入侵檢測運(yùn)維指南WORD

1、文檔可能無法思考全面，請(qǐng)瀏覽后下載! 入侵檢測設(shè)備運(yùn)維指南V1.004 / 11修 改 記 錄時(shí)間版本修改內(nèi)容一、每日例行維護(hù)1、系統(tǒng)管理員職責(zé) 為保證入侵檢測設(shè)備的正常運(yùn)行，系統(tǒng)管理員需要在每日對(duì)設(shè)備進(jìn)行例行檢查。Ø 系統(tǒng)管理員每日在上班后，在入侵檢測管理程序主界面查看“顯示中心、網(wǎng)絡(luò)引擎”是否處于連接狀態(tài)，確?！熬C合顯示中心”窗口已打開。Ø 若“網(wǎng)絡(luò)引擎”處于斷開狀態(tài)，需要檢查入侵檢測設(shè)備面板上的通訊端口的指示燈是否為綠色，如果通訊端口指示燈熄滅，通知網(wǎng)絡(luò)管理員，配合查看交換機(jī)與入侵檢測設(shè)備通訊口之間的端口鏈路是否正常。Ø 如交換機(jī)及線路都正常的情況下，重啟入

2、侵檢測引擎。Ø 如果還存在問題請(qǐng)及時(shí)電話聯(lián)系廠商工程師。Ø 查看設(shè)備面板抓包口的指示燈狀態(tài)，網(wǎng)絡(luò)接口指示燈正常情況下是綠色；如果工作端口出現(xiàn)接口燈不亮的情況下，需要及時(shí)通知網(wǎng)絡(luò)管理員，配合查看交換機(jī)與入侵檢測設(shè)備抓包口之間的端口鏈路是否正常。Ø 如交換機(jī)及線路都正常的情況下，重啟入侵檢測引擎。Ø 如果還存在問題請(qǐng)及時(shí)電話聯(lián)系廠商工程師。2、安全員職責(zé)n 安全員每天定時(shí)（每日至少2次，9點(diǎn)、17點(diǎn)）查看綜合顯示中心的告警信息。n 如果出現(xiàn)高風(fēng)險(xiǎn)事件（如DDOS攻擊、緩沖區(qū)漏洞攻擊等入侵行為事件），按照以下步驟處理：Ø 通知防火墻安全管理員，查看防

3、火墻日志，是否對(duì)該攻擊行為已自動(dòng)進(jìn)行阻斷。Ø 如已進(jìn)行了阻斷，組織系統(tǒng)管理員、網(wǎng)絡(luò)管理員，定位攻擊源IP。Ø 源攻擊IP定位后，安排相關(guān)技術(shù)人員處理該IP機(jī)器，查明該IP機(jī)器發(fā)起攻擊的原因。Ø 對(duì)該IP機(jī)器處理后，形成報(bào)告并送閱主管領(lǐng)導(dǎo)，如需要，可報(bào)安全管理處備案。Ø 如防火墻未對(duì)該攻擊進(jìn)行阻斷，除通過防火墻緊急手工阻斷該連接會(huì)話外，可初步判斷為入侵事件成功，需緊急啟動(dòng)入侵事件預(yù)案程序。n 每天對(duì)運(yùn)行入侵檢測控制臺(tái)的PC服務(wù)器進(jìn)行運(yùn)行狀態(tài)進(jìn)行檢查，確保PC服務(wù)器上SQL SERVER數(shù)據(jù)處于正常運(yùn)行狀態(tài)。n 如SQL SERVER服務(wù)運(yùn)行狀態(tài)不正常，重啟

4、SQL服務(wù)或服務(wù)器。n 對(duì)于無法解決的故障或者問題，及時(shí)通知廠商技術(shù)人員。二、周期性維護(hù)工作在入侵檢測設(shè)備的運(yùn)行過程中，需要定期對(duì)設(shè)備進(jìn)行維護(hù)。1、系統(tǒng)管理員職責(zé)Ø 系統(tǒng)管理員每周需要通過互聯(lián)網(wǎng)絡(luò)從啟明星辰公司的網(wǎng)站上下載最新的事件庫進(jìn)行手動(dòng)升級(jí)。Ø 在升級(jí)完成后，生成最新的策略文件，并將策略文件下發(fā)到網(wǎng)絡(luò)引擎。Ø 系統(tǒng)管理員每周對(duì)入侵檢測設(shè)備的升級(jí)及變動(dòng)情況進(jìn)行匯總，形成報(bào)告后，提交主管領(lǐng)導(dǎo)。Ø 系統(tǒng)管理員每月對(duì)入侵檢測設(shè)備的升級(jí)及變動(dòng)情況進(jìn)行匯總，形成報(bào)告后，提交主管領(lǐng)導(dǎo)。2、安全管理員職責(zé)Ø 安全員應(yīng)定期登陸系統(tǒng)（每周一次），查詢本周系統(tǒng)

5、日志，通過報(bào)表工具對(duì)出現(xiàn)的高級(jí)的告警信息統(tǒng)計(jì)匯總，并形成報(bào)告，送閱主管領(lǐng)導(dǎo)。Ø 安全管理員在每個(gè)日志備份周期到期的后一天應(yīng)查看日志的自動(dòng)備份工作是否正常。Ø 如果出現(xiàn)不正常的情況，應(yīng)及時(shí)對(duì)日志進(jìn)行手動(dòng)備份，并查找無法自動(dòng)備份的原因，是否是由于磁盤空間不足無法備份。Ø 如果不是由于磁盤空間不足造成，則有可能是由于PC服務(wù)器時(shí)間運(yùn)行造成日志服務(wù)器相關(guān)進(jìn)程異常造成的，需要重啟日志服務(wù)器。Ø 安全員應(yīng)每月通過報(bào)表工具對(duì)出現(xiàn)的高級(jí)的告警信息統(tǒng)計(jì)匯總，分析后形成報(bào)告，送閱主管領(lǐng)導(dǎo)。3、審計(jì)員職責(zé)Ø 審計(jì)員應(yīng)定期查看審計(jì)日志，每月查詢所有系統(tǒng)管理員的操作行為

6、，記錄并形成報(bào)告，送閱相關(guān)領(lǐng)導(dǎo)。三、不定期維護(hù)工作Ø 安全系統(tǒng)管理員在對(duì)策略文件進(jìn)行修改后，需要將需改后的策略下發(fā)到網(wǎng)絡(luò)引擎，以使修改后的策略生效。安全產(chǎn)品（入侵檢測）周常檢查記錄單設(shè)備名稱（ ）入侵檢測系統(tǒng)管理員檢查日期安全管理員檢查內(nèi)容（系統(tǒng)管理員）序號(hào)檢查項(xiàng)正常值正常不正常處理辦法1顯示中心網(wǎng)絡(luò)引擎已連接2綜合顯示中心已打開3抓包口綠色4通訊端口綠色故障處理記錄記錄：1、網(wǎng)絡(luò)引擎無法正常工作，顯示為黃色，提示TIOD進(jìn)程無法啟動(dòng)，需要確認(rèn)系統(tǒng)時(shí)間是否有變更或者在系統(tǒng)控制菜單里重啟系統(tǒng)引擎即可。檢查內(nèi)容（安全管理員）序號(hào)檢查項(xiàng)正常值正常不正常處理辦法1告警信息無高風(fēng)險(xiǎn)告警事件2管

7、理控制臺(tái)SQL數(shù)據(jù)庫正常運(yùn)行異常處理記錄記錄：1、如發(fā)現(xiàn) Windows系統(tǒng)下MSSQL Slammer蠕蟲攻擊，則需定位目標(biāo)主機(jī)和攻擊源地址情況，可能是內(nèi)網(wǎng)中存在大量蠕蟲病毒，建議殺毒處理。四、運(yùn)維檢查記錄表五、運(yùn)維報(bào)告（月報(bào)）綠盟入侵檢測系統(tǒng)（IDS）11月沒有高危事件產(chǎn)生，產(chǎn)生中危事件17048次，一般連接性事件19450次。下面是產(chǎn)生的安全事件餅狀圖。IDS報(bào)警事件級(jí)別對(duì)比餅狀圖中級(jí)安全事件特征分類圖IDS系統(tǒng)報(bào)警事件數(shù)量對(duì)比直方圖中危事件分類表：序號(hào)中危事件類型發(fā)生次數(shù)源地址產(chǎn)生原因1SCAN_UDP端口掃描23正常事件2TCP_MS-Windows_終端服務(wù)連接請(qǐng)求29192.168.27.16管理員進(jìn)行遠(yuǎn)程操作造成，此事件為正常事件3DOS_ICMP_FLOO