入侵检测设备运行安全管理制度.pdf

《入侵检测设备运行安全管理制度.pdf》由会员分享，可在线阅读，更多相关《入侵检测设备运行安全管理制度.pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、入侵检测设备运行安全管理系统 第一章 总则 第一条 确保海南电网公司信息网络安全、稳定运行，特制订本制度。第二条 本系统适用于海南电网公司信息网络的所有入侵检测及相关设备的管理和运行。第二章 人员职责 第三条 任命入侵检测系统管理员 任命入侵检测系统管理员应遵循“任期有限、权限分散”的原则；系统管理员的任期可根据系统的安全要求确定，最长为三年，期满通过考核后可以续任；必须签署保密协议。第四条 入侵检测系统管理员的职责 恪守职业道德，严守企业秘密；熟悉国家安全生产法和信息安全管理的相关规定；负责入侵检测系统的管理、更新和事件库备份、升级；负责跟踪和处理入侵检测系统发现的恶意攻击；根据网络的实际情

2、况正确配置入侵检测策略，充分利用入侵检测系统的处理能力；密切关注最新的网络攻击、发展情况，关注和追踪业界公布的攻击事件；遵守入侵检测设备的各项管理规范。第三章 用户管理 第五条 只有入侵检测系统管理员才能修改入侵检测设备策略配置、分析的权限。第六条 为用户级和特权级模式设置口令。不能使用缺省口令，确保用户级别和特权级别模式密码不同。第七条 入侵检测设备的密码长度应为 8 位以上，由非纯数字或字母组成，并定期更换，不能使用容易猜解的口令。第四章 设备管理 第八条 入侵检测设备部署位置的环境要求如下：入侵检测系统的部署位置应能够正确检测受保护网络的数据流，并能抓取含有足够信息的 IP 包，如：MA

3、C 地址、IP 地址等；系统管理员应根据具体的网络条件选择入侵检测系统、配置适当的检测策略，充分利用系统的能力；入侵检测系统应尽可能与防火墙连接，充分发挥系统的潜力。第九条 入侵检测设备的定期检测和维护要求如下：每月定期安装、更新制造商发布的入侵检测设备补丁（包括事件库），及时修补入侵检测操作系统的漏洞。每周至少审核一次日志报告。至少每月重新启动一次入侵检测设备。第十条 入侵检测设备安全规则设置、更改的授权、审批依据入侵检测设备配置变更审批表（参见附表 2）进行。入侵检测设备安全规则的设置、更改，应由信息系统运营管理部门负责人批准，由系统管理员具体负责实施。第十一条 入侵检测设备配置的操作程序

4、如下：根据需要记录当前网络环境，定义入侵检测接口；安装引擎（包括事件库）和终端网络管理软件；定义入侵检测系统要保护的网络对象（网络或主机）；定义检测策略，阻塞级别和事件警报；备份配置，安装到网络中；定义管理员列表和管理权限；模拟攻击，测试入侵检测系统的性能，做好网管资料。第十二条 系统管理员应注意软件和事件库的变化，确保使用当前有效的软件以及事件库，定期做好入侵检测系统的配置的备份工作，以保证系统出现故障后能正常恢复原有性能。第十三条 监控和记录入侵检测设备运行状态的要求如下：系统管理员应定期和不定期检查入侵检测设备的运行状态，及时查看系统日志，对异常情况的发生，及时上报，并做好记录，填写入侵

5、检测记录单（附表 1）；对入侵检测设备的 CPU 和内存利用率、报警时间的时间平均监控等、跟踪工作，每周形成报表。第十四条 入侵检测设备安全事件处理和报告。当入侵检测设备出现告警或工作不正常，它已导致重大安全事件，如网络拥塞或网络瘫痪，应立即启动紧急响应程序，对网络进行紧急处理，堵塞攻击入口，恢复网络的正常运行，并追查攻击来源，及时上报。第十五条 检测特殊网络对象并处理紧急情况。要有针对性的把有关领导的主机、信息发布类型的主机（如 WEB,MAIL 系统）、重要数据类型的主机（如财务，OA 系统）作为受重点保护的对象，综合防火墙日志和漏洞扫描日志分析其安全性，一旦出现恶性事件可事先切断物理链路，并及时上报，封锁现场。第五章 附则 第十六条 本系统由海南电网公司信息中心负责解释。第十七条 本规定自发布之日起施行，有新的修改版本颁布后，本规定自行终止