入侵檢測管理制度

入侵檢測管理制度文檔信息文檔名稱入侵檢測管理制度文檔管理編號保密級別文檔版本號制作人制作日期復(fù)審人復(fù)審日期擴(kuò)散范圍擴(kuò)散批準(zhǔn)人適用范圍本文檔是公司提供，用于指導(dǎo)公司入侵檢測及告警事件處理等工作。版本變更記錄目錄TOC\o"1-5"\h\z概述 1\o"CurrentDocument"入侵檢測系統(tǒng)管理 2\o"CurrentDocument"2.1入侵檢測系統(tǒng)管理員職責(zé) 2\o"CurrentDocument"2.2入侵檢測系統(tǒng)運(yùn)維管理 2\o"CurrentDocument"安全事件處置及分發(fā) 3\o"CurrentDocument"3.1一般安全事件處理 3\o"CurrentDocument"事件分發(fā) 3\o"CurrentDocument"3.1.2事件結(jié)果發(fā)布 3\o"CurrentDocument"3.2較大安全事件處理 3事件分發(fā) 33.2.2事件結(jié)果發(fā)布 4\o"CurrentDocument"3.3重大安全事件處理 4事件分發(fā) 4事件結(jié)果發(fā)布 4\o"CurrentDocument"附錄A相關(guān)資料 1概述本管理制度為公司入侵檢測系統(tǒng)制定運(yùn)維管理規(guī)范。指定專職人員負(fù)責(zé)入侵檢測系統(tǒng)管理。定期查看入侵檢測系統(tǒng)觸發(fā)的告警事件，及時按照相關(guān)流程處理告警事件。完成并提交相關(guān)報告。本管理制度為入侵檢測告警事件提供處理流程，告警事件依據(jù)高中底級別進(jìn)行分類處理。二.入侵檢測系統(tǒng)管理2.1入侵檢測系統(tǒng)管理員職責(zé)恪守職業(yè)道德，嚴(yán)守企業(yè)秘密；熟悉國家安全生產(chǎn)法以及有關(guān)通信管理的相關(guān)規(guī)程；負(fù)責(zé)入侵檢測系統(tǒng)的管理、更新和事件庫備份、升級；負(fù)責(zé)對入侵檢測系統(tǒng)發(fā)現(xiàn)的惡意攻擊行為進(jìn)行跟蹤處理；根據(jù)網(wǎng)絡(luò)實(shí)際情況正確配置入侵檢測策略，充分利用入侵檢測系統(tǒng)的處理能力；遵守入侵檢測設(shè)備各項(xiàng)管理規(guī)范；負(fù)責(zé)撰寫并提交入侵檢測的相關(guān)報告。2.2入侵檢測系統(tǒng)運(yùn)維管理入侵檢測系統(tǒng)管理員每天查看入侵檢測系統(tǒng)告警事件，如有高中事件按照高中告警事件處理流程處理；入侵檢測系統(tǒng)管理員每周五完成每周一次的《入侵檢測系統(tǒng)周報》，包括入侵檢測設(shè)備的運(yùn)行狀況和日志分析等，并提交相關(guān)負(fù)責(zé)人；每月定期安裝、更新廠家發(fā)布的入侵檢測設(shè)備補(bǔ)丁程序（包括事件庫）；入侵檢測設(shè)備安全規(guī)則設(shè)置、更改的授權(quán)、審批依據(jù)《入侵檢測設(shè)備配置變更審批表》（參見附表2）進(jìn)行；入侵檢測設(shè)備安全規(guī)則的設(shè)置、更改，應(yīng)該得到信息系統(tǒng)運(yùn)行管理部門負(fù)責(zé)人的批準(zhǔn)，由入侵檢測系統(tǒng)管理員具體負(fù)責(zé)實(shí)施。三.安全事件處置及分發(fā)當(dāng)運(yùn)維中心發(fā)現(xiàn)安全事件或從其他地方獲取安全事件時，應(yīng)根據(jù)事件對系統(tǒng)造成的影響，結(jié)合具體情況對相應(yīng)的安全事件進(jìn)行分類分級處理，常將安全事件分為一般、較大和重大三個等級進(jìn)行處理，同時還需要及時將信息分發(fā)給所有相關(guān)人員配合處理。3.1—般安全事件處理一般安全事件處理應(yīng)由運(yùn)維中心按照常規(guī)方式處理，即首先由安全監(jiān)控組受理安全事件，并初步分析處理，由安全服務(wù)組和系統(tǒng)管理員提供支持，直到問題的解決。3.1.1事件分發(fā)當(dāng)安全監(jiān)控組發(fā)現(xiàn)安全事件或受理安全事件時，應(yīng)初步判斷安全事件影響的系統(tǒng)及范圍，并上報安全運(yùn)維中心負(fù)責(zé)人知曉，同時應(yīng)及時電話、郵件或短信的方式告知受影響的系統(tǒng)管理人員，并配合處理。3.1.2事件結(jié)果發(fā)布安全事件的處理結(jié)果應(yīng)在處理完后及時發(fā)布，事件中涉及的所有人員都是發(fā)布對象，需要相關(guān)各方對事件結(jié)果進(jìn)行責(zé)任確認(rèn)。安全事件發(fā)布方式包括電子郵件發(fā)布、內(nèi)部論壇發(fā)布等，并且定期匯總。3.2較大安全事件處理當(dāng)IDS上發(fā)生較多高中告警事件，相關(guān)業(yè)務(wù)系統(tǒng)服務(wù)受到影響，確認(rèn)為較大安全事件。較大安全事件應(yīng)由安全服務(wù)組和相關(guān)系統(tǒng)管理員受理并處理，由應(yīng)急響應(yīng)小組提供二線支持工作，直到問題的解決。3.2.1事件分發(fā)相關(guān)人員處理安全事件，應(yīng)及時上報運(yùn)維負(fù)責(zé)人知曉，同時應(yīng)及時電話、郵件或短信的方式告知受影響的系統(tǒng)管理人員，還應(yīng)當(dāng)及時向應(yīng)急響應(yīng)小組處理進(jìn)展。3.2.2事件結(jié)果發(fā)布安全事件的處理結(jié)果應(yīng)在處理完后及時發(fā)布，事件中涉及的所有責(zé)任人都是發(fā)布對象，需要相關(guān)各方對事件結(jié)果進(jìn)行責(zé)任確認(rèn)。安全事件發(fā)布方式包括電子郵件發(fā)布、公文發(fā)布等，并且定期匯總。3.3重大安全事件處理當(dāng)入侵檢測設(shè)備出現(xiàn)大量告警，已經(jīng)引起網(wǎng)絡(luò)擁塞或網(wǎng)絡(luò)癱瘓等重大安全事件時，應(yīng)立即啟動緊急響應(yīng)程序。由應(yīng)急響應(yīng)小組牽頭處理采取相應(yīng)措施，對網(wǎng)絡(luò)進(jìn)行緊急處理，如通過防火墻封禁相關(guān)源地址等，恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行，并追查攻擊來源，及時上報。3?3?1事件分發(fā)應(yīng)及時電話、郵件或短信的方式向應(yīng)急響應(yīng)小組報告，隨后將紙質(zhì)報告報應(yīng)急響應(yīng)小組，并將有關(guān)材料一起報上級安全領(lǐng)導(dǎo)小組。同時還應(yīng)及時電話、郵件或短信的方式告知受影響的系統(tǒng)管理人員，應(yīng)急響應(yīng)小組聯(lián)調(diào)處理事件。3.3.2事件結(jié)果發(fā)布安全事件的處理結(jié)果應(yīng)在處理完后及時發(fā)布，事件中涉及的所有責(zé)任人都是發(fā)布對象，需要相關(guān)各方對事件結(jié)果進(jìn)行責(zé)任確認(rèn)。安全事件發(fā)布方式包括電子郵件發(fā)布、公文發(fā)布等，并且定期匯總。附錄入相關(guān)資料附件1入侵檢測系統(tǒng)月報