入侵檢測管理(20130528)

1、入侵檢測運行維護管理1 職責1) 入侵檢測系統(tǒng)管理員11) 負責對入侵檢測系統(tǒng)發(fā)現(xiàn)的惡意攻擊行為進行跟蹤處理；2) 負責提出入侵防范措施；3) 負責驗證入侵防范措施的可行性、有效性；4) 負責入侵檢測系統(tǒng)的管理、更新和事件庫備份、升級；5) 負責密切關(guān)注、及時收集最新網(wǎng)絡攻擊行為的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的攻擊事件。2) 入侵檢測系統(tǒng)管理員21) 負責正確配置入侵檢測策略，以充分利用入侵檢測系統(tǒng)的處理能力；2) 負責入侵檢測結(jié)果評估與加固方案評審。3) 審計員1) 對系統(tǒng)管理員的操作行為進行審計。4) 管理者1) 規(guī)劃入侵檢測管理策略并不斷完善；2) 制定用戶職責，明確系統(tǒng)管理員；3

2、) 批準入侵檢測配置；4) 批準入侵防范措施。2 管理要求1) 入侵檢測范圍至少部署到網(wǎng)絡安全邊界處、重要服務器區(qū)。-入侵檢測系統(tǒng)的部署位置應能正確檢測到被保護網(wǎng)絡的數(shù)據(jù)流量，并能抓取含有足夠信息的IP包，如：MAC地址、IP地址等；-應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等； -應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；2) 入侵檢測配置管理應根據(jù)具體的網(wǎng)絡情況為入侵檢測系統(tǒng)選擇、配置適當?shù)臋z測策略，充分利用系統(tǒng)的能力。配

3、置文件修改、審批后策略生效。配置文件應備份。入侵檢測系統(tǒng)應盡量與防火墻聯(lián)動，充分發(fā)揮系統(tǒng)的潛力。管理要點：Ø 根據(jù)需要，記錄當前網(wǎng)絡環(huán)境，定義入侵檢測接口；Ø 定義入侵檢測系統(tǒng)要保護的網(wǎng)絡對象網(wǎng)絡或主機；Ø 定義檢測策略，阻斷級別和事件報警；Ø 備份配置，安裝到網(wǎng)絡當中；Ø 定義管理員清單和管理權(quán)限；Ø 測試入侵檢測系統(tǒng)性能，做好網(wǎng)管資料。入侵檢測之網(wǎng)絡安全：1) 應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄； 2) 審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息； 3) 應

4、能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表一周內(nèi)至少審計一次日志報表；4) 應對審計記錄進行保護，防止受到未預期的刪除、修改或覆蓋等； 5) 應定義審計跟蹤極限的閾值，當存儲空間接近極限時，能采取必要的措施，當存儲空間被耗盡時，終止可審計事件的發(fā)生； 6) 應根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計，時鐘保持與時鐘服務器同步。入侵檢測之主機安全：1) 審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶； 2) 審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件； 3) 審計記錄應包括日期和時間、類型、主體標識、客體標識、事件的結(jié)果等； 4

5、) 應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表； 5) 應保護審計進程，防止受到未預期的中斷； 6) 應保護審計記錄，防止受到未預期的刪除、修改或覆蓋等； 7) 應能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。 3) 用戶管理1) 應對登錄入侵檢測系統(tǒng)的用戶進行身份鑒別； 2) 應對入侵檢測系統(tǒng)的管理員登錄地址進行限制； 3) 入侵檢測系統(tǒng)用戶的標識應唯一； 4) 入侵檢測系統(tǒng)用戶的口令應有復雜度要求并定期更換； 5) 應具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施； 6) 當對入侵檢測系統(tǒng)進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被

6、竊聽(應采用SSH，HTTPS等加密協(xié)議，不應使用明文傳送的Telnet服務)； 7) 應實現(xiàn)特權(quán)用戶的權(quán)限別離,根據(jù)不同角色分配完成其任務的最小權(quán)限。如安全策略管理與實際操作員權(quán)限別離：用戶管理員、安全策略管理功能配置與修訂、系統(tǒng)操作員等。4) 入侵防范1) 檢測、報警分析與處理每天定時每日至少2次，9點、17點查看告警信息。A如果出現(xiàn)高風險事件如DDOS攻擊、緩沖區(qū)漏洞攻擊等入侵行為事件，按照以下步驟處理：通知防火墻安全管理員，查看防火墻日志，是否對該攻擊行為已自動進行阻斷：Ø 如防火墻已進行了阻斷：組織系統(tǒng)管理員、網(wǎng)絡管理員，定位攻擊源IP。源攻擊IP定位后，安排相關(guān)技術(shù)人員處

7、理該IP機器，查明該IP機器發(fā)起攻擊的原因。對該IP機器處理后，形成報告并送閱主管領(lǐng)導，如需要，可報安全管理處備案。Ø 如防火墻未對該攻擊進行阻斷：除通過防火墻緊急手工阻斷該連接會話外，可初步判斷為入侵事件成功，需緊急啟動入侵事件預案程序。B當入侵檢測設備出現(xiàn)告警或工作不正常，已經(jīng)引起網(wǎng)絡擁塞或網(wǎng)絡癱瘓等重大安全事件時，應立即啟動緊急響應程序，對網(wǎng)絡進行緊急處理，堵塞攻擊入口，恢復網(wǎng)絡的正常運行，并追查攻擊來源，及時上報。C對涉及特殊網(wǎng)絡對象進行檢測和緊急事件發(fā)生的處理。要有針對性的把有關(guān)領(lǐng)導的主機、信息發(fā)布類型的主機如WEB,MAIL系統(tǒng)、重要數(shù)據(jù)類型的主機如財務，OA系統(tǒng)作為受重

8、點保護的對象，綜合防火墻日志和漏洞掃描日志分析其安全性，一旦出現(xiàn)惡性事件可事先切斷物理鏈路，并及時上報，封鎖現(xiàn)場。2) 應對報警信息進行評估，對報警信息進行級別劃分處理：安全等級為高、中的必須處置，安全等級為低的可保持現(xiàn)狀，觀察其發(fā)展狀態(tài)。確定需處置的風險，及時制定安全加固方案和相應管理措施。【信息安全事件報告單】高風險1月內(nèi)完成處置，中風險的3月內(nèi)完成處置加固方案實施前應先經(jīng)過全面的測試，編寫相應的測試報告。經(jīng)審批后，方可實施。必須確保所有的變更，不影響業(yè)務的運行。3) 系統(tǒng)加固后，應驗證措施的有效性，核查加固后系統(tǒng)的安全性關(guān)注同類事件是否再次發(fā)生。如果仍存在安全問題，需按照以上入侵檢測流程

9、循環(huán)持續(xù)執(zhí)行。4) 應每月通過報表工具對出現(xiàn)的高級的告警信息統(tǒng)計匯總，分析后形成報告，送閱主管領(lǐng)導。5) 可追溯：入侵檢測過程的記錄存檔管理。6) 審計每月查詢所有系統(tǒng)管理員的操作行為，記錄并形成報告，送閱相關(guān)領(lǐng)導.7) 入侵檢測軟件維護1)日常維護系統(tǒng)管理員需要每日對設備進行例行檢查, 及時查看系統(tǒng)日志，對異常情況的發(fā)生，及時上報，并做好記錄，確保入侵檢測設備的正常運行。對于無法解決的故障或者問題，及時通知廠商技術(shù)人員。對入侵檢測設備的CPU和內(nèi)存利用率、報警次數(shù)等進行均時監(jiān)測、跟蹤工作，每周形成報表。在每個日志備份周期到期的后一天應查看日志的自動備份工作是否正常。如不正常，應及時對日志進行手動備份，并查找無法自動備份的原因。定期做好入侵檢測