入侵检测管理(20130528).docx

入侵检测运行维护管理1 职责1) 入侵检测系统管理员11) 负责对入侵检测系统发现的恶意攻击行为进行跟踪处理；2) 负责提出入侵防范措施；3) 负责验证入侵防范措施的可行性、有效性；4) 负责入侵检测系统的管理、更新和事件库备份、升级；5) 负责密切关注、及时收集最新网络攻击行为的发生、发展情况，关注和追踪业界公布的攻击事件。2) 入侵检测系统管理员21) 负责正确配置入侵检测策略，以充分利用入侵检测系统的处理能力；2) 负责入侵检测结果评估与加固方案评审。3) 审计员1) 对系统管理员的操作行为进行审计。4) 管理者1) 规划入侵检测管理策略并不断完善；2) 制定用户职责，明确系统管理员；3) 批准入侵检测配置；4) 批准入侵防范措施。2 管理要求1) 入侵检测范围至少部署到网络安全边界处、重要服务器区。-入侵检测系统的部署位置应能正确检测到被保护网络的数据流量，并能抓取含有足够信息的IP包，如：MAC地址、IP地址等；-应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； -应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；2) 入侵检测配置管理应根据具体的网络情况为入侵检测系统选择、配置适当的检测策略，充分利用系统的能力。配置文件修改、审批后策略生效。配置文件应备份。入侵检测系统应尽量与防火墙联动，充分发挥系统的潜力。管理要点： 根据需要，记录当前网络环境，定义入侵检测接口； 定义入侵检测系统要保护的网络对象（网络或主机）； 定义检测策略，阻断级别和事件报警； 备份配置，安装到网络当中； 定义管理员清单和管理权限； 测试入侵检测系统性能，做好网管资料。入侵检测之网络安全：1) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 2) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 3) 应能够根据记录数据进行分析，并生成审计报表（一周内至少审计一次日志报表）；4) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等； 5) 应定义审计跟踪极限的阈值，当存储空间接近极限时，能采取必要的措施，当存储空间被耗尽时，终止可审计事件的发生； 6) 应根据信息系统的统一安全策略，实现集中审计，时钟保持与时钟服务器同步。入侵检测之主机安全：1) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户； 2) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； 3) 审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等； 4) 应能够根据记录数据进行分析，并生成审计报表； 5) 应保护审计进程，避免受到未预期的中断； 6) 应保护审计记录，避免受到未预期的删除、修改或覆盖等； 7) 应能够根据信息系统的统一安全策略，实现集中审计。 3) 用户管理1) 应对登录入侵检测系统的用户进行身份鉴别； 2) 应对入侵检测系统的管理员登录地址进行限制； 3) 入侵检测系统用户的标识应唯一； 4) 入侵检测系统用户的口令应有复杂度要求并定期更换； 5) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施； 6) 当对入侵检测系统进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听(应采用SSH，HTTPS等加密协议，不应使用明文传送的Telnet服务)； 7) 应实现特权用户的权限分离,根据不同角色分配完成其任务的最小权限。如安全策略管理与实际操作员权限分离：用户管理员、安全策略管理（功能配置与修订）、系统操作员等。4) 入侵防范1) 检测、报警分析与处理每天定时（每日至少2次，9点、17点）查看告警信息。A如果出现高风险事件（如DDOS攻击、缓冲区漏洞攻击等入侵行为事件），按照以下步骤处理：通知防火墙安全管理员，查看防火墙日志，是否对该攻击行为已自动进行阻断： 如防火墙已进行了阻断：组织系统管理员、网络管理员，定位攻击源IP。源攻击IP定位后，安排相关技术人员处理该IP机器，查明该IP机器发起攻击的原因。对该IP机器处理后，形成报告并送阅主管领导，如需要，可报安全管理处备案。 如防火墙未对该攻击进行阻断：除通过防火墙紧急手工阻断该连接会话外，可初步判断为入侵事件成功，需紧急启动入侵事件预案程序。B当入侵检测设备出现告警或工作不正常，已经引起网络拥塞或网络瘫痪等重大安全事件时，应立即启动紧急响应程序，对网络进行紧急处理，堵塞攻击入口，恢复网络的正常运行，并追查攻击来源，及时上报。C对涉及特殊网络对象进行检测和紧急事件发生的处理。要有针对性的把有关领导的主机、信息发布类型的主机（如WEB,MAIL系统）、重要数据类型的主机（如财务，OA系统）作为受重点保护的对象，综合防火墙日志和漏洞扫描日志分析其安全性，一旦出现恶性事件可事先切断物理链路，并及时上报，封锁现场。2) 应对报警信息进行评估，对报警信息进行级别划分处理：安全等级为高、中的必须处置，安全等级为低的可保持现状，观察其发展状态。确定需处置的风险，及时制定安全加固方案和相应管理措施。【信息安全事件报告单】（高风险1月内完成处置，中风险的3月内完成处置）加固方案实施前应先经过全面的测试，编写相应的测试报告。经审批后，方可实施。必须确保所有的变更，不影响业务的运行。3) 系统加固后，应验证措施的有效性，核查加固后系统的安全性（关注同类事件是否再次发生）。如果仍存在安全问题，需按照以上入侵检测流程循环持续执行。4) 应每月通过报表工具对出现的高级的告警信息统计汇总，分析后形成报告，送阅主管领导。5) 可追溯：入侵检测过程的记录存档管理。6) 审计每月查询所有系统管理员的操作行为，记录并形成报告，送阅相关领导.7) 入侵检测软件维护1)日常维护系统管理员需要每日对设备进行例行检查, 及时查看系统日志，对异常情况的发生，及时上报，并做好记录，确保入侵检测设备的正常运行。对于无法解决的故障或者问题，及时通知厂商技术人员。对入侵检测设备的CPU和内存利用率、报警次数等进行均时监测、跟踪工作，每周形成报表。在每个日志备份周期到期的后一天应查看日志的自动备份工作是否正常。如不正常，应及时对日志进行手动备份，并查找无法自动