入侵檢測運(yùn)維指南

1、v1.0可編輯可修改入侵檢測設(shè)備運(yùn)維指南1v1.0可編輯可修改修改記錄時間版本修改內(nèi)容iv1.0可編輯可修改一、每日例行維護(hù)1、系統(tǒng)管理員職責(zé)為保證入侵檢測設(shè)備的正常運(yùn)行，系統(tǒng)管理員需要在每日對設(shè)備進(jìn)行例 行檢查。系統(tǒng)管理員每日在上班后，在入侵檢測管理程序主界面查看”顯示 中心、網(wǎng)絡(luò)引擎”是否處于連接狀態(tài)，確?！本C合顯示中心”窗口 已打開。若“網(wǎng)絡(luò)引擎”處于斷開狀態(tài)，需要檢查入侵檢測設(shè)備面板上的通 訊端口的指示燈是否為綠色，如果通訊端口指示燈熄滅，通知網(wǎng)絡(luò) 管理員，配合查看交換機(jī)與入侵檢測設(shè)備通訊口之間的端口鏈路是 否正常。如交換機(jī)及線路都正常的情況下，重啟入侵檢測引擎。如果還存在問題請及時電

2、話聯(lián)系廠商工程師。查看設(shè)備面板抓包口的指示燈狀態(tài)，網(wǎng)絡(luò)接口指示燈正常情況下是 綠色；如果工作端口出現(xiàn)接口燈不亮的情況下，需要及時通知網(wǎng)絡(luò) 管理員，配合查看交換機(jī)與入侵檢測設(shè)備抓包口之間的端口鏈路是 否正常。如交換機(jī)及線路都正常的情況下，重啟入侵檢測引擎。如果還存在問題請及時電話聯(lián)系廠商工程師。2、安全員職責(zé)安全員每天定時（每日至少2次，9點(diǎn)、17點(diǎn)）查看綜合顯示中心的告 警信息。如果出現(xiàn)高風(fēng)險(xiǎn)事件（如DDO敵擊、緩沖區(qū)漏洞攻擊等入侵行為事件） 按照以下步驟處理：通知防火墻安全管理員，查看防火墻日志，是否對該攻擊行為已自 動進(jìn)行阻斷。如已進(jìn)行了阻斷，組織系統(tǒng)管理員、網(wǎng)絡(luò)管理員，定位攻擊源IP。源

3、攻擊IP定位后，安排相關(guān)技術(shù)人員處理該IP機(jī)器，查明該IP機(jī) 器發(fā)起攻擊的原因。對該IP機(jī)器處理后，形成報(bào)告并送閱主管領(lǐng)導(dǎo)，如需要，可報(bào)安全 管理處備案。如防火墻未對該攻擊進(jìn)行阻斷，除通過防火墻緊急手工阻斷該連接 會話外，可初步判斷為入侵事件成功，需緊急啟動入侵事件預(yù)案程 序。每天對運(yùn)行入侵檢測控制臺的 PC服務(wù)器進(jìn)行運(yùn)行狀態(tài)進(jìn)行檢查，確保 PC服務(wù)器上SQL SERVER據(jù)處于正常運(yùn)行狀態(tài)。如SQL SERVER務(wù)運(yùn)行狀態(tài)不正常，重啟 SQL務(wù)或服務(wù)器。對于無法解決的故障或者問題，及時通知廠商技術(shù)人員。、周期性維護(hù)工作在入侵檢測設(shè)備的運(yùn)行過程中，需要定期對設(shè)備進(jìn)行維護(hù)。1、系統(tǒng)管理員職責(zé)系統(tǒng)

4、管理員每周需要通過互聯(lián)網(wǎng)絡(luò)從啟明星辰公司的網(wǎng)站上下載最 新的事件庫進(jìn)行手動升級。在升級完成后，生成最新的策略文件，并將策略文件下發(fā)到網(wǎng)絡(luò)引 擎。系統(tǒng)管理員每周對入侵檢測設(shè)備的升級及變動情況進(jìn)行匯總，形成報(bào)告后，提交主管領(lǐng)導(dǎo)。系統(tǒng)管理員每月對入侵檢測設(shè)備的升級及變動情況進(jìn)行匯總，形成報(bào)告后，提交主管領(lǐng)導(dǎo)。2、安全管理員職責(zé)安全員應(yīng)定期登陸系統(tǒng)（每周一次），查詢本周系統(tǒng)日志，通過報(bào)表 工具對出現(xiàn)的高級的告警信息統(tǒng)計(jì)匯總，并形成報(bào)告，送閱主管領(lǐng)導(dǎo)。安全管理員在每個日志備份周期到期的后一天應(yīng)查看日志的自動備份工作是否正常。如果出現(xiàn)不正常的情況，應(yīng)及時對日志進(jìn)行手動備份，并查找無法自動備份的原因，是否是

5、由于磁盤空間不足無法備份。如果不是由于磁盤空間不足造成，則有可能是由于PC服務(wù)器時間運(yùn)行造成日志服務(wù)器相關(guān)進(jìn)程異常造成的，需要重啟日志服務(wù)器。安全員應(yīng)每月通過報(bào)表工具對出現(xiàn)的高級的告警信息統(tǒng)計(jì)匯總，分析后形成報(bào)告，送閱主管領(lǐng)導(dǎo)。3、審計(jì)員職責(zé)審計(jì)員應(yīng)定期查看審計(jì)日志，每月查詢所有系統(tǒng)管理員的操作行為， 記錄并形成報(bào)告，送閱相關(guān)領(lǐng)導(dǎo)。三、不定期維護(hù)工作安全系統(tǒng)管理員在對策略文件進(jìn)行修改后，需要將需改后的策略下發(fā)到網(wǎng)絡(luò)引擎，以使修改后的策略生效。3v1.0可編輯可修改安全產(chǎn)品（入侵檢測）周常檢查記錄單設(shè)備名稱（）入侵檢測系統(tǒng)管理員檢查日期安全管理員檢查內(nèi)谷（系統(tǒng)營埋員）序號檢查項(xiàng)正常值正常/、止常

6、處理辦法1顯示中心網(wǎng)絡(luò)引擎已連接2綜合顯示中心已打開3抓包口綠色4通訊端口綠色故障處理記錄記錄：1、網(wǎng)絡(luò)引擎無法正常工作，顯示為黃色，提示TIOD進(jìn)程無法啟動，需要確認(rèn)系統(tǒng)時間是否有受更或者在系統(tǒng)控制菜單里重啟系統(tǒng)引擎即可。檢查內(nèi)容（安全管理員）序號檢查項(xiàng)正常值正常不止常處理辦法1告警信息無局風(fēng)險(xiǎn)告警事件2管理控制臺SQL數(shù)據(jù)庫正常運(yùn)行異常處理記錄記錄：1、如發(fā)現(xiàn) Windows系統(tǒng)下MSSQL Slammer蠕蟲攻擊，則需定位目標(biāo)主機(jī)和攻擊源地 址情況，可能是內(nèi)網(wǎng)中存在大量蠕蟲病毒，建議殺毒處理。四、運(yùn)維檢查記錄表#v1.0可編輯可修改五、運(yùn)維報(bào)告（月報(bào)）綠盟入侵檢測系統(tǒng)（IDS） 11月沒

7、有高危事件產(chǎn)生，產(chǎn)生中危事件17048次,般連接性事件19450次。卜面是產(chǎn)生的安全事件餅狀圖o3IDS報(bào)警事件級別對比餅狀圖中級安全事件特征分類圖2000010000120008000 捆家 40000TT>?_題住稽樣一薪碓H匚用戶蜜芽酒曳>OS_1DT_FLO 口L榨鞭用纖SCJI.UDFC 門底nimTJi 憔TCP. Is-Wi 0 dor上畸慝務(wù)卑度請點(diǎn)TCP.1ST總嘴照m拾威以DQS.snr.FiflOJ,蘇Ewomr 口）了_薄喀味得_15口=解廝期和囂曲根115_17國世沖冥IDS系統(tǒng)報(bào)警事件數(shù)量對比直方圖中危事件分類表:廳P中危事件類型發(fā)生次數(shù)源地址產(chǎn)生原因1SCAN_UDP 口掃描23正常事件2TCP_MS-Wi