信息安全等级保护之技术要求→网络安全→入侵防范

一、要求内容 

a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等; 

b)当检测到攻击行为时,应记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警及自动采取相应动作。 

二、实施建议 

通过使用IDS设备可以监视外来的入侵行为并记录,在此基础上增加SOC可以更好的对入侵和安全事件进行管理,采取短信、邮件等形式的实时告警。 

三、常见问题 

有的企业虽然采购了IDS设备但使用的是默认配置,没有进行适当的配置,有的甚至没有定期升级特征库。 

四、实施难点 

五、测评方法 

形式 访谈,检查,测试。 对象 安全管理员,网络入侵防范设备。 

实施 

a)应访谈安全管理员,询问网络入侵防范措施有哪些;是否有专门设备对网络入侵进行防范;询问网络入侵防范规则库的升级方式; 

b)应检查网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件; 

c)应检查网络入侵防范设备,查看入侵事件记录中是否包括入侵的源IP、攻击的类型、攻击的目的、攻击的时间等;查看是否设置了安全警告方式(如采取屏幕实时提示、E-mail告警、声音告警等); 

d)应检查网络入侵防范设备,查看其规则库是否为最新; 

e)应测试网络入侵防范设备,验证其监控策略是否有效(如模拟产生攻击动作,查看网络入侵防范设备的反应); 

f)应测试网络入侵防范设备,验证其报警策略是否有效(如模拟产生攻击动作,查看网络入侵防范设备是否能实时报警)。 

六、参考资料 

在IATF 3.1中对入侵检测的实施有相关描述: 

6.4.1 网络入侵检测 入侵检测系统(IDS)的目标是近实时地识别和(潜在地)阻止内部网络用户和外部攻击者对计算机系统的非授权使用、误用和滥用。由于本节侧重于基于网络的监测,讨论将集中于使用网络信息的操作。

在7.2 节(计算环境中的基于主机的检测和响应能力),可以看到通过基于主机信息来完成相近功能的相似结构和技术。 6.4.1.1 技术概述 6.4.1.2 使用方式的一般考虑 6.4.1.3 重要特性 6.4.1.4 特性选择的基本原理 6.4.1.5 对配置点的考虑 6.4.1.6 对系统运行的考虑

如若转载,请注明出处:http://www.codingwhy.com/view/193.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com