他與審計相關的信息； 3） 應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表（一周內(nèi)至少審計一次 日志報表）； 4） 應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等； 5） 應定義審計跟蹤極限的閾值，當存儲空間接近極限時，能采取必要的措 施，當存儲空間被耗盡時，終止可審計事件的發(fā)生； 6） 應根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計，時鐘保持與時鐘服務 器同步。 入侵檢測之主機安全： 1） 審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用 戶； 2） 審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用 等系統(tǒng)內(nèi)重要的

5、安全相關事件； 3） 審計記錄應包括日期和時間、類型、主體標識、客體標識、事件的結果等； 4） 應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表； 5） 應保護審計進程，避免受到未預期的中斷； 6） 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等； 7） 應能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。 3） 用戶管理/ 1） 應對登錄入侵檢測系統(tǒng)的用戶進行身份鑒別； 2） 應對入侵檢測系統(tǒng)的管理員登錄地址進行限制； 3） 入侵檢測系統(tǒng)用戶的標識應唯一； 4） 入侵檢測系統(tǒng)用戶的口令應有復雜度要求并定期更換； 5） 應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網(wǎng)絡登 錄連接超時自

6、動退出等措施； 6） 當對入侵檢測系統(tǒng)進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳 輸過程中被竊聽（應采用 SSHHTTP 等加密協(xié)議， 不應使用明文傳送的 Tel net 服務） ； 7） 應實現(xiàn)特權用戶的權限分離，根據(jù)不同角色分配完成其任務的最小權限。 如安全策略管理與實際操作員權限分離：用戶管理員、安全策略管理（功 能配置與修訂）、系統(tǒng)操作員等。 4） 入侵防范 1）檢測、報警分析與處理 每天定時（每日至少 2 次，9 點、17 點）查看告警信息。 如果出現(xiàn)高風險事件（如 DDO 攻擊、緩沖區(qū)漏洞攻擊等入侵行為事件）， 按照以下步驟處理： 通知防火墻安全管理員，查看防火墻日志，是否

7、對該攻擊行為已自動進 行阻斷： 如防火墻已進行了阻斷： 組織系統(tǒng)管理員、網(wǎng)絡管理員，定位攻擊源 IP。源攻擊 IP 定位后， 安排相關技術人員處理該 IP 機器，查明該 IP 機器發(fā)起攻擊的原因。 對該IP 機器處理后，形成報告并送閱主管領導，如需要，可報安全 管理處備案。 如防火墻未對該攻擊進行阻斷： 除通過防火墻緊急手工阻斷該連接會話外， 可初步判斷為入侵事件 成功，需緊急啟動入侵事件預案程序。 當入侵檢測設備出現(xiàn)告警或工作不正常，已經(jīng)引起網(wǎng)絡擁塞或網(wǎng)絡癱 瘓等重大安全事件時，應立即啟動緊急響應程序，對網(wǎng)絡進行緊急處理， 堵塞攻擊入口，恢復網(wǎng)絡的正常運行，并追查攻擊來源，及時上報。 對涉及

8、特殊網(wǎng)絡對象進行檢測和緊急事件發(fā)生的處理。 要有針對性的把有關領導的主機、信息發(fā)布類型的主機（如 WEB,MAI 系 統(tǒng)）、重要數(shù)據(jù)類型的主機（如財務，OA 系統(tǒng)）作為受重點保護的對象， 綜合防火墻日志和漏洞掃描日志分析其安全性，一旦出現(xiàn)惡性事件可事 先切斷物理鏈路，并及時上報，封鎖現(xiàn)場。 2） 應對報警信息進行評估，對報警信息進行級別劃分處理： 安全等級為高、中的必須處置，安全等級為低的可保持現(xiàn)狀，觀察其發(fā) 展狀態(tài)。 確定需處置的風險，及時制定安全加固方案和相應管理措施?！拘畔?全事件報告單】（高風險 1 月內(nèi)完成處置，中風險的 3 月內(nèi)完成處置） 加固方案實施前應先經(jīng)過全面的測試，編寫相

9、應的測試報告。經(jīng)審批后, 方可實施。必須確保所有的變更，不影響業(yè)務的運行。 3） 系統(tǒng)加固后，應驗證措施的有效性，核查加固后系統(tǒng)的安全性（關注同類事 件是否再次發(fā)生）。如果仍存在安全問題，需按照以上入侵檢測流程循環(huán)持 續(xù)執(zhí)行。 4） 應每月通過報表工具對出現(xiàn)的高級的告警信息統(tǒng)計匯總，分析后形成報告， 送閱主管領導。 5） 可追溯：入侵檢測過程的記錄存檔管理。 6） 審計 每月查詢所有系統(tǒng)管理員的操作行為，記錄并形成報告，送閱相關領導 7） 入侵檢測軟件維護 1） 日常維護 系統(tǒng)管理員需要每日對設備進行例行檢查，及時查看系統(tǒng)日志，對異常情況 的發(fā)生，及時上報，并做好記錄，確保入侵檢測設備的正常運

10、行。對于無法解決 的故障或者問題，及時通知廠商技術人員。 對入侵檢測設備的 CPU 口內(nèi)存利用率、報警次數(shù)等進行均時監(jiān)測、跟蹤工作， 每周形成報表。 在每個日志備份周期到期的后一天應查看日志的自動備份工作是否正常。如 不正常，應及時對日志進行手動備份，并查找無法自動備份的原因。 定期做好入侵檢測系統(tǒng)的配置的備份工作，以保證系統(tǒng)出現(xiàn)故障后能正?；?復原有性能。 2） 升級維護 及時搜集（每周）并升級入侵檢測工具的庫文件，確保入侵檢測的結果反映 出當天所有的入侵行為。 每月（每季度）對入侵檢測工具升級及任務變動情況進行匯總，形成報告或 周報后提交主管與部門經(jīng)理。 附表1入侵檢測記錄單 編號: 記就 記錄時間 入侵檢測系統(tǒng)名稱和版本 検測的1P范圍 發(fā)現(xiàn)的惡意隼件數(shù)量 高級 中級 低級 有威盼的攻擊事件 名稱 來源 處理辦法 附表2入帰檢測役備配置變更審批表 編號 申請部門 責任A. 聯(lián)系電話 申請日期 設備名稱 設備類型 IDS DIP