入侵检测管理(20130528)2————————————————————————————————作者:————————————————————————————————日期:入侵检测运行维护管理1职责1)入侵检测系统管理员11)负责对入侵检测系统发现的恶意攻击行为进行跟踪处理;2)负责提出入侵防范措施;3)负责验证入侵防范措施的可行性、有效性;4)负责入侵检测系统的管理、更新和事件库备份、升级;5)负责密切关注、及时收集最新网络攻击行为的发生、发展情况,关注和追踪业界公布的攻击事件。2)入侵检测系统管理员21)负责正确配置入侵检测策略,以充分利用入侵检测系统的处理能力;2)负责入侵检测结果评估与加固方案评审。3)审计员1)对系统管理员的操作行为进行审计。4)管理者1)规划入侵检测管理策略并不断完善;2)制定用户职责,明确系统管理员;3)批准入侵检测配置;4)批准入侵防范措施。2管理要求1)入侵检测范围至少部署到网络安全边界处、重要服务器区。--入侵检测系统的部署位置应能正确检测到被保护网络的数据流量,并能抓取含有足够信息的IP包,如:MAC地址、IP地址等;--应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;--应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;2)入侵检测配置管理应根据具体的网络情况为入侵检测系统选择、配置适当的检测策略,充分利用系统的能力。配置文件修改、审批后策略生效。配置文件应备份。入侵检测系统应尽量与防火墙联动,充分发挥系统的潜力。管理要点:根据需要,记录当前网络环境,定义入侵检测接口;定义入侵检测系统要保护的网络对象(网络或主机);定义检测策略,阻断级别和事件报警;备份配置,安装到网络当中;定义管理员清单和管理权限;测试入侵检测系统性能,做好网管资料。入侵检测之网络安全:1)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;2)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;3)应能够根据记录数据进行分析,并生成审计报表(一周内至少审计一次日志报表);4)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;5)应定义审计跟踪极限的阈值,当存储空间接近极限时,能采取必要的措施,当存储空间被耗尽时,终止可审计事件的发生;6)应根据信息系统的统一安全策略,实现集中审计,时钟保持与时钟服务器同步。入侵检测之主机安全:1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;3)审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;4)应能够根据记录数据进行分析,并生成审计报表;5)应保护审计进程,避免受到未预期的中断;6)应保护审计记录,避免受到未预期的删除、修改或覆盖等;7)应能够根据信息系统的统一安全策略,实现集中审计。3)用户管理1)应对登录入侵检测系统的用户进行身份鉴别;2)应对入侵检测系统的管理员登录地址进行限制;3)入侵检测系统用户的标识应唯一;4)入侵检测系统用户的口令应有复杂度要求并定期更换;5)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;6)当对入侵检测系统进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听(应采用SSH,HTTPS等加密协议,不应使用明文传送的Telnet服务);7)应实现特权用户的权限分离,根据不同角色分配完成其任务的最小权限。如安全策略管理与实际操作员权限分离:用户管理员、安全策略管理(功能配置与修订)、系统操作员等。4)入侵防范1)检测、报警分析与处理每天定时(每日至少2次,9点、17点)查看告警信息。如果出现高风险事件(如DDOS攻击、缓冲区漏洞攻击等入侵行为事件),按照以下步骤处理:通知防火墙安全管理员,查看防火墙日志,是否对该攻击行为已自动进...