信息系统安全监测与报警规范

某某石油管理局企业标准

信息系统安全监测与报警规定

1总则

为了保证网络稳定和主机高效正常运行；使管理员能够预先或及时发现问题并采取相关措施进行预防和维护；使系统达到稳定。根据《中华人民共和国信息安全保护条例》等有关国家规范，制定本规范，工作人员必须遵守该规范。

2适用范围

网络监测的主要功能包括主机资源监控、网络监控（分析网络在使用高峰期间的负载承受能力，提供Web访问者的相关信息），监测服务器，网络设备，以及应用系统的使用状态，故障收集并且在故障出现时启动报警系统，通知技术人员及时赶赴现场排除故障。

3规范解释权

某某油田信息安全管理中心对《某某油田管理局信息系统安全监测与报警规范》具有解释权。

4术语定义

入侵检测系统(IDS)是防止计算机和网络系统遭受攻击的重要组件，利用入侵留下的痕迹，如试图登陆的失败记录等信息来有效的发现来自外部或内部的非法入侵的技术。它以

探测与控制为技术本质，起着主动防御的作用，是网络安全中极其重要的部分

5选购网络监测产品要求：

1) 必须通过了国家权威机构的评测 。

2) 网络监测的特征库必须不断更新才能检测出新出现的攻击方法（特征库必须能够升级）。

3) 根据网络入侵检测系统所布署的网络环境，选择最大可处理流量。

4) 尽量保证产品不容易被躲避（有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等）。

5) 系统必须支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理，应当符合油田应用需求；保证产品的可伸缩性。

6) 保证产品支持的入侵特征数。

7) 要从本地、远程等多个角度考察产品的响应方法，选择适合管理局的产品，尽可能避免自动配置功能。

8) 尽量保证产品报表结构合理，方便处理误报，方便事件与日志查询以及使用该系统所需的技术人员数量合理。

6监控管理人员要求

1) 仔细配置设备，来减少误报警。

2) 析。

在网络事故发生频繁的时间内，必须使用人工的入侵响应，便于进行入侵统计分

3) 把与事件相关的数据记录下来，以后可生成报告或回放。

4) 如果有必要，切断连接，避免更大的损失。

5) 检测器必须放在防火墙附近。

6) 管理员必须明确设置攻击时间的优先级，确保良好的误报警管理。

7) 管理员必须有层层探究的能力，关联分析的能力，能对攻击事件给信息中心提供

一个好的报告。

8) 管理员必须根据实际情况，设置实时检测或者时间间隔扫描系统。

9) 为网络监测系统建立相应规则，使之能够准确监测网络攻击。

7网络监测操作要求

1） 视系统的运行状况，查找非法用户和合法用户的越权操作。

2） 检测系统的正确性和安全漏洞，提示管理条例修补漏洞。

3） 对用户的非正常活动进行统计分析，发现入侵行为的规律，警告管理员，管理员分析后做出反应。

4） 实时或有时间间隔地检查系统程序和数据的一致性和正确性，防止影响系统的运行或者重要数据的丢失。

5） 能够实时对检测到的入侵行为进行反应。

6） 保证操作系统的审计跟踪管理。

7） 同防火墙一起使用，加强监测能力。

8） 根据系统的重要程度，尽量保证两个以上的管理员一起值班，当一个管理员进行故障修复或者修改数据时，另一个管理员负责记录并且行使监督员职责。

9） 选用性能良好的IDS技术产品，并按要求配置，保证入侵监测的最佳运行。

10） 当系统报警时，必须及时修复，如果不能解决的，要及时向信息中心的有关负责人报告，并做好日志记录。

11） 保证设备的完好运转，避免影响系统的监测和报警功能。

12） 系统值班人员在值班期间严禁玩游戏，尤其是在放置有重要数据的机器上。

13） 对玩忽职守的工作人员，要严肃处理；如果因此造成重大事故，管理人员还要负法律责任。

14） 对放置有重要数据的主机，装入主机入侵监测系统。

15） 对放置有重要数据的主机，要派专人负责监测。

16） 根据实际情况，对重要系统要7*24*365监测。

注释：对这些重要系统要加强监测，监测的值班规定见《重要系统值班规定》。

8 生效日期