入侵檢測運維指南

1、精選優(yōu)質(zhì)文檔-傾情為你奉上入侵檢測設(shè)備運維指南V1.00專心-專注-專業(yè)修 改 記 錄時間版本修改內(nèi)容一、每日例行維護1、系統(tǒng)管理員職責 為保證入侵檢測設(shè)備的正常運行，系統(tǒng)管理員需要在每日對設(shè)備進行例行檢查。 系統(tǒng)管理員每日在上班后，在入侵檢測管理程序主界面查看“顯示中心、網(wǎng)絡(luò)引擎”是否處于連接狀態(tài)，確?！熬C合顯示中心”窗口已打開。 若“網(wǎng)絡(luò)引擎”處于斷開狀態(tài)，需要檢查入侵檢測設(shè)備面板上的通訊端口的指示燈是否為綠色，如果通訊端口指示燈熄滅，通知網(wǎng)絡(luò)管理員，配合查看交換機與入侵檢測設(shè)備通訊口之間的端口鏈路是否正常。 如交換機及線路都正常的情況下，重啟入侵檢測引擎。 如果還存在問題請及時電話聯(lián)系廠

2、商工程師。 查看設(shè)備面板抓包口的指示燈狀態(tài)，網(wǎng)絡(luò)接口指示燈正常情況下是綠色；如果工作端口出現(xiàn)接口燈不亮的情況下，需要及時通知網(wǎng)絡(luò)管理員，配合查看交換機與入侵檢測設(shè)備抓包口之間的端口鏈路是否正常。 如交換機及線路都正常的情況下，重啟入侵檢測引擎。 如果還存在問題請及時電話聯(lián)系廠商工程師。2、安全員職責n 安全員每天定時（每日至少2次，9點、17點）查看綜合顯示中心的告警信息。n 如果出現(xiàn)高風險事件（如DDOS攻擊、緩沖區(qū)漏洞攻擊等入侵行為事件），按照以下步驟處理： 通知防火墻安全管理員，查看防火墻日志，是否對該攻擊行為已自動進行阻斷。 如已進行了阻斷，組織系統(tǒng)管理員、網(wǎng)絡(luò)管理員，定位攻擊源IP。

3、 源攻擊IP定位后，安排相關(guān)技術(shù)人員處理該IP機器，查明該IP機器發(fā)起攻擊的原因。 對該IP機器處理后，形成報告并送閱主管領(lǐng)導，如需要，可報安全管理處備案。 如防火墻未對該攻擊進行阻斷，除通過防火墻緊急手工阻斷該連接會話外，可初步判斷為入侵事件成功，需緊急啟動入侵事件預案程序。n 每天對運行入侵檢測控制臺的PC服務(wù)器進行運行狀態(tài)進行檢查，確保PC服務(wù)器上SQL SERVER數(shù)據(jù)處于正常運行狀態(tài)。n 如SQL SERVER服務(wù)運行狀態(tài)不正常，重啟SQL服務(wù)或服務(wù)器。n 對于無法解決的故障或者問題，及時通知廠商技術(shù)人員。二、周期性維護工作在入侵檢測設(shè)備的運行過程中，需要定期對設(shè)備進行維護。1、系統(tǒng)

4、管理員職責 系統(tǒng)管理員每周需要通過互聯(lián)網(wǎng)絡(luò)從啟明星辰公司的網(wǎng)站上下載最新的事件庫進行手動升級。 在升級完成后，生成最新的策略文件，并將策略文件下發(fā)到網(wǎng)絡(luò)引擎。 系統(tǒng)管理員每周對入侵檢測設(shè)備的升級及變動情況進行匯總，形成報告后，提交主管領(lǐng)導。 系統(tǒng)管理員每月對入侵檢測設(shè)備的升級及變動情況進行匯總，形成報告后，提交主管領(lǐng)導。2、安全管理員職責 安全員應(yīng)定期登陸系統(tǒng)（每周一次），查詢本周系統(tǒng)日志，通過報表工具對出現(xiàn)的高級的告警信息統(tǒng)計匯總，并形成報告，送閱主管領(lǐng)導。 安全管理員在每個日志備份周期到期的后一天應(yīng)查看日志的自動備份工作是否正常。 如果出現(xiàn)不正常的情況，應(yīng)及時對日志進行手動備份，并查找無法

5、自動備份的原因，是否是由于磁盤空間不足無法備份。 如果不是由于磁盤空間不足造成，則有可能是由于PC服務(wù)器時間運行造成日志服務(wù)器相關(guān)進程異常造成的，需要重啟日志服務(wù)器。 安全員應(yīng)每月通過報表工具對出現(xiàn)的高級的告警信息統(tǒng)計匯總，分析后形成報告，送閱主管領(lǐng)導。3、審計員職責 審計員應(yīng)定期查看審計日志，每月查詢所有系統(tǒng)管理員的操作行為，記錄并形成報告，送閱相關(guān)領(lǐng)導。三、不定期維護工作 安全系統(tǒng)管理員在對策略文件進行修改后，需要將需改后的策略下發(fā)到網(wǎng)絡(luò)引擎，以使修改后的策略生效。安全產(chǎn)品（入侵檢測）周常檢查記錄單設(shè)備名稱（ ）入侵檢測系統(tǒng)管理員檢查日期安全管理員檢查內(nèi)容（系統(tǒng)管理員）序號檢查項正常值正常

6、不正常處理辦法1顯示中心網(wǎng)絡(luò)引擎已連接2綜合顯示中心已打開3抓包口綠色4通訊端口綠色故障處理記錄記錄：1、網(wǎng)絡(luò)引擎無法正常工作，顯示為黃色，提示TIOD進程無法啟動，需要確認系統(tǒng)時間是否有變更或者在系統(tǒng)控制菜單里重啟系統(tǒng)引擎即可。檢查內(nèi)容（安全管理員）序號檢查項正常值正常不正常處理辦法1告警信息無高風險告警事件2管理控制臺SQL數(shù)據(jù)庫正常運行異常處理記錄記錄：1、如發(fā)現(xiàn) Windows系統(tǒng)下MSSQL Slammer蠕蟲攻擊，則需定位目標主機和攻擊源地址情況，可能是內(nèi)網(wǎng)中存在大量蠕蟲病毒，建議殺毒處理。四、運維檢查記錄表五、運維報告（月報）綠盟入侵檢測系統(tǒng)（IDS）11月沒有高危事件產(chǎn)生，產(chǎn)生中危事件17048次，一般連接性事件19450次。下面是產(chǎn)生的安全事件餅狀圖。IDS報警事件級別對比餅狀圖中級安全事件特征分類圖IDS系統(tǒng)報警事件數(shù)量對比直方圖中危事件分類表：序號中危事件類型發(fā)生次數(shù)源地址產(chǎn)生原因1SCAN_UDP端口掃描23正常事件2TCP_MS-Windows_終端服務(wù)連接請求29192.168.27.16管理員進行遠程操作造成，此事件為正