入侵檢測(cè)管理(20130528)

1、入侵檢測(cè)運(yùn)行維護(hù)管理1 職責(zé)1) 入侵檢測(cè)系統(tǒng)管理員11) 負(fù)責(zé)對(duì)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)的惡意攻擊行為進(jìn)行跟蹤處理；2) 負(fù)責(zé)提出入侵防范措施；3) 負(fù)責(zé)驗(yàn)證入侵防范措施的可行性、有效性；4) 負(fù)責(zé)入侵檢測(cè)系統(tǒng)的管理、更新和事件庫(kù)備份、升級(jí)；5) 負(fù)責(zé)密切關(guān)注、及時(shí)收集最新網(wǎng)絡(luò)攻擊行為的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的攻擊事件。2) 入侵檢測(cè)系統(tǒng)管理員21) 負(fù)責(zé)正確配置入侵檢測(cè)策略，以充分利用入侵檢測(cè)系統(tǒng)的處理能力；2) 負(fù)責(zé)入侵檢測(cè)結(jié)果評(píng)估與加固方案評(píng)審。3) 審計(jì)員1) 對(duì)系統(tǒng)管理員的操作行為進(jìn)行審計(jì)。4) 管理者1) 規(guī)劃入侵檢測(cè)管理策略并不斷完善；2) 制定用戶職責(zé)，明確系統(tǒng)管理員；3

2、) 批準(zhǔn)入侵檢測(cè)配置；4) 批準(zhǔn)入侵防范措施。2 管理要求1) 入侵檢測(cè)范圍至少部署到網(wǎng)絡(luò)安全邊界處、重要服務(wù)器區(qū)。-入侵檢測(cè)系統(tǒng)的部署位置應(yīng)能正確檢測(cè)到被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流量，并能抓取含有足夠信息的IP包，如：MAC地址、IP地址等；-應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等； -應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；2) 入侵檢測(cè)配置管理應(yīng)根據(jù)具體的網(wǎng)絡(luò)情況為入侵檢測(cè)系統(tǒng)選擇、配置適當(dāng)?shù)臋z測(cè)策略，充分利用系統(tǒng)的能力。配

3、置文件修改、審批后策略生效。配置文件應(yīng)備份。入侵檢測(cè)系統(tǒng)應(yīng)盡量與防火墻聯(lián)動(dòng)，充分發(fā)揮系統(tǒng)的潛力。管理要點(diǎn)：Ø 根據(jù)需要，記錄當(dāng)前網(wǎng)絡(luò)環(huán)境，定義入侵檢測(cè)接口；Ø 定義入侵檢測(cè)系統(tǒng)要保護(hù)的網(wǎng)絡(luò)對(duì)象網(wǎng)絡(luò)或主機(jī)；Ø 定義檢測(cè)策略，阻斷級(jí)別和事件報(bào)警；Ø 備份配置，安裝到網(wǎng)絡(luò)當(dāng)中；Ø 定義管理員清單和管理權(quán)限；Ø 測(cè)試入侵檢測(cè)系統(tǒng)性能，做好網(wǎng)管資料。入侵檢測(cè)之網(wǎng)絡(luò)安全：1) 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄； 2) 審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息； 3) 應(yīng)

4、能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表一周內(nèi)至少審計(jì)一次日志報(bào)表；4) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，防止受到未預(yù)期的刪除、修改或覆蓋等； 5) 應(yīng)定義審計(jì)跟蹤極限的閾值，當(dāng)存儲(chǔ)空間接近極限時(shí)，能采取必要的措施，當(dāng)存儲(chǔ)空間被耗盡時(shí)，終止可審計(jì)事件的發(fā)生； 6) 應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實(shí)現(xiàn)集中審計(jì)，時(shí)鐘保持與時(shí)鐘服務(wù)器同步。入侵檢測(cè)之主機(jī)安全：1) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶； 2) 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件； 3) 審計(jì)記錄應(yīng)包括日期和時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件的結(jié)果等； 4

5、) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表； 5) 應(yīng)保護(hù)審計(jì)進(jìn)程，防止受到未預(yù)期的中斷； 6) 應(yīng)保護(hù)審計(jì)記錄，防止受到未預(yù)期的刪除、修改或覆蓋等； 7) 應(yīng)能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實(shí)現(xiàn)集中審計(jì)。 3) 用戶管理1) 應(yīng)對(duì)登錄入侵檢測(cè)系統(tǒng)的用戶進(jìn)行身份鑒別； 2) 應(yīng)對(duì)入侵檢測(cè)系統(tǒng)的管理員登錄地址進(jìn)行限制； 3) 入侵檢測(cè)系統(tǒng)用戶的標(biāo)識(shí)應(yīng)唯一； 4) 入侵檢測(cè)系統(tǒng)用戶的口令應(yīng)有復(fù)雜度要求并定期更換； 5) 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施； 6) 當(dāng)對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被

6、竊聽(tīng)(應(yīng)采用SSH，HTTPS等加密協(xié)議，不應(yīng)使用明文傳送的Telnet服務(wù))； 7) 應(yīng)實(shí)現(xiàn)特權(quán)用戶的權(quán)限別離,根據(jù)不同角色分配完成其任務(wù)的最小權(quán)限。如安全策略管理與實(shí)際操作員權(quán)限別離：用戶管理員、安全策略管理功能配置與修訂、系統(tǒng)操作員等。4) 入侵防范1) 檢測(cè)、報(bào)警分析與處理每天定時(shí)每日至少2次，9點(diǎn)、17點(diǎn)查看告警信息。A如果出現(xiàn)高風(fēng)險(xiǎn)事件如DDOS攻擊、緩沖區(qū)漏洞攻擊等入侵行為事件，按照以下步驟處理：通知防火墻安全管理員，查看防火墻日志，是否對(duì)該攻擊行為已自動(dòng)進(jìn)行阻斷：Ø 如防火墻已進(jìn)行了阻斷：組織系統(tǒng)管理員、網(wǎng)絡(luò)管理員，定位攻擊源IP。源攻擊IP定位后，安排相關(guān)技術(shù)人員處

7、理該IP機(jī)器，查明該IP機(jī)器發(fā)起攻擊的原因。對(duì)該IP機(jī)器處理后，形成報(bào)告并送閱主管領(lǐng)導(dǎo)，如需要，可報(bào)安全管理處備案。Ø 如防火墻未對(duì)該攻擊進(jìn)行阻斷：除通過(guò)防火墻緊急手工阻斷該連接會(huì)話外，可初步判斷為入侵事件成功，需緊急啟動(dòng)入侵事件預(yù)案程序。B當(dāng)入侵檢測(cè)設(shè)備出現(xiàn)告警或工作不正常，已經(jīng)引起網(wǎng)絡(luò)擁塞或網(wǎng)絡(luò)癱瘓等重大安全事件時(shí)，應(yīng)立即啟動(dòng)緊急響應(yīng)程序，對(duì)網(wǎng)絡(luò)進(jìn)行緊急處理，堵塞攻擊入口，恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行，并追查攻擊來(lái)源，及時(shí)上報(bào)。C對(duì)涉及特殊網(wǎng)絡(luò)對(duì)象進(jìn)行檢測(cè)和緊急事件發(fā)生的處理。要有針對(duì)性的把有關(guān)領(lǐng)導(dǎo)的主機(jī)、信息發(fā)布類型的主機(jī)如WEB,MAIL系統(tǒng)、重要數(shù)據(jù)類型的主機(jī)如財(cái)務(wù)，OA系統(tǒng)作為受重

8、點(diǎn)保護(hù)的對(duì)象，綜合防火墻日志和漏洞掃描日志分析其安全性，一旦出現(xiàn)惡性事件可事先切斷物理鏈路，并及時(shí)上報(bào)，封鎖現(xiàn)場(chǎng)。2) 應(yīng)對(duì)報(bào)警信息進(jìn)行評(píng)估，對(duì)報(bào)警信息進(jìn)行級(jí)別劃分處理：安全等級(jí)為高、中的必須處置，安全等級(jí)為低的可保持現(xiàn)狀，觀察其發(fā)展?fàn)顟B(tài)。確定需處置的風(fēng)險(xiǎn)，及時(shí)制定安全加固方案和相應(yīng)管理措施。【信息安全事件報(bào)告單】高風(fēng)險(xiǎn)1月內(nèi)完成處置，中風(fēng)險(xiǎn)的3月內(nèi)完成處置加固方案實(shí)施前應(yīng)先經(jīng)過(guò)全面的測(cè)試，編寫相應(yīng)的測(cè)試報(bào)告。經(jīng)審批后，方可實(shí)施。必須確保所有的變更，不影響業(yè)務(wù)的運(yùn)行。3) 系統(tǒng)加固后，應(yīng)驗(yàn)證措施的有效性，核查加固后系統(tǒng)的安全性關(guān)注同類事件是否再次發(fā)生。如果仍存在安全問(wèn)題，需按照以上入侵檢測(cè)流程

9、循環(huán)持續(xù)執(zhí)行。4) 應(yīng)每月通過(guò)報(bào)表工具對(duì)出現(xiàn)的高級(jí)的告警信息統(tǒng)計(jì)匯總，分析后形成報(bào)告，送閱主管領(lǐng)導(dǎo)。5) 可追溯：入侵檢測(cè)過(guò)程的記錄存檔管理。6) 審計(jì)每月查詢所有系統(tǒng)管理員的操作行為，記錄并形成報(bào)告，送閱相關(guān)領(lǐng)導(dǎo).7) 入侵檢測(cè)軟件維護(hù)1)日常維護(hù)系統(tǒng)管理員需要每日對(duì)設(shè)備進(jìn)行例行檢查, 及時(shí)查看系統(tǒng)日志，對(duì)異常情況的發(fā)生，及時(shí)上報(bào)，并做好記錄，確保入侵檢測(cè)設(shè)備的正常運(yùn)行。對(duì)于無(wú)法解決的故障或者問(wèn)題，及時(shí)通知廠商技術(shù)人員。對(duì)入侵檢測(cè)設(shè)備的CPU和內(nèi)存利用率、報(bào)警次數(shù)等進(jìn)行均時(shí)監(jiān)測(cè)、跟蹤工作，每周形成報(bào)表。在每個(gè)日志備份周期到期的后一天應(yīng)查看日志的自動(dòng)備份工作是否正常。如不正常，應(yīng)及時(shí)對(duì)日志進(jìn)行手動(dòng)備份，并查找無(wú)法自動(dòng)備份的原因。定期做好入侵檢測(cè)