入侵检测运维指南

1、精选优质文档-倾情为你奉上入侵检测设备运维指南V1.00专心-专注-专业修 改 记 录时间版本修改内容一、每日例行维护1、系统管理员职责 为保证入侵检测设备的正常运行，系统管理员需要在每日对设备进行例行检查。 系统管理员每日在上班后，在入侵检测管理程序主界面查看“显示中心、网络引擎”是否处于连接状态，确保“综合显示中心”窗口已打开。 若“网络引擎”处于断开状态，需要检查入侵检测设备面板上的通讯端口的指示灯是否为绿色，如果通讯端口指示灯熄灭，通知网络管理员，配合查看交换机与入侵检测设备通讯口之间的端口链路是否正常。 如交换机及线路都正常的情况下，重启入侵检测引擎。 如果还存在问题请及时电话联系厂

2、商工程师。 查看设备面板抓包口的指示灯状态，网络接口指示灯正常情况下是绿色；如果工作端口出现接口灯不亮的情况下，需要及时通知网络管理员，配合查看交换机与入侵检测设备抓包口之间的端口链路是否正常。 如交换机及线路都正常的情况下，重启入侵检测引擎。 如果还存在问题请及时电话联系厂商工程师。2、安全员职责n 安全员每天定时（每日至少2次，9点、17点）查看综合显示中心的告警信息。n 如果出现高风险事件（如DDOS攻击、缓冲区漏洞攻击等入侵行为事件），按照以下步骤处理： 通知防火墙安全管理员，查看防火墙日志，是否对该攻击行为已自动进行阻断。 如已进行了阻断，组织系统管理员、网络管理员，定位攻击源IP。

3、 源攻击IP定位后，安排相关技术人员处理该IP机器，查明该IP机器发起攻击的原因。 对该IP机器处理后，形成报告并送阅主管领导，如需要，可报安全管理处备案。 如防火墙未对该攻击进行阻断，除通过防火墙紧急手工阻断该连接会话外，可初步判断为入侵事件成功，需紧急启动入侵事件预案程序。n 每天对运行入侵检测控制台的PC服务器进行运行状态进行检查，确保PC服务器上SQL SERVER数据处于正常运行状态。n 如SQL SERVER服务运行状态不正常，重启SQL服务或服务器。n 对于无法解决的故障或者问题，及时通知厂商技术人员。二、周期性维护工作在入侵检测设备的运行过程中，需要定期对设备进行维护。1、系统

4、管理员职责 系统管理员每周需要通过互联网络从启明星辰公司的网站上下载最新的事件库进行手动升级。 在升级完成后，生成最新的策略文件，并将策略文件下发到网络引擎。 系统管理员每周对入侵检测设备的升级及变动情况进行汇总，形成报告后，提交主管领导。 系统管理员每月对入侵检测设备的升级及变动情况进行汇总，形成报告后，提交主管领导。2、安全管理员职责 安全员应定期登陆系统（每周一次），查询本周系统日志，通过报表工具对出现的高级的告警信息统计汇总，并形成报告，送阅主管领导。 安全管理员在每个日志备份周期到期的后一天应查看日志的自动备份工作是否正常。 如果出现不正常的情况，应及时对日志进行手动备份，并查找无法

5、自动备份的原因，是否是由于磁盘空间不足无法备份。 如果不是由于磁盘空间不足造成，则有可能是由于PC服务器时间运行造成日志服务器相关进程异常造成的，需要重启日志服务器。 安全员应每月通过报表工具对出现的高级的告警信息统计汇总，分析后形成报告，送阅主管领导。3、审计员职责 审计员应定期查看审计日志，每月查询所有系统管理员的操作行为，记录并形成报告，送阅相关领导。三、不定期维护工作 安全系统管理员在对策略文件进行修改后，需要将需改后的策略下发到网络引擎，以使修改后的策略生效。安全产品（入侵检测）周常检查记录单设备名称（ ）入侵检测系统管理员检查日期安全管理员检查内容（系统管理员）序号检查项正常值正常

6、不正常处理办法1显示中心网络引擎已连接2综合显示中心已打开3抓包口绿色4通讯端口绿色故障处理记录记录：1、网络引擎无法正常工作，显示为黄色，提示TIOD进程无法启动，需要确认系统时间是否有变更或者在系统控制菜单里重启系统引擎即可。检查内容（安全管理员）序号检查项正常值正常不正常处理办法1告警信息无高风险告警事件2管理控制台SQL数据库正常运行异常处理记录记录：1、如发现 Windows系统下MSSQL Slammer蠕虫攻击，则需定位目标主机和攻击源地址情况，可能是内网中存在大量蠕虫病毒，建议杀毒处理。四、运维检查记录表五、运维报告（月报）绿盟入侵检测系统（IDS）11月没有高危事件产生，产生中危事件17048次，一般连接性事件19450次。下面是产生的安全事件饼状图。IDS报警事件级别对比饼状图中级安全事件特征分类图IDS系统报警事件数量对比直方图中危事件分类表：序号中危事件类型发生次数源地址产生原因1SCAN_UDP端口扫描23正常事件2TCP_MS-Windows_终端服务连接请求29192.168.27.16管理员进行远程操作造成，此事件为正