文档介绍:Corporation standardization office #QS8QHH-HHGX8Q8-GNHHJ8
信息系统安全监测与报警规定
某某石油管理局企业标准
信息系统安全监测与报警规定
1总则
为了保证网络稳定和主机高效正常运行;使管理员能够预先或及时发现问题并采取相关措施进行预防和维护;使系统达到稳定。根据《中华人民共和国信息安全保护条例》等有关国家规范,制定本规范,工作人员必须遵守该规范。
2适用范围
网络监测的主要功能包括主机资源监控、网络监控(分析网络在使用高峰期间的负载承受能力,提供Web访问者 的相关信息),监测服务器,网络设备,以及应用系统的使用状态,故障收集并且在故障出现时启动报警系统,通知技术人员及时赶赴现场排除故障。
3规范解释权
某某油田信息安全管理中心对《某某油田管理局信息系统安全监测与报警规范》具有解释权。
4术语定义
入侵检测系统(IDS)是防止计算机和网络系统遭受攻击的重要组件,利用入侵留下的痕迹,如试图登陆的失败记录等信息来有效的发现来自外部或内部的非法入侵的技术。它以探测与控制为技术本质,起着主动防御的作用,是网络安全中极其重要的部分
5选购网络监测产品要求:
必须通过了国家权威机构的评测。
网络监测的特征库必须不断更新才能检测出新出现的攻击方法(特征库必须能够升级)。
根据网络入侵检测系统所布署的网络环境,选择最大可处理流量。
尽量保证产品不容易被躲避(有些常用的躲开入侵检测的方法,如:分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等)。
系统必须支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理,应当符合油田应用需求;保证产品的可伸缩性。
保证产品支持的入侵特征数。
要从本地、远程等多个角度考察产品的响应方法,选择适合管理局的产品,尽可能避免自动配置功能。
尽量保证产品报表结构合理,方便处理误报,方便事件与日志查询以及使用该系统所需的技术人员数量合理。
6监控管理人员要求
仔细配置设备,来减少误报警。
在网络事故发生频繁的时间内,必须使用人工的入侵响应,便于进行入侵统计分析。
把与事件相关的数据记录下来,以后可生成报告或回放。
如果有必要,切断连接,避免更大的损失。
检测器必须放在防火墙附近。
管理员必须明确设置攻击时间的优先级,确保良好的误报警管理。
管理员必须有层层探究的能力,关联分析的能力,能对攻击事件给信息中心提供一个好的报告。
管理员必须根据实际情况,设置实时检测或者时间间隔扫描系统。
为网络监测系统建立相应规则,使之能够准确监测网络攻击。
7网络监测操作要求
视系统的运行状况,查找非法用户和合法用户的越权操作。
检测系统的正确性和安全漏洞,提示管理条例修补漏洞。
对用户的非