入侵检测管理制度.docxVIP

入侵检测管理制度

文档信息

文档名称

入侵检测管理制度

文档管理编号

保密级别

文档版本号

制作人

制作日期

复审人

复审日期

扩散范围

扩散批准人

适用范围

本文档是公司提供，用于指导公司入侵检测及告警事件处理等工作。

版本变更记录

目录

TOC\o1-5\h\z概述 1

\oCurrentDocument入侵检测系统管理 2

\oCurrentDocument2.1入侵检测系统管理员职责 2

\oCurrentDocument2.2入侵检测系统运维管理 2

\oCurrentDocument安全事件处置及分发 3

\oCurrentDocument3.1一般安全事件处理 3

\oCurrentDocument事件分发 3

\oCurrentDocument3.1.2事件结果发布 3

\oCurrentDocument3.2较大安全事件处理 3

事件分发 3

3.2.2事件结果发布 4

\oCurrentDocument3.3重大安全事件处理 4

事件分发 4

事件结果发布 4

\oCurrentDocument附录A相关资料 1

概述

本管理制度为公司入侵检测系统制定运维管理规范。指定专职人员负责入侵检测系统管理。定期查看入侵检测系统触发的告警事件，及时按照相关流程处理告警事件。完成并提交相关报告。

本管理制度为入侵检测告警事件提供处理流程，告警事件依据高中底级别进行分类处理。

二.入侵检测系统管理

2.1入侵检测系统管理员职责

恪守职业道德，严守企业秘密；

熟悉国家安全生产法以及有关通信管理的相关规程；

负责入侵检测系统的管理、更新和事件库备份、升级；

负责对入侵检测系统发现的恶意攻击行为进行跟踪处理；

根据网络实际情况正确配置入侵检测策略，充分利用入侵检测系统的处理能力；

遵守入侵检测设备各项管理规范；

负责撰写并提交入侵检测的相关报告。

2.2入侵检测系统运维管理

入侵检测系统管理员每天查看入侵检测系统告警事件，如有高中事件按照高中告警事件处理流程处理；

入侵检测系统管理员每周五完成每周一次的《入侵检测系统周报》，包括入侵检测设备的运行状况和日志分析等，并提交相关负责人；

每月定期安装、更新厂家发布的入侵检测设备补丁程序（包括事件库）；

入侵检测设备安全规则设置、更改的授权、审批依据《入侵检测设备配置变更审批表》（参见附表2）进行；入侵检测设备安全规则的设置、更改，应该得到信息系统运行管理部门负责人的批准，由入侵检测系统管理员具体负责实施。

三.安全事件处置及分发

当运维中心发现安全事件或从其他地方获取安全事件时，应根据事件对系统造成的影响，结合具体情况对相应的安全事件进行分类分级处理，常将安全事件分为一般、较大和重大三个等级进行处理，同时还需要及时将信息分发给所有相关人员配合处理。

3.1—般安全事件处理

一般安全事件处理应由运维中心按照常规方式处理，即首先由安全监控组受理安全事件，并初步分析处理，由安全服务组和系统管理员提供支持，直到问题的解决。

3.1.1事件分发

当安全监控组发现安全事件或受理安全事件时，应初步判断安全事件影响的系统及范围，并上报安全运维中心负责人知晓，同时应及时电话、邮件或短信的方式告知受影响的系统管理人员，并配合处理。

3.1.2事件结果发布

安全事件的处理结果应在处理完后及时发布，事件中涉及的所有人员都是发布对象，需要相关各方对事件结果进行责任确认。安全事件发布方式包括电子邮件发布、内部论坛发布等，并且定期汇总。

3.2较大安全事件处理

当IDS上发生较多高中告警事件，相关业务系统服务受到影响，确认为较大安全事件。较大安全事件应由安全服务组和相关系统管理员受理并处理，由应急响应小组提供二线支持工作，直到问题的解决。

3.2.1事件分发

相关人员处理安全事件，应及时上报运维负责人知晓，同时应及时电话、邮件或短信的方式告知受影响的系统管理人员，还应当及时向应急响应小组处理进展。

3.2.2事件结果发布

安全事件的处理结果应在处理完后及时发布，事件中涉及的所有责任人都是发布对象，需要相关各方对事件结果进行责任确认。安全事件发布方式包括电子邮件发布、公文发布等，并且定期汇总。

3.3重大安全事件处理

当入侵检测设备出现大量告警，已经引起网络拥塞或网络瘫痪等重大安全事件时，应立即启动紧急响应程序。由应急响应小组牵头处理采取相应措施，对网络进行紧急处理，如通过防火墙封禁相关源地址等，恢复网络的正常运行，并追查攻击来源，及时上报。

3?3?1事件分发

应及时电话、邮件或短信的方式向应急响应小组报告，随后将纸质报告报应急响应小组，并将