入侵检测管理制度

入侵检测管理制度文档信息文档名称入侵检测管理制度文档管理编号保密级别文档版本号制作人制作日期复审人复审日期扩散范围扩散批准人适用范围本文档是公司提供，用于指导公司入侵检测及告警事件处理等工作。版本变更记录目录TOC\o"1-5"\h\z概述 1\o"CurrentDocument"入侵检测系统管理 2\o"CurrentDocument"2.1入侵检测系统管理员职责 2\o"CurrentDocument"2.2入侵检测系统运维管理 2\o"CurrentDocument"安全事件处置及分发 3\o"CurrentDocument"3.1一般安全事件处理 3\o"CurrentDocument"事件分发 3\o"CurrentDocument"3.1.2事件结果发布 3\o"CurrentDocument"3.2较大安全事件处理 3事件分发 33.2.2事件结果发布 4\o"CurrentDocument"3.3重大安全事件处理 4事件分发 4事件结果发布 4\o"CurrentDocument"附录A相关资料 1概述本管理制度为公司入侵检测系统制定运维管理规范。指定专职人员负责入侵检测系统管理。定期查看入侵检测系统触发的告警事件，及时按照相关流程处理告警事件。完成并提交相关报告。本管理制度为入侵检测告警事件提供处理流程，告警事件依据高中底级别进行分类处理。二.入侵检测系统管理2.1入侵检测系统管理员职责恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关通信管理的相关规程；负责入侵检测系统的管理、更新和事件库备份、升级；负责对入侵检测系统发现的恶意攻击行为进行跟踪处理；根据网络实际情况正确配置入侵检测策略，充分利用入侵检测系统的处理能力；遵守入侵检测设备各项管理规范；负责撰写并提交入侵检测的相关报告。2.2入侵检测系统运维管理入侵检测系统管理员每天查看入侵检测系统告警事件，如有高中事件按照高中告警事件处理流程处理；入侵检测系统管理员每周五完成每周一次的《入侵检测系统周报》，包括入侵检测设备的运行状况和日志分析等，并提交相关负责人；每月定期安装、更新厂家发布的入侵检测设备补丁程序（包括事件库）；入侵检测设备安全规则设置、更改的授权、审批依据《入侵检测设备配置变更审批表》（参见附表2）进行；入侵检测设备安全规则的设置、更改，应该得到信息系统运行管理部门负责人的批准，由入侵检测系统管理员具体负责实施。三.安全事件处置及分发当运维中心发现安全事件或从其他地方获取安全事件时，应根据事件对系统造成的影响，结合具体情况对相应的安全事件进行分类分级处理，常将安全事件分为一般、较大和重大三个等级进行处理，同时还需要及时将信息分发给所有相关人员配合处理。3.1—般安全事件处理一般安全事件处理应由运维中心按照常规方式处理，即首先由安全监控组受理安全事件，并初步分析处理，由安全服务组和系统管理员提供支持，直到问题的解决。3.1.1事件分发当安全监控组发现安全事件或受理安全事件时，应初步判断安全事件影响的系统及范围，并上报安全运维中心负责人知晓，同时应及时电话、邮件或短信的方式告知受影响的系统管理人员，并配合处理。3.1.2事件结果发布安全事件的处理结果应在处理完后及时发布，事件中涉及的所有人员都是发布对象，需要相关各方对事件结果进行责任确认。安全事件发布方式包括电子邮件发布、内部论坛发布等，并且定期汇总。3.2较大安全事件处理当IDS上发生较多高中告警事件，相关业务系统服务受到影响，确认为较大安全事件。较大安全事件应由安全服务组和相关系统管理员受理并处理，由应急响应小组提供二线支持工作，直到问题的解决。3.2.1事件分发相关人员处理安全事件，应及时上报运维负责人知晓，同时应及时电话、邮件或短信的方式告知受影响的系统管理人员，还应当及时向应急响应小组处理进展。3.2.2事件结果发布安全事件的处理结果应在处理完后及时发布，事件中涉及的所有责任人都是发布对象，需要相关各方对事件结果进行责任确认。安全事件发布方式包括电子邮件发布、公文发布等，并且定期汇总。3.3重大安全事件处理当入侵检测设备出现大量告警，已经引起网络拥塞或网络瘫痪等重大安全事件时，应立即启动紧急响应程序。由应急响应小组牵头处理采取相应措施，对网络进行紧急处理，如通过防火墙封禁相关源地址等，恢复网络的正常运行，并追查攻击来源，及时上报。3・3・1事件分发应及时电话、邮件或短信的方式向应急响应小组报告，随后将纸质报告报应急响应小组，并将有关材料一起报上级安全领导小组。同时还应及时电话、邮件或短信的方式告知受影响的系统管理人员，应急响应小组联调处理事件。3.3.2事件结果发布安全事件的处理结果应在处理完后及时发布，事件中涉及的所有责任人都是发布对象，需要相关各方对事件结果进行责任确认。安全事件发布方式包括电子邮件发布、公文发布等，并且定期汇总。附录入相关资料附件1入侵检测系统月报