返回
入侵检测管理(20130528)

入侵检测管理(20130528)

ID:13340259

大小:132.71 KB

页数:6页

时间:2018-07-22

入侵检测管理(20130528)_第1页
入侵检测管理(20130528)_第2页
入侵检测管理(20130528)_第3页
入侵检测管理(20130528)_第4页
入侵检测管理(20130528)_第5页
资源描述:

《入侵检测管理(20130528)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、入侵检测运行维护管理1职责1)入侵检测系统管理员11)负责对入侵检测系统发现的恶意攻击行为进行跟踪处理;2)负责提出入侵防范措施;3)负责验证入侵防范措施的可行性、有效性;4)负责入侵检测系统的管理、更新和事件库备份、升级;5)负责密切关注、及时收集最新网络攻击行为的发生、发展情况,关注和追踪业界公布的攻击事件。2)入侵检测系统管理员21)负责正确配置入侵检测策略,以充分利用入侵检测系统的处理能力;2)负责入侵检测结果评估与加固方案评审。3)审计员1)对系统管理员的操作行为进行审计。4)管理者1)规划入侵检测管理策略并不断完善;2)

2、制定用户职责,明确系统管理员;3)批准入侵检测配置;4)批准入侵防范措施。2管理要求1)入侵检测范围至少部署到网络安全边界处、重要服务器区。--入侵检测系统的部署位置应能正确检测到被保护网络的数据流量,并能抓取含有足够信息的IP包,如:MAC地址、IP地址等;--应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;--应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;1)入侵检测配

3、置管理应根据具体的网络情况为入侵检测系统选择、配置适当的检测策略,充分利用系统的能力。配置文件修改、审批后策略生效。配置文件应备份。入侵检测系统应尽量与防火墙联动,充分发挥系统的潜力。管理要点:Ø根据需要,记录当前网络环境,定义入侵检测接口;Ø定义入侵检测系统要保护的网络对象(网络或主机);Ø定义检测策略,阻断级别和事件报警;Ø备份配置,安装到网络当中;Ø定义管理员清单和管理权限;Ø测试入侵检测系统性能,做好网管资料。入侵检测之网络安全:1)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;2)审计记录应包括:事件

4、的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;3)应能够根据记录数据进行分析,并生成审计报表(一周内至少审计一次日志报表);4)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;5)应定义审计跟踪极限的阈值,当存储空间接近极限时,能采取必要的措施,当存储空间被耗尽时,终止可审计事件的发生;6)应根据信息系统的统一安全策略,实现集中审计,时钟保持与时钟服务器同步。入侵检测之主机安全:1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;2)审计内容应包括重要用户行为、系统资源的异常使用和重

5、要系统命令的使用等系统内重要的安全相关事件;3)审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;4)应能够根据记录数据进行分析,并生成审计报表;5)应保护审计进程,避免受到未预期的中断;6)应保护审计记录,避免受到未预期的删除、修改或覆盖等;7)应能够根据信息系统的统一安全策略,实现集中审计。1)用户管理1)应对登录入侵检测系统的用户进行身份鉴别;2)应对入侵检测系统的管理员登录地址进行限制;3)入侵检测系统用户的标识应唯一;4)入侵检测系统用户的口令应有复杂度要求并定期更换;5)应具有登录失败处理功能,可采取结束

6、会话、限制非法登录次数和当网络登录连接超时自动退出等措施;6)当对入侵检测系统进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听(应采用SSH,HTTPS等加密协议,不应使用明文传送的Telnet服务);7)应实现特权用户的权限分离,根据不同角色分配完成其任务的最小权限。如安全策略管理与实际操作员权限分离:用户管理员、安全策略管理(功能配置与修订)、系统操作员等。2)入侵防范1)检测、报警分析与处理每天定时(每日至少2次,9点、17点)查看告警信息。A如果出现高风险事件(如DDOS攻击、缓冲区漏洞攻击等入侵行为事件)

7、,按照以下步骤处理:通知防火墙安全管理员,查看防火墙日志,是否对该攻击行为已自动进行阻断:Ø如防火墙已进行了阻断:组织系统管理员、网络管理员,定位攻击源IP。源攻击IP定位后,安排相关技术人员处理该IP机器,查明该IP机器发起攻击的原因。对该IP机器处理后,形成报告并送阅主管领导,如需要,可报安全管理处备案。Ø如防火墙未对该攻击进行阻断:除通过防火墙紧急手工阻断该连接会话外,可初步判断为入侵事件成功,需紧急启动入侵事件预案程序。B当入侵检测设备出现告警或工作不正常,已经引起网络拥塞或网络瘫痪等重大安全事件时,应立即启动紧急响应程序

8、,对网络进行紧急处理,堵塞攻击入口,恢复网络的正常运行,并追查攻击来源,及时上报。C对涉及特殊网络对象进行检测和紧急事件发生的处理。要有针对性的把有关领导的主机、信息发布类型的主机(如WEB,MAIL系统)、重要数据类型的主机(如财

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。